Kurz: Automatizované vytváření lístků ServiceNow s integrací správy nároků Microsoft Entra

Scénář: V tomto scénáři se naučíte používat vlastní rozšiřitelnost a aplikaci logiky k automatickému generování lístků ServiceNow pro ruční zřizování uživatelů, kteří obdrželi přiřazení a potřebují přístup k aplikacím.

V tomto kurzu se naučíte:

• Přidání pracovního postupu aplikace logiky do existujícího katalogu
• Přidání vlastního rozšíření do zásady v rámci existujícího přístupového balíčku
• Registrace aplikace v Microsoft Entra ID pro obnovení pracovního postupu Správa nároků
• Konfigurace ServiceNow pro ověřování automation
• Žádost o přístup k přístupového balíčku jako koncový uživatel
• Příjem přístupu k požadovanému přístupovém balíčku jako koncový uživatel

Požadavky

• Uživatelský účet Microsoft Entra s aktivním předplatným Azure. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí: globální správce, správce cloudových aplikací, správce aplikací nebo vlastník instančního objektu.
• Instance ServiceNow Říma nebo vyšší
• Integrace jednotného přihlašování s ServiceNow Pokud ještě není nakonfigurované, přečtěte si téma:Kurz: Integrace jednotného přihlašování (SSO) Microsoftu s ServiceNow před pokračováním.

Poznámka:

Při provádění těchto kroků se doporučuje použít roli s nejnižšími oprávněními.

Přidání pracovního postupu aplikace logiky do existujícího katalogu pro správu nároků

Pokud chcete přidat pracovní postup aplikace logiky do existujícího katalogu, použijte šablonu ARM pro vytvoření aplikace logiky zde:

.

Zadejte podrobnosti o skupině prostředků spolu s ID katalogu, abyste přidružili Logic App a vybrali možnost nákupu. Další informace o tom, jak vytvořit nový katalog, najdete v tématu: Vytvoření a správa katalogu prostředků ve správě nároků.

Po vytvoření katalogu byste přidali pracovní postup aplikace logiky pomocí následujících kroků:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a vlastník skupiny prostředků.

2. V nabídce vlevo vyberte Katalogy.

3. Vyberte katalog, pro který chcete přidat vlastní rozšíření, a pak v nabídce vlevo vyberte Vlastní rozšíření.

4. Na navigačním panelu záhlaví vyberte Přidat vlastní rozšíření.

5. Na kartě Základy zadejte název vlastního rozšíření a popis pracovního postupu. Tato pole se zobrazí na kartě Vlastní rozšíření katalogu.

6. Jako typ rozšíření vyberte "Pracovní postup žádosti", aby odpovídala fázi zásad požadovaného vytvoření přístupového balíčku.

7. Vyberte Spustit a počkejte v konfiguraci rozšíření, která pozastaví přidruženou akci přístupového balíčku, dokud aplikace logiky propojená s rozšířením dokončí svou úlohu a správce odešle akci obnovení, aby mohl pokračovat v procesu. Další informace o tomto procesu najdete v tématu: Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.

8. Na kartě Podrobnosti zvolte Ne v poli "Vytvořit novou Logic App", protože Logic App už byla vytvořena v předchozích krocích. Musíte ale zadat podrobnosti o předplatném a skupině prostředků Azure spolu s názvem aplikace logiky.

9. V Kontrola a vytvořenízkontrolujte souhrn vlastního rozšíření a ujistěte se, že jsou správné podrobnosti pro volání Logic App. Pak vyberte Vytvořit.

10. Po vytvoření je aplikace logiky přístupná v části Aplikace logiky vedle vlastního rozšíření na stránce vlastních rozšíření. Můžete ho volat v zásadách přístupového balíčku.

Tip

Další informace o funkci vlastního rozšíření, která pozastaví procesy správy nároků, najdete v tématu: Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.

Přidání vlastního rozšíření do zásad v existujícím přístupovém balíčku

Po nastavení vlastní rozšiřitelnosti v katalogu můžou správci vytvořit přístupový balíček se zásadami, které po schválení žádosti aktivují vlastní rozšíření. To jim umožňuje definovat specifické požadavky na přístup a přizpůsobit proces kontroly přístupu tak, aby vyhovoval potřebám organizace.

