Aracılığıyla paylaş

Öğretici: Microsoft Entra Yetkilendirme Yönetimi Tümleştirmesi ile Otomatik ServiceNow Bileti Oluşturma

  • Makale

Senaryo: Bu senaryoda, atamaları alan ve uygulamalara erişmesi gereken kullanıcıların el ile sağlanması için otomatik olarak ServiceNow biletleri oluşturmak için özel genişletilebilirlik ve Mantıksal Uygulama kullanmayı öğreneceksiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Var olan bir kataloğa Mantıksal Uygulama İş Akışı ekleme.
  • Mevcut erişim paketindeki bir ilkeye özel uzantı ekleme.
  • Yetkilendirme Yönetimi iş akışının devamı için Microsoft Entra Id'ye bir uygulama kaydetme
  • Otomasyon Kimlik Doğrulaması için ServiceNow'un yapılandırılması.
  • Bir erişim paketine son kullanıcı olarak erişim isteğinde bulunma.
  • İstenen erişim paketine son kullanıcı olarak erişim alma.

Önkoşullar

  • Etkin Azure aboneliğine sahip bir Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
  • Şu rollerden biri: Genel Yönetici, Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusu sahibi.
  • Roma veya üzeri bir ServiceNow örneği
  • ServiceNow ile SSO tümleştirmesi. Bu henüz yapılandırılmamışsa devam etmeden önce bkz. Öğretici: ServiceNow ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi.

Not

Bu adımları tamamlarken en az ayrıcalık rolü kullanmanız önerilir.

Yetkilendirme Yönetimi için Mevcut Bir Kataloğa Mantıksal Uygulama İş Akışı Ekleme

Var olan bir kataloğa Mantıksal Uygulama iş akışı eklemek için burada Mantıksal Uygulama oluşturma için ARM şablonunu kullanın:

Azure’a dağıtın.

Logic App ARM şablonunun ekran görüntüsü.

Mantıksal Uygulamayı ilişkilendirmek ve satın alma'yı seçmek için Mantıksal Uygulama adı ve Katalog Kimliği ile birlikte Azure aboneliğini, kaynak grubu ayrıntılarını sağlayın. Yeni katalog oluşturma hakkında daha fazla bilgi için bkz. Yetkilendirme yönetiminde kaynak kataloğu oluşturma ve yönetme.

  1. En azından Kimlik İdaresi Yöneticisi rolü olarak Microsoft Entra yönetim merkezi Kimlik İdaresi - Microsoft Entra yönetim merkezine gidin.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Kaynak grubu sahibi yer alır.

  2. Soldaki menüde Kataloglar'ı seçin.

  3. Özel uzantı eklemek istediğiniz kataloğu seçin ve ardından sol menüden Özel Uzantılar'ı seçin.

  4. Üst bilgi gezinti çubuğunda Özel Uzantı Ekle'yi seçin.

  5. Temel Bilgiler sekmesinde, özel uzantının adını ve iş akışının açıklamasını girin. Bu alanlar, Kataloğun Özel Uzantılar sekmesinde gösterilir. Yetkilendirme yönetimi için özel uzantı oluşturma işleminin ekran görüntüsü.

  6. Oluşturulmak istenen erişim paketinin ilke aşamasına karşılık gelen Uzantı Türünü "İstek iş akışı" olarak seçin. Yetkilendirme yönetimi özel uzantı davranışı eylemleri sekmesinin ekran görüntüsü.

  7. Başlat'ı seçin ve uzantıya bağlı Mantıksal Uygulama görevini tamamlayana kadar ilişkili erişim paketi eylemini duraklatacak olan Uzantı Yapılandırması'nda bekleyin ve işleme devam etmek için yönetici tarafından bir sürdürme eylemi gönderilir. Bu işlem hakkında daha fazla bilgi için bkz. Yetkilendirme yönetimi işlemlerini duraklatan özel uzantıları yapılandırma.

