Поделиться через

Руководство. Автоматическое создание билета ServiceNow с помощью интеграции управления правами Microsoft Entra

  • Статья

Сценарий. В этом сценарии вы узнаете, как использовать настраиваемую расширяемость и приложение логики для автоматического создания запросов ServiceNow для подготовки пользователей, которые получили назначения и нуждаются в доступе к приложениям.

В этом руководстве описано следующее:

  • Добавление рабочего процесса приложения логики в существующий каталог.
  • Добавление настраиваемого расширения в политику в существующем пакете доступа.
  • Регистрация приложения в идентификаторе Microsoft Entra для возобновления рабочего процесса управления правами
  • Настройка ServiceNow для проверки подлинности службы автоматизации.
  • Запрос доступа к пакету доступа в качестве конечного пользователя.
  • Получение доступа к запрошенном пакету доступа в качестве конечного пользователя.

Необходимые компоненты

  • Учетная запись пользователя Microsoft Entra с активной подпиской Azure. Если ее нет, можно создать учетную запись бесплатно.
  • Одна из следующих ролей: глобальный администратор, администратор облачных приложений, администратор приложений или владелец субъекта-службы.
  • Экземпляр ServiceNow в Риме или более поздней версии
  • Интеграция единого входа с ServiceNow. Если это еще не настроено, см. статью:Tutorial: Интеграция единого входа (SSO) Microsoft Entra с ServiceNow перед продолжением.

Примечание.

При выполнении этих действий рекомендуется использовать роль с минимальными привилегиями.

Добавление рабочего процесса приложения логики в существующий каталог для управления правами

Чтобы добавить рабочий процесс приложения логики в существующий каталог, используйте шаблон ARM для создания приложения логики:

Развернуть в Azure.

Снимок экрана: шаблон ARM приложения логики.

Укажите подписку Azure, сведения о группе ресурсов, а также имя приложения логики и идентификатор каталога, чтобы связать приложение логики с и выбрать покупку. Дополнительные сведения о создании нового каталога см. в статье "Создание и управление каталогом ресурсов в управлении правами".

  1. Перейдите к Центру администрирования Microsoft Entra Identity Governance — Центр администрирования Microsoft Entra как минимум роль администратора управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и владельца группы ресурсов.

  2. В меню слева выберите элемент Каталоги.

  3. Выберите каталог, для которого нужно добавить пользовательское расширение, а затем в меню слева выберите настраиваемые расширения.

  4. На панели навигации по заголовкам выберите Добавить настраиваемое расширение.

  5. На вкладке "Основные сведения" введите имя настраиваемого расширения и описание рабочего процесса. Эти поля отображаются на вкладке "Настраиваемые расширения" каталога. Снимок экрана: создание настраиваемого расширения для управления правами.

  6. Выберите тип расширения как "Рабочий процесс запроса", чтобы соответствовать этапу политики создаваемого пакета доступа. Снимок экрана: вкладка действий пользовательского расширения для управления правами.

  7. Нажмите кнопку "Запуск и ожидание " в конфигурации расширения, которая приостанавливает связанное действие пакета доступа до тех пор, пока приложение логики, связанное с расширением, завершит свою задачу, и администратор отправляет действие возобновления, чтобы продолжить процесс. Дополнительные сведения об этом процессе см. в статье о настройке пользовательских расширений, которые приостанавливают процессы управления правами.

  8. На вкладке "Сведения " выберите "Нет" в поле "Создать приложение логики", так как приложение логики уже создано на предыдущих шагах. Однако необходимо указать сведения о подписке и группе ресурсов Azure вместе с именем приложения логики. Снимок экрана: вкладка сведений об пользовательском расширении управления правами.

  9. В разделе "Проверка и создание" просмотрите сводку пользовательского расширения и убедитесь, что сведения о вызове приложения логики верны. Затем выберите Создать.

  10. Это настраиваемое расширение связанного приложения логики теперь отображается на вкладке "Пользовательские расширения" в каталогах. Вы можете вызвать эту функцию в политиках пакетов доступа.

Совет

Дополнительные сведения о пользовательских функциях расширения, которые приостанавливают процессы управления правами, см. в статье "Настройка настраиваемых расширений, которые приостанавливают процессы управления правами".