1. Na portálu zásad správného řízení identit jako správce zásad správného řízení identit vyberte přístupové balíčky.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

2. Ze seznamu už vytvořených přístupových balíčků vyberte přístupový balíček, ke kterému chcete přidat vlastní rozšíření (aplikace logiky).

3. Přejděte na kartu zásad, vyberte zásadu a vyberte Upravit.

4. V nastavení zásad přejděte na kartu Vlastní rozšíření .

5. V nabídce pod fází vyberte událost přístupového balíčku, kterou chcete použít jako trigger pro toto vlastní rozšíření (aplikace logiky). Pokud chcete v našem scénáři aktivovat pracovní postup aplikace logiky vlastního rozšíření při schválení přístupového balíčku, vyberte Žádost je schválena.

   Poznámka:

   Pokud chcete vytvořit lístek ServiceNow pro přiřazení, jehož platnost vypršela dříve, přidejte novou fázi pro odebrání přiřazení a pak vyberte LogicApp.

6. V nabídce pod vlastním rozšířením vyberte vlastní rozšíření (aplikace logiky), které jste vytvořili v předchozích krocích, a přidejte ho do tohoto přístupového balíčku. Akce, kterou vyberete, se provede, když dojde k události vybrané v poli.

7. Výběrem možnosti Aktualizovat ji přidejte do zásad existujícího přístupového balíčku.

Poznámka:

Pokud chcete vytvořit nový přístupový balíček, vyberte Nový přístupový balíček . Další informace o tom, jak vytvořit přístupový balíček, najdete v tématu: Vytvoření nového přístupového balíčku ve správě nároků. Další informace o úpravě existujícího přístupového balíčku najdete v tématu: Změna nastavení žádosti o přístupový balíček ve správě nároků Microsoft Entra.

Registrace aplikace s tajnými kódy v Centru pro správu Microsoft Entra

V Azure můžete používat Azure Key Vault k ukládání tajných kódů aplikací, jako jsou hesla. Pokud chcete zaregistrovat aplikaci s tajnými kódy v Centru pro správu Microsoft Entra, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

2. Přejděte k aplikacím>Registrace aplikací.

3. V části Spravovat vyberte Registrace aplikací > Nová registrace.

4. Zadejte zobrazovaný název aplikace.

5. V podporovaném typu účtu vyberte Účty pouze v tomto organizačním adresáři.

6. Vyberte Zaregistrovat.

Po registraci aplikace musíte přidat tajný klíč klienta pomocí následujícího postupu:

1. Přejděte k aplikacím>Registrace aplikací.

2. vyberte aplikaci.

3. Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.

4. Přidejte popis tajného kódu klienta.

5. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.

6. Vyberte Přidat.

Poznámka:

Podrobnější informace o registraci aplikace najdete v tématu: Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform:

Pokud chcete autorizovat vytvořenou aplikaci pro volání rozhraní MS Graph resume API , postupujte následovně:

1. Přejděte do Centra pro správu Microsoft Entra – Centrum pro správu Identit – Centrum pro správu Microsoft Entra

2. V nabídce vlevo vyberte Katalogy.

3. Vyberte katalog, pro který jste přidali vlastní rozšíření.

4. Vyberte nabídku Role a správci a vyberte +Přidat správce přiřazení přístupového balíčku.

5. V dialogovém okně Vybrat členy vyhledejte aplikaci vytvořenou podle názvu nebo identifikátoru aplikace. Vyberte aplikaci a zvolte tlačítko Vybrat .

Tip

Podrobnější informace o delegování a rolích najdete v oficiální dokumentaci Microsoftu: Delegování a role ve správě nároků.

Konfigurace ServiceNow pro ověřování automation

V tuto chvíli je čas nakonfigurovat ServiceNow pro obnovení pracovního postupu správy nároků po uzavření lístku ServiceNow:

1. Pomocí následujícího postupu zaregistrujte aplikaci Microsoft Entra v registru aplikací ServiceNow:
   1. Přihlaste se k ServiceNow a přejděte do registru aplikací.
   2. Vyberte Nový a pak vyberte Připojit k poskytovateli OAuth třetí strany.
   3. Zadejte název aplikace a ve výchozím typu udělení vyberte Client Credentials (Přihlašovací údaje klienta).
   4. Zadejte název klienta, ID, tajný klíč klienta, autorizační adresu URL, adresu URL tokenu, kterou jste vygenerovali při registraci aplikace Microsoft Entra v Centru pro správu Microsoft Entra.
   5. Odešlete aplikaci.
2. Následujícím postupem vytvořte zprávu rozhraní REST API systémové webové služby:

   1. Přejděte do části Zprávy rozhraní REST API v části Systémové webové služby.

   2. Výběrem tlačítka Nový vytvořte novou zprávu rozhraní REST API.

   3. Vyplňte všechna povinná pole, která zahrnují zadání adresy URL koncového bodu: https://learn.microsoft.com/en-us/graph/api/accesspackageassignmentrequest-resume?view=graph-rest-1.0&tabs=http

   4. V části Ověřování vyberte OAuth2.0 a zvolte profil OAuth, který byl vytvořen během procesu registrace aplikace.

   5. Výběrem tlačítka Odeslat uložte změny.

   6. Vraťte se do části Zprávy rozhraní REST API v části Systémové webové služby.

   7. Vyberte Požadavek HTTP a pak vyberte Nový. Zadejte název a jako metodu HTTP vyberte POST.

   8. V požadavku HTTP přidejte obsah parametrů dotazu HTTP pomocí následujícího schématu rozhraní API:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Výběrem možnosti Odeslat uložte změny.

      

3. Upravte schéma tabulky požadavků: Chcete-li změnit schéma tabulky požadavků, proveďte změny tří tabulek zobrazených na následujícím obrázku: Přidejte popisek čtyř sloupců a zadejte ho jako řetězec:
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • StageInstanceId
   • EntraUserObjectId
4. Pokud chcete automatizovat pracovní postup pomocí Flow Designeru, postupujte takto:
   1. Přihlaste se k ServiceNow a přejděte do Flow Designeru.
   2. Vyberte tlačítko Nový a vytvořte novou akci.
   3. Přidejte akci pro vyvolání zprávy rozhraní REST API systémové webové služby, která byla vytvořena v předchozím kroku. Skript akce: (Aktualizujte skript popisky sloupců vytvořenými v předchozím kroku):

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Uložení akce
   5. Výběrem tlačítka Nový vytvořte nový tok.
   6. Zadejte název toku, vyberte Spustit jako – Systémový uživatel a vyberte Odeslat.
5. Pokud chcete vytvořit triggery v ServiceNow, postupujte takto:
   1. Vyberte Přidat trigger a pak vyberte aktualizovaný trigger a spusťte trigger pro každou aktualizaci.
   2. Přidejte podmínku filtru aktualizací podmínky, jak je znázorněno na následujícím obrázku:
   3. Vyberte hotovo.
   4. Vyberte přidat akci.
   5. Vyberte akci a pak vyberte akci vytvořenou v předchozím kroku.
   6. Přetáhněte nově vytvořené sloupce ze záznamu požadavku na příslušné parametry akce.
   7. Vyberte Hotovo, Uložit a pak Aktivovat.

Vyžádání přístupu k přístupového balíčku jako koncového uživatele

Když koncový uživatel požádá o přístup k přístupovém balíčku, odešle se žádost příslušnému schvalovateli. Jakmile schvalovatel udělí schválení, správa nároků zavolá aplikaci logiky. Aplikace logiky pak zavolá ServiceNow, aby vytvořila nový požadavek nebo lístek a správa nároků čeká na zpětné volání z ServiceNow.

Příjem přístupu k požadovanému přístupovém balíčku jako koncový uživatel

Tým podpory IT pracuje na předchozím lístku vytvořeném k nezbytným ustanovením a zavře lístek ServiceNow. Po zavření lístku služba ServiceNow aktivuje volání pro obnovení pracovního postupu Správa nároků. Po dokončení žádosti obdrží žadatel oznámení ze správy nároků, že žádost byla splněna. Tento zjednodušený pracovní postup zajišťuje efektivní splnění žádostí o přístup a uživatelům se zobrazí výzva.

Poznámka:

Pokud se lístek nezavře do 14 dnů, koncový uživatel se na portálu MyAccess zobrazí "přiřazení se nezdařilo".

Další kroky

V dalším článku se dozvíte, jak vytvořit...

Aktivace Logic Apps s vlastními rozšířeními ve správě nároků