  8. Önceki adımlarda Mantıksal Uygulama zaten oluşturulduğundan, Ayrıntılar sekmesinde "Yeni mantıksal uygulama oluştur" alanında Hayır'ı seçin. Ancak, Mantıksal Uygulama adıyla birlikte Azure aboneliği ve kaynak grubu ayrıntılarını sağlamanız gerekir. Yetkilendirme yönetimi özel uzantı ayrıntıları sekmesinin ekran görüntüsü.

  9. Gözden Geçir ve Oluştur bölümünde özel uzantınızın özetini gözden geçirin ve Mantıksal Uygulama çağrınızın ayrıntılarının doğru olduğundan emin olun. Daha sonra, Oluştur'u seçin.

  10. Bağlantılı Mantıksal Uygulama'nın bu özel uzantısı artık Özel Uzantılar sekmenizde Kataloglar altında görünür. Erişim paketi ilkelerinde bunu çağırabilirsiniz.

İpucu

Yetkilendirme yönetimi işlemlerini duraklatan özel uzantı özelliği hakkında daha fazla bilgi edinmek için bkz. Yetkilendirme yönetimi işlemlerini duraklatan özel uzantıları yapılandırma.

Mevcut Erişim Paketindeki bir ilkeye Özel Uzantı ekleme

Yöneticiler, katalogda özel genişletilebilirlik ayarladıktan sonra, istek onaylandığında özel uzantıyı tetikleyen bir ilkeye sahip bir erişim paketi oluşturabilir. Bu, belirli erişim gereksinimlerini tanımlamalarına ve erişim gözden geçirme sürecini kuruluşlarının gereksinimlerini karşılayacak şekilde uyarlamalarına olanak tanır.

  1. Kimlik İdaresi portalında en azından Kimlik İdaresi Yöneticisi olarak Erişim paketleri'ni seçin.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Access paket yöneticisi yer alır.

  2. Önceden oluşturulmuş erişim paketleri listesinden özel uzantı (Mantıksal Uygulama) eklemek istediğiniz erişim paketini seçin.

  3. İlke sekmesine geçin, ilkeyi seçin ve Düzenle'yi seçin.

  4. İlke ayarlarında Özel Uzantılar sekmesine gidin.

  5. Aşama'nın altındaki menüde, bu özel uzantı (Logic App) için tetikleyici olarak kullanmak istediğiniz erişim paketi olayını seçin. Senaryomuzda erişim paketi onaylandığında özel uzantı Mantıksal Uygulama iş akışını tetikleme için İstek onaylandı'yı seçin.

Not

Daha önce izni verilmiş olan süresi dolmuş bir atama için ServiceNow bileti oluşturmak için "Atama kaldırıldı" için yeni bir aşama ekleyin ve LogicApp'i seçin.

  1. Özel Uzantı'nın altındaki menüde, bu erişim paketine eklemek için yukarıdaki adımlarda oluşturduğunuz özel uzantıyı (Mantıksal Uygulama) seçin. Seçtiğiniz eylem, ne zaman alanında seçilen olay gerçekleştiğinde yürütülür.

  2. Mevcut bir erişim paketinin ilkesine eklemek için Güncelleştir'i seçin. Erişim paketi için özel uzantı ayrıntılarının ekran görüntüsü.

Not

Yeni bir erişim paketi oluşturmak istiyorsanız Yeni erişim paketi'ni seçin. Erişim paketi oluşturma hakkında daha fazla bilgi için bkz. Yetkilendirme yönetiminde yeni bir erişim paketi oluşturma. Mevcut erişim paketini düzenleme hakkında daha fazla bilgi için bkz. Microsoft Entra yetkilendirme yönetiminde erişim paketi için istek ayarlarını değiştirme.

Microsoft Entra yönetim merkezinde gizli dizilerle uygulama kaydetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Azure ile Parolalar gibi uygulama gizli dizilerini depolamak için Azure Key Vault'ı kullanabilirsiniz. Bir uygulamayı Microsoft Entra yönetim merkezinde gizli dizilerle kaydetmek için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.

  3. Yönet'in altında Yeni kayıt Uygulama kayıtları'i > seçin.

  4. Uygulamanız için bir görünen Ad girin.

  5. Desteklenen hesap türünde "Yalnızca bu kuruluş dizinindeki hesaplar" öğesini seçin.

  6. Kaydet'i seçin.

Uygulamanızı kaydettikten sonra şu adımları izleyerek bir istemci gizli dizisi eklemeniz gerekir:

  1. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.

