Настройка ServiceNow для автоматической подготовки пользователей

В этой статье описаны шаги, которые вы будете предпринимать как в ServiceNow, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатора Microsoft Entra автоматически подготавливает пользователей и группы в ServiceNow с помощью службы подготовки Microsoft Entra.

Дополнительные сведения о службе автоматической подготовки пользователей Microsoft Entra см. в статье "Автоматизация подготовки пользователей и отмена подготовки пользователей к приложениям SaaS с идентификатором Microsoft Entra".

Поддерживаемые возможности

• Создание пользователей в ServiceNow.
• Удалите пользователей в ServiceNow, если им больше не нужен доступ.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и ServiceNow.
• Подготовка групп и членства в группах в ServiceNow.
• Разрешить единый вход в ServiceNow (рекомендуется).

Необходимые компоненты

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей: глобальный администратор, администратор облачных приложений, администратор приложений или владелец субъекта-службы.
• Экземпляр ServiceNow calgary или более поздней версии.
• Экземпляр ServiceNow Express в Хельсинки или более поздней версии.
• Учетная запись пользователя в ServiceNow с ролью администратора.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Шаг 1. Планирование развертывания подготовки

• Узнайте, как работает служба подготовки.
• Определите, кто будет находиться в области подготовки.
• Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и ServiceNow.

Шаг 2. Настройка ServiceNow для поддержки подготовки с помощью идентификатора Microsoft Entra

1. Найдите имя экземпляра ServiceNow. Это имя экземпляра можно взять из URL-адреса, который используется для доступа к ServiceNow. В следующем примере экземпляр имеет имя dev35214.

   

2. Получите учетные данные для администратора в ServiceNow. Перейдите к профилю пользователя в ServiceNow и убедитесь, что у этого пользователя есть роль администратора.

   

Шаг 3. Добавление ServiceNow из коллекции приложений Microsoft Entra

Добавьте ServiceNow из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в ServiceNow. Если вы уже настроили единый вход в ServiceNow, вы можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто будет находиться в область для подготовки

Служба подготовки Microsoft Entra позволяет область, которые будут подготовлены на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решили определить пользователей на основе назначения, выполните следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.

Учтите следующие особенности:

• При назначении пользователей и групп для ServiceNow необходимо выбрать роль, отличную от роли "Доступ по умолчанию". Пользователи с ролью "Доступ по умолчанию" исключаются из подготовки и будут помечены в журналах подготовки как не назначенные явно. Если в приложении доступна только эта роль, можно изменить манифест приложения, чтобы добавить другие роли.

• Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в ServiceNow

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp. Конфигурацию можно использовать для назначений пользователей и групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для ServiceNow в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям Identity>Applications>Enterprise.

   

3. В списке приложений выберите ServiceNow.

4. Выберите вкладку Подготовка.

5. Для параметра Режим подготовки к работе выберите значение Автоматически.

6. В разделе Учетные данные администратора введите учетные данные администратора ServiceNow и имя пользователя. Выберите "Тестировать Подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к ServiceNow. Если установить подключение не удалось, убедитесь, что у учетной записи ServiceNow есть разрешения администратора, и повторите попытку.

7. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки. Установите флажок Отправить уведомление по электронной почте при сбое.

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с ServiceNow.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с ServiceNow в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства Matching, используются для сопоставления учетных записей пользователей в ServiceNow для операций обновления.

    Если вы решили изменить соответствующий атрибут сопоставления, сначала убедитесь, что API ServiceNow поддерживает фильтрацию пользователей по этому атрибуту.

    Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с ServiceNow.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с ServiceNow в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в ServiceNow в операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

13. Чтобы настроить фильтры области, ознакомьтесь с инструкциями в этом учебнике.

14. Чтобы включить службу подготовки Microsoft Entra для ServiceNow, измените состояние подготовки на On в разделе Параметры.

15. Определите пользователей и группы для подготовки в ServiceNow, выбрав нужные значения в поле Область раздела Параметры.

    

16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы. Последующие циклы происходят примерно каждые 40 минут, пока выполняется служба подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

Завершив настройку подготовки, используйте следующие ресурсы для мониторинга развертывания:

• Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и близость его завершения.
• Если конфигурация подготовки, вероятно, находится в неработоспособном состоянии, приложение перейдет в карантин. Подробнее о режимах карантина.

Советы по устранению неполадок

• При подготовке некоторых атрибутов, таких как Department и Location в ServiceNow, эти значения должны уже существовать в ссылочной таблице в ServiceNow. В противном случае отобразится ошибка InvalidLookupReference.

  Предположим, что у вас есть два расположения (Seattle, Los Angeles) и три отдела (Sales, Finance, Marketing) в определенной таблице в ServiceNow. При попытке подготовить пользователя, для которого указаны отдел Sales и расположение Seattle, подготовка завершится успешно. При попытке подготовить пользователя, для которого указаны отдел Sales и расположение LA, подготовка не будет выполнена. Расположение "LA" должно быть добавлено в справочную таблицу в ServiceNow, или атрибут пользователя в идентификаторе Microsoft Entra должен быть обновлен, чтобы он соответствовал формату в ServiceNow.

• Если отображается ошибка EntryJoiningPropertyValueIsMissing, просмотрите сопоставления атрибутов, чтобы определить соответствующий атрибут. Это значение должно присутствовать у пользователя или группы, которые вы пытаетесь подготавливать.

• Чтобы понять все требования и ограничения (например, формат для указания кода страны для пользователя), изучите статью по API ServiceNow SOAP.

• По умолчанию запросы на подготовку отправляются на адрес https://{имя_вашего_экземпляра}.service-now.com/{имя_таблицы}. Если вам нужно использовать собственный URL-адрес арендатора, введите этот URL-адрес полностью в поле "Имя экземпляра".

• Ошибка ServiceNowInstanceInvalid указывает на проблему при обмене данными с экземпляром ServiceNow. Текст сообщения об ошибке:

  Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

  При возникновении проблем при проверке подключения попробуйте выбрать Нет для следующих параметров в ServiceNow:

  • System Security>High security settings>Require basic authentication for incoming SCHEMA requests (Безопасность системы > Параметры высокого уровня безопасности > Требовать базовую аутентификацию для входящих запросов SCHEMA).

  • System Properties>Web Services>Require basic authorization for incoming SOAP requests (Свойства системы > Веб-службы > Требовать базовую авторизацию для входящих запросов SOAP).

    

  Если вы по-прежнему не можете устранить проблему, обратитесь в службу поддержки ServiceNow и попросите их включить отладку SOAP, чтобы помочь в устранении неполадок.

• Служба подготовки Microsoft Entra в настоящее время работает в определенных диапазонах IP-адресов. При необходимости можно ограничить другие диапазоны IP-адресов и добавить эти определенные диапазоны IP-адресов в список разрешений приложения. Этот метод позволит потоку трафика из службы подготовки Microsoft Entra в приложение.

• Локальные экземпляры ServiceNow не поддерживаются.

• При подготовке обновления активногоатрибута в ServiceNow locked_out атрибут также обновляется соответствующим образом, даже если locked_out не сопоставлены в службе подготовки Azure.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке