Självstudie: Automatiserad skapande av ServiceNow-biljett med Integrering av Microsoft Entra-berättigandehantering

Scenario: I det här scenariot lär du dig hur du använder anpassad utökningsbarhet och en logikapp för att automatiskt generera ServiceNow-biljetter för manuell etablering av användare som har tagit emot tilldelningar och behöver åtkomst till appar.

I den här självstudiekursen lär du dig:

• Lägga till ett logikapparbetsflöde i en befintlig katalog.
• Lägga till ett anpassat tillägg till en princip i ett befintligt åtkomstpaket.
• Registrera ett program i Microsoft Entra-ID för att återuppta arbetsflödet för berättigandehantering
• Konfigurera ServiceNow för Automation-autentisering.
• Begära åtkomst till ett åtkomstpaket som slutanvändare.
• Ta emot åtkomst till det begärda åtkomstpaketet som slutanvändare.

Förutsättningar

• Ett Microsoft Entra-användarkonto med en aktiv Azure-prenumeration. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
• Någon av följande roller: global administratör, molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.
• En ServiceNow-instans av Rom eller senare
• SSO-integrering med ServiceNow. Om detta inte redan har konfigurerats kan du läsa:Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med ServiceNow innan du fortsätter.

Kommentar

Vi rekommenderar att du använder en roll med minsta möjliga behörighet när du slutför de här stegen.

Lägga till Logic App Workflow i en befintlig katalog för berättigandehantering

Logic App-arbetsflöden kan läggas till i en befintlig katalog. Mer information om hur du skapar en ny katalog finns i: Skapa och hantera en katalog med resurser i berättigandehantering.

När en katalog har skapats lägger du till ett logic app-arbetsflöde genom att göra följande:

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och resursgruppens ägare.

2. I den vänstra menyn väljer du Kataloger.

3. Välj den katalog som du vill lägga till ett anpassat tillägg för och välj sedan Anpassade tillägg i den vänstra menyn.

4. I navigeringsfältet för sidhuvudet väljer du Lägg till ett anpassat tillägg.

5. På fliken Grundläggande anger du namnet på det anpassade tillägget och en beskrivning av arbetsflödet. De här fälten visas på fliken Anpassade tillägg i katalogen.

6. Välj tilläggstypen som "Arbetsflöde för begäran" för att motsvara principsteget i det begärda åtkomstpaketet som ska skapas.

7. Välj Starta och vänta i tilläggskonfigurationen som pausar den associerade åtkomstpaketåtgärden tills logikappen som är länkad till tillägget har slutfört sin uppgift och en återuppta-åtgärd skickas av administratören för att fortsätta processen. Mer information om den här processen finns i: Konfigurera anpassade tillägg som pausar processer för berättigandehantering.

8. På fliken Information väljer du Ja i fältet "Skapa ny logikapp". Lägg till ett namn för logikappen, tillsammans med prenumerationen och resursgruppen, där du placerar den.

9. I Granska och skapa granskar du sammanfattningen av ditt anpassade tillägg och kontrollerar att informationen för logikappen och den är korrekt. När du har granskat informationen väljer du Skapa.

10. När logikappen har skapats kan den nås under Logikapp bredvid det anpassade tillägget på sidan för anpassade tillägg. Du kan anropa detta i principer för åtkomstpaket.

Dricks

Mer information om funktionen för anpassade tillägg som pausar processer för berättigandehantering finns i: Konfigurera anpassade tillägg som pausar processer för rättighetshantering.

Lägga till anpassat tillägg till en princip i ett befintligt åtkomstpaket

När du har konfigurerat anpassad utökningsbarhet i katalogen kan administratörer skapa ett åtkomstpaket med en princip för att utlösa det anpassade tillägget när begäran har godkänts. På så sätt kan de definiera specifika åtkomstkrav och skräddarsy åtkomstgranskningsprocessen för att uppfylla organisationens behov.

1. I identitetsstyrningsportalen som minst identitetsstyrningsadministratör väljer du Åtkomstpaket.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.

2. Välj det åtkomstpaket som du vill lägga till ett anpassat tillägg (Logikapp) i från listan över åtkomstpaket som redan har skapats.

3. Ändra till fliken Princip, välj principen och välj Redigera.

4. I principinställningarna går du till fliken Anpassade tillägg .

5. Välj den åtkomstpakethändelse som du vill använda som utlösare för det här anpassade tillägget (Logikapp) på menyn nedan. I vårt scenario väljer du Begäran godkänns för att utlösa arbetsflödet för det anpassade tillägget Logic App när åtkomstpaketet har godkänts.

   Kommentar

   Om du vill skapa en ServiceNow-biljett för en tilldelning som har upphört att gälla och som har beviljats tidigare lägger du till en ny fas för "Tilldelningen tas bort" och väljer sedan LogicApp.

6. I menyn under Anpassat tillägg väljer du det anpassade tillägget (Logikapp) som du skapade i stegen ovan för att lägga till det här åtkomstpaketet. Den åtgärd som du väljer körs när händelsen som valts i fältet when inträffar.

7. Välj Uppdatera för att lägga till den i ett befintligt åtkomstpakets princip.

Kommentar

Välj Nytt åtkomstpaket om du vill skapa ett nytt åtkomstpaket. Mer information om hur du skapar ett åtkomstpaket finns i: Skapa ett nytt åtkomstpaket i berättigandehantering. Mer information om hur du redigerar ett befintligt åtkomstpaket finns i: Ändra inställningar för begäran för ett åtkomstpaket i Microsoft Entra-berättigandehantering.

Registrera ett program med hemligheter i administrationscentret för Microsoft Entra

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med Azure kan du använda Azure Key Vault för att lagra programhemligheter som lösenord. Följ dessa steg om du vill registrera ett program med hemligheter i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Identitetsprogram>> Appregistreringar.

3. Under Hantera väljer du Appregistreringar > Ny registrering.

4. Ange ett visningsnamn för programmet.

5. Välj "Endast konton i den här organisationskatalogen" i kontotypen som stöds.

6. Välj Registrera.

När du har registrerat ditt program måste du lägga till en klienthemlighet genom att följa dessa steg:

1. Bläddra till Identitetsprogram>> Appregistreringar.

2. välj ditt program.

3. Välj Certifikat och hemligheter > Klienthemligheter > Ny klienthemlighet.

4. Lägg till en beskrivning för din klienthemlighet.

5. Välj en förfallotidpunkt för hemligheten eller ange en anpassad livslängd.

6. Markera Lägga till.

Kommentar

Mer detaljerad information om hur du registrerar ett program finns i: Snabbstart: Registrera en app i Microsofts identitetsplattform:

Om du vill auktorisera det skapade programmet för att anropa MS Graph resume-API :et gör du följande:

1. Gå till Microsoft Entra Administrationscenter Identitetsstyrning – Administrationscenter för Microsoft Entra

2. I den vänstra menyn väljer du Kataloger.

3. Välj den katalog som du har lagt till det anpassade tillägget för.

4. Välj menyn Roller och administratörer och välj "+ Lägg till tilldelningshanterare för åtkomstpaket".

5. I dialogrutan Välj medlemmar söker du efter programmet som skapats med namn eller programidentifierare. Välj programmet och välj knappen "Välj" .

Dricks

Mer detaljerad information om delegering och roller finns i Microsofts officiella dokumentation här: Delegering och roller i berättigandehantering.

Konfigurera ServiceNow för Automation-autentisering

Nu är det dags att konfigurera ServiceNow för att återuppta arbetsflödet för berättigandehantering efter att ServiceNow-biljetten har stängts:

1. Registrera ett Microsoft Entra-program i ServiceNow Application Registry genom att följa dessa steg:
   1. Logga in på ServiceNow och navigera till programregistret.
   2. Välj "Ny" och välj sedan "Anslut till en OAuth-provider från tredje part".
   3. Ange ett namn för programmet och välj Klientautentiseringsuppgifter i standardtyp för beviljande.
   4. Ange klientnamn, ID, klienthemlighet, auktoriserings-URL, token-URL som genererades när du registrerade Microsoft Entra-programmet i administrationscentret för Microsoft Entra.
   5. Skicka in programmet.
2. Skapa ett REST API-meddelande för systemwebbtjänsten genom att följa dessa steg:
   1. Gå till avsnittet REST API-meddelanden under System Web Services.
   2. Välj knappen "Nytt" för att skapa ett nytt REST API-meddelande.
   3. Fyll i alla obligatoriska fält, inklusive att ange slutpunkts-URL:en: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
   4. För Autentisering väljer du OAuth2.0 och väljer den OAuth-profil som skapades under appregistreringsprocessen.
   5. Välj knappen "Skicka" för att spara ändringarna.
   6. Gå tillbaka till avsnittet REST API-meddelanden under System Web Services.
   7. Välj Http-begäran och välj sedan "Ny". Ange ett namn och välj "POST" som Http-metod.
   8. I Http-begäran lägger du till innehållet för Http-frågeparametrarna med hjälp av följande API-schema:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Välj "Skicka" för att spara ändringarna.
3. Ändra schema för begärandetabell: Om du vill ändra schema för begärandetabellen gör du ändringar i de tre tabeller som visas i följande bild: Lägg till den tre kolumnetiketten och skriv som sträng:
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • StageInstanceId
4. Om du vill automatisera arbetsflödet med Flow Designer gör du följande:
   1. Logga in på ServiceNow och gå till Flow Designer.
   2. Välj knappen "Nytt" och skapa en ny åtgärd.
   3. Lägg till en åtgärd för att anropa rest-API-meddelandet för systemwebbtjänsten som skapades i föregående steg. Skript för åtgärden: (Uppdatera skriptet med kolumnetiketterna som skapades i föregående steg):

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Spara åtgärden
   5. Välj knappen "Nytt" för att skapa ett nytt flöde.
   6. Ange flödesnamn, välj Kör som – Systemanvändare och välj skicka.
5. Om du vill skapa utlösare i ServiceNow följer du dessa steg:
   1. Välj "Lägg till utlösare" och välj sedan "uppdaterad" utlösare och kör utlösaren för varje uppdatering.
   2. Lägg till ett filtervillkor genom att uppdatera villkoret enligt följande bild:
   3. Välj klar.
   4. Välj lägg till en åtgärd
   5. Välj åtgärden och välj sedan den åtgärd som skapades i föregående steg.
   6. Dra och släpp de nyligen skapade kolumnerna från begärandeposten till lämpliga åtgärdsparametrar.
   7. Välj "Klar", "Spara" och sedan "Aktivera".

Begära åtkomst till ett åtkomstpaket som slutanvändare

När en slutanvändare begär åtkomst till ett åtkomstpaket skickas begäran till lämplig godkännare. När godkännaren beviljar godkännande anropar Berättigandehantering logikappen. Logikappen anropar sedan ServiceNow för att skapa en ny begäran/biljett och Berättigandehantering väntar på ett återanrop från ServiceNow.

Ta emot åtkomst till det begärda åtkomstpaketet som slutanvändare

IT-supportteamet arbetar med den tidigare biljetten som skapats för att utföra nödvändiga bestämmelser och stänga ServiceNow-biljetten. När biljetten stängs utlöser ServiceNow ett anrop för att återuppta arbetsflödet för berättigandehantering. När begäran har slutförts får beställaren ett meddelande från rättighetshanteringen om att begäran har uppfyllts. Det här effektiviserade arbetsflödet säkerställer att åtkomstbegäranden uppfylls effektivt och att användarna meddelas omgående.

Kommentar

Slutanvändaren ser "tilldelningen misslyckades" i MyAccess-portalen om biljetten inte har stängts inom 14 dagar.

Nästa steg

Gå vidare till nästa artikel för att lära dig hur du skapar...

Utlösa Logic Apps med anpassade tillägg i berättigandehantering