Добавление настраиваемого расширения в политику в существующем пакете доступа

После настройки пользовательской расширяемости в каталоге администраторы могут создать пакет доступа с политикой, чтобы активировать настраиваемое расширение при утверждении запроса. Это позволяет им определять конкретные требования к доступу и настраивать процесс проверки доступа в соответствии с потребностями организации.

  1. На портале управления удостоверениями как минимум администратор управления удостоверениями выберите пакеты Access.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Выберите пакет для доступа, в который нужно добавить настраиваемое расширение (приложение логики), из списка уже созданных пакетов для доступа.

  3. Перейдите на вкладку политики, выберите политику и нажмите кнопку "Изменить".

  4. В параметрах политики перейдите на вкладку "Пользовательские расширения ".

  5. В меню под пунктом Этап выберите событие пакета для доступа, которое следует использовать в качестве триггера для этого настраиваемого расширения (приложения логики). Чтобы активировать рабочий процесс пользовательского приложения логики расширения при утверждении пакета доступа, выберите " Запрос" утвержден.

Примечание.

Чтобы создать билет ServiceNow для назначения с истекшим сроком действия, предоставленным ранее, добавьте новый этап для удаления назначения, а затем выберите LogicApp.

  1. В меню ниже Настраиваемое расширение выберите пользовательское расширение (приложение логики), созданное на приведенных выше шагах, чтобы добавить этот пакет доступа. Выбранное действие выполняется, когда событие, выбранное в поле.

  2. Чтобы добавить расширение в существующий пакет для доступа, щелкните Обновить. Снимок экрана: сведения о пользовательском расширении для пакета доступа.

Примечание.

Щелкните Новый пакет доступа, если вы предпочитаете создать новый пакет. Дополнительные сведения о создании пакета доступа см. в статье "Создание нового пакета доступа в управлении правами". Дополнительные сведения об изменении существующего пакета доступа см. в статье "Изменение параметров запроса для пакета доступа" в службе управления правами Microsoft Entra.

Регистрация приложения с секретами в Центре администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

С помощью Azure вы можете использовать Azure Key Vault для хранения секретов приложений, таких как пароли. Чтобы зарегистрировать приложение с секретами в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.

  4. Введите отображаемое имя приложения.

  5. Выберите "Учетные записи только в этом каталоге организации" в поддерживаемом типе учетной записи.

  6. Выберите Зарегистрировать.

После регистрации приложения необходимо добавить секрет клиента, выполнив следующие действия:

  1. Перейдите к приложениям> удостоверений>Регистрация приложений.

  2. выберите приложение.

  3. Выберите сертификаты и секреты > > секретов клиента New client secret.

  4. Добавьте описание секрета клиента.

  5. Выберите срок действия секрета или укажите настраиваемое время существования.

  6. Выберите Добавить.

Примечание.

Дополнительные сведения о регистрации приложения см. в кратком руководстве. Регистрация приложения в платформа удостоверений Майкрософт:

Чтобы авторизовать созданное приложение для вызова API возобновления MS Graph, выполните следующие действия:

  1. Перейдите в Центр администрирования Microsoft Entra Admin Center Identity Governance — Центр администрирования Microsoft Entra

  2. В меню слева выберите элемент Каталоги.

  3. Выберите каталог, для которого вы добавили пользовательское расширение.

  4. Выберите меню "Роли и администраторы" и выберите "+ Добавить диспетчер назначения пакетов доступа".

  5. В диалоговом окне "Выбор участников" найдите приложение, созданное по имени или идентификатору приложения. Выберите приложение и нажмите кнопку "Выбрать".

Совет

Более подробную информацию о делегировании и ролях в официальной документации Майкрософт можно найти здесь: делегирование и роли в управлении правами.

