Configure o ServiceNow para o fornecimento automático do utilizador

Este artigo descreve os passos que irá tomar tanto no ServiceNow como no Azure Ative Directory (Azure AD) para configurar o fornecimento automático do utilizador. Quando Azure AD é configurado, fornece e desprovisiona automaticamente utilizadores e grupos para o ServiceNow utilizando o serviço de fornecimento de Azure AD.

Para obter mais informações sobre o serviço de fornecimento automático de Azure AD utilizador, consulte automatizar o fornecimento e desprovisionamento de utilizadores para aplicações SaaS com o Azure Ative Directory.

Capacidades suportadas

  • Criar utilizadores no ServiceNow
  • Remova os utilizadores no ServiceNow quando já não precisam de acesso
  • Mantenha os atributos do utilizador sincronizados entre Azure AD e o ServiceNow
  • Grupos de provisão e membros do grupo no ServiceNow
  • Permitir um único acesso ao ServiceNow (recomendado)

Pré-requisitos

  • Uma conta de utilizador Azure AD com uma subscrição ativa. Se ainda não tiver uma, pode criar uma conta gratuita.
  • Uma das seguintes funções: Administrador Global, Administrador de Aplicação cloud, Administrador de Aplicação ou proprietário do principal de serviço.
  • Um caso de ServiçoNow de Calgary ou superior
  • Uma instância do ServiceNow Express de Helsínquia ou superior
  • Uma conta de utilizador no ServiceNow com a função de administrador

Passo 1: Planeie a sua implantação de provisionamento

Passo 2: Configurar o ServiceNow para apoiar o fornecimento com Azure AD

  1. Identifique o nome da sua instância ServiceNow. Pode encontrar o nome da instância no URL que utiliza para aceder ao ServiceNow. No exemplo seguinte, o nome da instância é dev35214.

    Screenshot que mostra uma instância ServiceNow.

  2. Obtenha credenciais para um administrador no ServiceNow. Vá ao perfil do utilizador no ServiceNow e verifique se o utilizador tem a função de administrador.

    Screenshot que mostra um papel de administrador do ServiceNow.

Adicione o ServiceNow da galeria de aplicações Azure AD para começar a gerir o fornecimento ao ServiceNow. Se configurar o ServiceNow para uma única sincção (SSO), pode utilizar a mesma aplicação. No entanto, recomendamos que crie uma aplicação separada quando estiver a testar a integração. Saiba mais sobre a adição de uma aplicação na galeria.

Passo 4: Definir quem estará no âmbito do provisionamento

O serviço de prestação de Azure AD permite-lhe atear o âmbito de aplicação de quem será a provisionado com base na atribuição à aplicação, ou com base em atributos do utilizador ou grupo. Se optar por escolher o âmbito de aplicação que será aprovisionado na sua app com base na atribuição, pode utilizar os passos para atribuir utilizadores e grupos à aplicação. Se optar por escolher o âmbito de aplicação de quem será provisionado apenas com base em atributos do utilizador ou grupo, pode utilizar um filtro de deteção.

Tenha em mente as seguintes dicas:

  • Ao atribuir utilizadores e grupos ao ServiceNow, tem de selecionar outra função que não o Acesso Predefinido. Os utilizadores com a função Acesso Predefinido são excluídos do aprovisionamento e marcados como não autorizados de forma efetiva nos registos de aprovisionamento. Se a única função disponível na aplicação for a função Acesso Predefinido, pode atualizar o manifesto de aplicação para adicionar mais funções.

  • Se precisar de funções adicionais, pode atualizar o manifesto de aplicação para adicionar novas funções.

Passo 5: Configurar o fornecimento automático do utilizador ao ServiceNow

Esta secção guia-o através dos passos para configurar o serviço de fornecimento de Azure AD para criar, atualizar e desativar utilizadores e grupos no TestApp. Pode basear a configuração nas atribuições de utilizador e grupo em Azure AD.

Para configurar o fornecimento automático do utilizador para o ServiceNow em Azure AD:

  1. Inicie sessão no portal do Azure. Selecione aplicações> EnterpriseTodas as aplicações.

    Screenshot que mostra o painel de aplicações da Enterprise.

  2. Na lista de candidaturas, selecione ServiceNow.

  3. Selecione o separador Aprovisionamento.

  4. Desa ajuste o modo de provisionamento para automático.

  5. Na secção Administração Credenciais, insira as suas credenciais de administração ServiceNow e o nome de utilizador. Selecione a Ligação de Teste para garantir que Azure AD pode ligar-se ao ServiceNow. Se a ligação falhar, certifique-se de que a sua conta ServiceNow tem permissões de administração e tente novamente.

    Screenshot que mostra a página de Fornecimento de Serviço, onde pode introduzir credenciais de administração.

  6. Na caixa de Email de Notificação, insira o endereço de e-mail de uma pessoa ou grupo que deve receber as notificações de erro de provisionamento. Em seguida, selecione a notificação enviar uma notificação por e-mail quando ocorrer uma falha na caixa de verificação.