  2. uygulamanızı seçin.

  3. Sertifikalar ve gizli diziler İstemci gizli > dizileri > Yeni istemci gizli dizisi'ni seçin.

  4. İstemci gizli diziniz için bir açıklama ekleyin.

  5. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin.

  6. Ekle'yi seçin.

Not

Bir uygulamayı kaydetme hakkında daha ayrıntılı bilgi edinmek için bkz. Hızlı Başlangıç: Microsoft kimlik platformu bir uygulamayı kaydetme:

Oluşturulan uygulamayı MS Graph özgeçmiş API'sini çağırma yetkisi vermek için aşağıdaki adımları uygulamanız gerekir:

  1. Microsoft Entra yönetim merkezi Kimlik İdaresi - Microsoft Entra yönetim merkezi'ne gidin

  2. Soldaki menüde Kataloglar'ı seçin.

  3. Özel uzantıyı eklediğiniz kataloğu seçin.

  4. "Roller ve yöneticiler" menüsünü seçin ve "+ Erişim paketi atama yöneticisi ekle" seçeneğini belirleyin.

  5. Üye seç iletişim kutusunda, ad veya uygulama Tanımlayıcısı tarafından oluşturulan uygulamayı arayın. Uygulamayı seçin ve "Seç" düğmesini seçin.

İpucu

Temsilci seçme ve roller hakkında daha ayrıntılı bilgileri Microsoft'un resmi belgelerinde bulabilirsiniz: Temsilci seçme ve yetkilendirme yönetimindeki roller.

Otomasyon Kimlik Doğrulaması için ServiceNow'un Yapılandırılması

Bu noktada, ServiceNow bilet kapanışı sonrasında yetkilendirme yönetimi iş akışını devam ettirecek şekilde ServiceNow'ı yapılandırma zamanı geldi:

  1. Aşağıdaki adımları izleyerek ServiceNow Uygulama Kayıt Defteri'ne bir Microsoft Entra uygulaması kaydedin:
    1. ServiceNow'da oturum açın ve Uygulama Kayıt Defteri'ne gidin.
    2. "Yeni" seçeneğini belirleyin ve ardından "Üçüncü taraf OAuth Sağlayıcısına bağlan" seçeneğini belirleyin.
    3. Uygulama için bir ad girin ve Varsayılan Verme türünde İstemci Kimlik Bilgileri'ni seçin.
    4. Microsoft Entra uygulamasını Microsoft Entra yönetim merkezine kaydettiğinizde oluşturulan İstemci Adı, Kimlik, Gizli Anahtar, Yetkilendirme URL'si, Belirteç URL'sini girin.
    5. Uygulamayı gönderin. ServiceNow içindeki uygulama kayıt defterinin ekran görüntüsü.
  2. Şu adımları izleyerek bir Sistem Web Hizmeti REST API iletisi oluşturun:
    1. Sistem Web Hizmetleri'nin altındaki REST API İletileri bölümüne gidin.
    2. Yeni bir REST API iletisi oluşturmak için "Yeni" düğmesini seçin.
    3. Uç Nokta URL'sini sağlamayı da içeren tüm gerekli alanları doldurun: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Kimlik Doğrulaması için OAuth2.0'ı seçin ve uygulama kayıt işlemi sırasında oluşturulan OAuth profilini seçin.
    5. Değişiklikleri kaydetmek için "Gönder" düğmesini seçin.
    6. Sistem Web Hizmetleri'nin altındaki REST API İletileri bölümüne geri dönün.
    7. Http İsteği'ni ve ardından "Yeni" seçeneğini belirleyin. Bir ad girin ve Http yöntemi olarak "POST" öğesini seçin.
    8. Http isteğinde, aşağıdaki API Şemasını kullanarak Http sorgu parametrelerinin içeriğini ekleyin: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Değişiklikleri kaydetmek için "Gönder"i seçin. ServiceNow içindeki arama seçimini sürdürme ekran görüntüsü.ServiceNow içindeki http isteğinin ekran görüntüsü.
  3. İstek tablosu şemasını değiştirme: İstek tablosu şemasını değiştirmek için aşağıdaki görüntüde gösterilen üç tabloda değişiklik yapın: ServiceNow içindeki istek tablosu şemasının ekran görüntüsü. Üç sütun etiketini ekleyin ve dize olarak yazın:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Flow Designer ile iş akışını otomatikleştirmek için aşağıdakileri yaparsınız:
    1. ServiceNow'da oturum açın ve Flow Designer'a gidin.
    2. "Yeni" düğmesini seçin ve yeni bir eylem oluşturun.
    3. Önceki adımda oluşturulan Sistem Web Hizmeti REST API iletisini çağırmak için bir eylem ekleyin. ServiceNow'da yetkilendirme yönetimi işlemini sürdürmek için akış tasarımcısı betiğinin ekran görüntüsü. Eylemin betiği: (Betiği önceki adımda oluşturulan Sütun etiketleriyle güncelleştirin): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. Eylemi Kaydet
    5. Yeni akış oluşturmak için "Yeni" düğmesini seçin.
    6. Akış adını girin, Farklı çalıştır – Sistem Kullanıcısı'yı seçin ve gönder'i seçin.
  5. ServiceNow içinde tetikleyici oluşturmak için şu adımları izlemeniz gerekir:
    1. "Tetikleyici Ekle" seçeneğini belirleyin ve ardından "güncelleştirilmiş" tetikleyiciyi seçin ve her güncelleştirme için tetikleyiciyi çalıştırın.
    2. Aşağıdaki görüntüde gösterildiği gibi koşulu güncelleştirerek bir filtre koşulu ekleyin: ServiceNow çağrı yetkilendirme yönetimi özgeçmiş API'sinin ekran görüntüsü
    3. Bitti'yi seçin.
    4. Eylem ekle'yi seçin Akış diyagramı tetikleyicisinin ekran görüntüsü.
    5. Eylem'i seçin ve ardından önceki adımda oluşturulan eylemi seçin. Akış tasarımcısı eylemleri seçiminin ekran görüntüsü.
    6. Yeni oluşturulan sütunları istek kaydından uygun eylem parametrelerine sürükleyip bırakın.
    7. "Bitti", "Kaydet" ve ardından "Etkinleştir"i seçin. Akış tasarımcısında kaydetme ve etkinleştirmenin ekran görüntüsü.

Son kullanıcı olarak erişim paketine erişim isteme

Son kullanıcı erişim paketine erişim istediğinde, istek uygun onaylayana gönderilir. Onaylayan onay verdikten sonra Yetkilendirme Yönetimi Mantıksal Uygulamayı çağırır. Ardından Mantıksal uygulama ServiceNow'u çağırarak yeni bir istek/bilet oluşturur ve Yetkilendirme Yönetimi ServiceNow'dan geri çağırma bekler.

Erişim paketi isteme işleminin ekran görüntüsü.

İstenen erişim paketine son kullanıcı olarak erişim alma

BT Desteği ekibi, gerekli sağlamaları yapmak ve ServiceNow biletini kapatmak için oluşturulan önceki bilet üzerinde çalışır. Bilet kapatıldığında, ServiceNow Yetkilendirme Yönetimi iş akışını sürdürmek için bir çağrı tetikler. İstek tamamlandıktan sonra istek sahibi yetkilendirme yönetiminden isteğin yerine getirildiğine dair bir bildirim alır. Bu kolaylaştırılmış iş akışı, erişim isteklerinin verimli bir şekilde yerine getirilmesini ve kullanıcılara hemen bildirilmesini sağlar.

Erişim isteği geçmişimin ekran görüntüsü.

Not

Bilet 14 gün içinde kapatılmazsa son kullanıcı MyAccess portalında "atama başarısız oldu" ifadesini görür.

Sonraki adımlar

Oluşturma hakkında bilgi edinmek için sonraki makaleye geçin...

Yetkilendirme yönetiminde özel uzantılarla Logic Apps'i tetikleme