Настройка ServiceNow для проверки подлинности службы автоматизации

На этом этапе пришло время настроить ServiceNow для возобновления рабочего процесса управления правами после закрытия билета ServiceNow:

  1. Зарегистрируйте приложение Microsoft Entra в реестре приложений ServiceNow, выполнив следующие действия:
    1. Войдите в ServiceNow и перейдите в реестр приложений.
    2. Выберите "Создать" и выберите "Подключиться к стороннему поставщику OAuth".
    3. Укажите имя приложения и выберите "Учетные данные клиента" в типе предоставления по умолчанию.
    4. Введите имя клиента, идентификатор, секрет клиента, URL-адрес авторизации, URL-адрес маркера, созданный при регистрации приложения Microsoft Entra в Центре администрирования Microsoft Entra.
    5. Отправьте приложение. Снимок экрана: реестр приложений в ServiceNow.
  2. Создайте сообщение REST API системной веб-службы, выполнив следующие действия.
    1. Перейдите в раздел "Сообщения REST API" в разделе "Системные веб-службы".
    2. Нажмите кнопку "Создать", чтобы создать сообщение REST API.
    3. Заполните все обязательные поля, включая предоставление URL-адреса конечной точки: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Для проверки подлинности выберите OAuth2.0 и выберите профиль OAuth, созданный во время регистрации приложения.
    5. Нажмите кнопку "Отправить", чтобы сохранить изменения.
    6. Вернитесь к разделу "Сообщения REST API" в разделе "Системные веб-службы".
    7. Выберите http-запрос и нажмите кнопку "Создать". Введите имя и выберите "POST" в качестве метода Http.
    8. В http-запросе добавьте содержимое для параметров http-запроса с помощью следующей схемы API: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Нажмите кнопку "Отправить", чтобы сохранить изменения. Снимок экрана: выбор вызова возобновления в ServiceNow.Снимок экрана: http-запрос в ServiceNow.
  3. Измените схему таблицы запроса: чтобы изменить схему таблицы запроса, внесите изменения в три таблицы, показанные на следующем рисунке: Снимок экрана: схема таблицы запроса в ServiceNow. Добавьте метку столбца и введите строку:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Чтобы автоматизировать рабочий процесс с помощью конструктора потоков, сделайте следующее:
    1. Войдите в ServiceNow и перейдите в конструктор потоков.
    2. Нажмите кнопку "Создать" и создайте новое действие.
    3. Добавьте действие для вызова сообщения REST API системной веб-службы, созданного на предыдущем шаге. Снимок экрана: скрипт конструктора потоков для возобновления процесса управления правами в ServiceNow. Скрипт действия: (обновите скрипт с помощью меток столбцов, созданных на предыдущем шаге): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. Сохранение действия
    5. Нажмите кнопку "Создать", чтобы создать новый поток.
    6. Введите имя потока, выберите "Запуск от имени " Системный пользователь" и выберите "Отправить".
  5. Чтобы создать триггеры в ServiceNow, выполните следующие действия:
    1. Выберите "Добавить триггер", а затем выберите "обновленный" триггер и запустите триггер для каждого обновления.
    2. Добавьте условие фильтра, обновив условие, как показано на следующем рисунке: Снимок экрана: API возобновления управления правами вызова ServiceNow
    3. Нажмите кнопку Готово.
    4. Выбор действия Снимок экрана: триггер схемы потоков.
    5. Выберите действие и выберите действие, созданное на предыдущем шаге. Снимок экрана: выбор действий конструктора потоков.
    6. Перетащите только что созданные столбцы из записи запроса в соответствующие параметры действия.
    7. Выберите "Готово", "Сохранить" и "Активировать". Снимок экрана: сохранение и активация в конструкторе потоков.

Запрос доступа к пакету доступа в качестве конечного пользователя

Когда конечный пользователь запрашивает доступ к пакету доступа, запрос отправляется соответствующему утверждающего. Когда утверждающий предоставит утверждение, управление правами вызывает приложение логики. Затем приложение логики вызывает ServiceNow для создания нового запроса или запроса и управления правами ожидает обратного вызова из ServiceNow.

Снимок экрана: запрос пакета доступа.

Получение доступа к запрошенном пакету доступа в качестве конечного пользователя

Ит-служба поддержки работает над предыдущим запросом, созданным для выполнения необходимых положений, и закройте билет ServiceNow. При закрытии билета ServiceNow активирует вызов для возобновления рабочего процесса управления правами. После завершения запроса запрашивающий получает уведомление от управления правами, которое было выполнено. Этот упрощенный рабочий процесс гарантирует, что запросы на доступ выполняются эффективно, и пользователи быстро уведомляются.

Снимок экрана: журнал запросов на доступ.

Примечание.

Конечный пользователь увидит сообщение "Сбой назначения" на портале MyAccess, если билет не закрыт в течение 14 дней.

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как создать...

Активация Logic Apps с пользовательскими расширениями в управлении правами