  7. Selecione Guardar.

  8. Na secção Mappings , selecione Synchronize Azure Ative Directory Users to ServiceNow.

  9. Reveja os atributos do utilizador que são sincronizados de Azure AD a ServiceNow na secção De mapeamento de Atributos. Os atributos selecionados como propriedades de correspondência são utilizados para combinar as contas de utilizador no ServiceNow para operações de atualização.

    Se optar por alterar o atributo de alvo correspondente, terá de garantir que a API do ServiceNow suporta utilizadores filtrando com base nesse atributo.

    Selecione o botão Guardar para escoar quaisquer alterações.

  10. Na secção Mappings , selecione Synchronize Azure Ative Directory Groups to ServiceNow.

  11. Reveja os atributos do grupo que são sincronizados de Azure AD a ServiceNow na secção De mapeamento de Atributos. Os atributos selecionados como propriedades de correspondência são utilizados para corresponder aos grupos no ServiceNow para operações de atualização. Selecione o botão Guardar para escoar quaisquer alterações.

  12. Para configurar filtros de deteção, consulte as instruções no tutorial do filtro de escotagem.

  13. Para ativar o serviço de prestação de Azure AD para o ServiceNow, altere o Estado de Provisionamento para On na secção Definições.

  14. Defina os utilizadores e grupos que pretende prestar ao ServiceNow, escolhendo os valores pretendidos no Âmbito na secção Definições .

    Screenshot que mostra escolhas para o âmbito de provisionamento.

  15. Quando estiver pronto para provisões, selecione Save.

Esta operação inicia o ciclo de sincronização inicial de todos os utilizadores e grupos definidos no Âmbito na secção Definições. O ciclo inicial demora mais tempo a ser efetua do que os ciclos subsequentes. Os ciclos subsequentes ocorrem a cada 40 minutos, desde que o serviço de prestação de Azure AD esteja em funcionamento.

Passo 6: Monitorize a sua implantação

Depois de configurar o fornecimento, use os seguintes recursos para monitorizar a sua implantação:

  • Utilize os registos de provisionamento para determinar quais os utilizadores que foram a provisionados com sucesso ou sem sucesso.
  • Verifique a barra de progresso para ver o estado do ciclo de provisionamento e o quão perto está de ser concluído.
  • Se a configuração de aprovisionamento parecer estar num mau estado de funcionamento, a aplicação vai entrar em quarentena. Saiba mais sobre estados de quarentena.

Sugestões de resolução de problemas

  • Quando está a atar certos atributos (como Departamento e Localização) no ServiceNow, os valores já devem existir numa tabela de referência no ServiceNow. Se não o fizerem, terás um erro de invalidLookupReference .

    Por exemplo, você pode ter duas localizações (Seattle, Los Angeles) e três departamentos (Vendas, Finanças, Marketing) em uma determinada tabela no ServiceNow. Se tentar provisionar um utilizador cujo departamento é "Sales" e cuja localização é "Seattle", esse utilizador será a provisionado com sucesso. Se tentar provisionar um utilizador cujo departamento é "Vendas" e cuja localização é "LA", o utilizador não será provisionado. A localização "LA" deve ser adicionada à tabela de referência no ServiceNow, ou o atributo do utilizador em Azure AD deve ser atualizado para corresponder ao formato no ServiceNow.

  • Se obtém um erro de Entrada PropertyValueIsMisMissing, reveja os mapeamentos do seu atributo para identificar o atributo correspondente. Este valor deve estar presente no utilizador ou grupo que está a tentar obter.

  • Para compreender quaisquer requisitos ou limitações (por exemplo, o formato para especificar um código de país para um utilizador), reveja a API serviceNow SOAP.

  • Os pedidos de provisionamento são enviados por padrão para https://{your-instance-name}.service-now.com/{table-name}. Se você precisa de um URL de inquilino personalizado, você pode fornecer todo o URL inteiro como o nome de instância.

  • O erro ServiceNowInstanceInvalid indica um problema de comunicação com a instância ServiceNow. Aqui está o texto do erro:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Se tiver problemas de ligação de teste, tente selecionar para as seguintes definições no ServiceNow:

    • Segurança> do Sistema Configurações> de alta segurança Requera autenticação básica para pedidos de SCHEMA de entrada

    • Propriedades> do sistema Serviços> Web Requerem autorização básica para pedidos de SOAP que chegam

      Screenshot que mostra a opção para autorizar pedidos DE SOAP.

    Se ainda não conseguir resolver o seu problema, contacte o suporte do ServiceNow e peça-lhes que liguem a depuração SOAP para ajudar a resolver problemas.

  • O serviço de prestação de serviços Azure AD opera atualmente ao abrigo de gamas IP específicas. Se necessário, pode restringir outras gamas de IP e adicionar estes intervalos ip específicos à lista de admissões. Esta técnica permitirá o fluxo de tráfego do serviço de fornecimento de Azure AD para a sua aplicação.

  • Os casos do ServiceNow não são suportados.

Recursos adicionais

Passos seguintes