Kurz: Automatizované vytváření lístků ServiceNow s integrací správy nároků Microsoft Entra
Scénář: V tomto scénáři se naučíte používat vlastní rozšiřitelnost a aplikaci logiky k automatickému generování lístků ServiceNow pro ruční zřizování uživatelů, kteří obdrželi přiřazení a potřebují přístup k aplikacím.
V tomto kurzu se naučíte:
- Přidání pracovního postupu aplikace logiky do existujícího katalogu
- Přidání vlastního rozšíření k politice v existujícím přístupovém balíčku.
- Registrace aplikace v Microsoft Entra ID pro obnovení pracovního postupu Správa nároků
- Konfigurace ServiceNow pro ověřování automatizace.
- Žádost o přístup k přístupovému balíčku jako koncový uživatel.
- Příjem přístupu k požadovanému přístupovému balíčku jako koncový uživatel.
Požadavky
- Uživatelský účet Microsoft Entra s aktivním předplatným Azure. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Jedna z následujících nejméně privilegovaných rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník služebního účtu.
- Instance systému ServiceNow verze Řím nebo novější
- Integrace jednotného přihlašování s ServiceNow Pokud ještě není nakonfigurované, přečtěte si téma:Kurz: Integrace jednotného přihlašování (SSO) Microsoftu s ServiceNow před pokračováním.
Poznámka:
Při provádění těchto kroků se doporučuje použít roli s nejnižšími oprávněními.
Přidání pracovního postupu aplikace logiky do existujícího katalogu pro správu nároků
Pokud chcete přidat pracovní postup aplikace logiky do existujícího katalogu, použijte šablonu ARM pro vytvoření aplikace logiky zde:
Zadejte podrobnosti o skupině prostředků spolu s ID katalogu, abyste připojili Logic App a zvolili nákup. Další informace o tom, jak vytvořit nový katalog, najdete v tématu: Vytvoření a správa katalogu prostředků v řízení oprávnění.
Po vytvoření katalogu byste přidali pracovní postup aplikace logiky pomocí následujících kroků:
Přihlaste se do administračního centra Microsoft Entra jako alespoň správce Správy identit.
Tip
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a vlastník skupiny prostředků.
V nabídce vlevo vyberte Katalogy.
Vyberte katalog, pro který chcete přidat vlastní rozšíření, a pak v nabídce vlevo vyberte Vlastní rozšíření.
Na navigačním panelu záhlaví vyberte Přidat vlastní rozšíření.
Na kartě Základy zadejte název vlastního rozšíření a popis pracovního postupu. Tato pole se zobrazí na kartě Vlastní rozšíření katalogu.
Vyberte typ rozšíření jako "Pracovní postup žádosti", aby odpovídal etapě zásad pro vytvářený požadovaný přístupový balíček.
Vyberte Spustit a počkejte v konfiguraci rozšíření, která pozastaví přidruženou akci přístupového balíčku, dokud aplikace logiky propojená s rozšířením dokončí svou úlohu a správce odešle akci obnovení, aby mohl pokračovat v procesu. Další informace o tomto procesu najdete v tématu: Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.
Na kartě Podrobnosti zvolte Ne v poli "Vytvořit novou Logic App", protože Logic App už byla vytvořena v předchozích krocích. Musíte však zadat podrobnosti o předplatném a skupině prostředků Azure spolu s názvem Logic App.
V Kontrola a vytvoření zkontrolujte shrnutí vašeho vlastního rozšíření a ujistěte se, že podrobnosti volání Logic App jsou správné. Pak vyberte Vytvořit.
Po vytvoření lze Logic App nalézt v sekci Logic App vedle vlastního rozšíření na stránce rozšíření na míru. Můžete to použít v zásadách přístupového balíčku.
Tip
Další informace o funkci vlastního rozšíření, která pozastaví procesy správy nároků, najdete v tématu: Konfigurace vlastních rozšíření, která pozastaví procesy správy nároků.
Přidání vlastního rozšíření do pravidla v existujícím Přístupovém Balíčku
Po nastavení vlastní rozšiřitelnosti v katalogu můžou správci vytvořit přístupový balíček se zásadami, které po schválení žádosti aktivují vlastní rozšíření. To jim umožňuje definovat specifické požadavky na přístup a přizpůsobit proces kontroly přístupu tak, aby vyhovoval potřebám organizace.
Na portálu správy identit jako alespoň správce správy identit vyberte přístupové balíčky.
Tip
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.
Ze seznamu už vytvořených přístupových balíčků vyberte přístupový balíček, ke kterému chcete přidat vlastní rozšíření (aplikace logiky).
Přejděte na kartu zásad, vyberte zásadu a vyberte Upravit.
V nastavení zásad přejděte na kartu Vlastní rozšíření .
V nabídce pod Stage vyberte událost přístupového balíčku, kterou chcete použít jako spouštěč pro toto vlastní rozšíření (Logic App). Chcete-li v našem scénáři spustit pracovní postup Logické aplikace pro vlastní rozšíření při schválení přístupového balíčku, vyberte Žádost je schválena.
Poznámka:
Pokud chcete vytvořit lístek ServiceNow pro přiřazení, jehož platnost vypršela a které mělo předtím udělené oprávnění, přidejte novou fázi pro odebrání přiřazení a následně vyberte LogicApp.
V nabídce pod vlastním rozšířením vyberte vlastní rozšíření (aplikace logiky), které jste vytvořili v předchozích krocích, a přidejte ho do tohoto přístupového balíčku. Akce, kterou vyberete, se provede, když dojde k události vybrané v poli when.
Výběrem možnosti Aktualizovat ji přidejte do zásad existujícího přístupového balíčku.
Poznámka:
Pokud chcete vytvořit nový přístupový balíček, vyberte Nový přístupový balíček . Další informace o tom, jak vytvořit přístupový balíček, najdete v tématu: Vytvoření nového přístupového balíčku ve správě nároků. Další informace o úpravě existujícího přístupového balíčku najdete v tématu: Změna nastavení žádosti o přístupový balíček ve správě nároků Microsoft Entra.
Registrace aplikace s tajnými kódy v Centru pro správu Microsoft Entra
V Azure můžete používat Azure Key Vault k ukládání tajných kódů aplikací, jako jsou hesla. Pokud chcete zaregistrovat aplikaci s tajnými kódy v Centru pro správu Microsoft Entra, postupujte takto:
Přihlaste se do administračního centra Microsoft Entra jako alespoň správce Správy identit.
Přejděte na Identity>aplikace>registrace aplikací.
V části Spravovat vyberte Registrace aplikací > Nová registrace.
Zadejte zobrazovaný název aplikace.
V podporovaném typu účtu vyberte Účty pouze v tomto organizačním adresáři.
Vyberte Zaregistrovat.
Po registraci aplikace musíte přidat tajný klíč klienta pomocí následujícího postupu:
Přejděte na Identity>aplikace>registrace aplikací.
vyberte aplikaci.
Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
Přidejte popis tajného kódu klienta.
Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
Vyberte Přidat.
Poznámka:
Podrobnější informace o registraci aplikace najdete v tématu: Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform:
Pokud chcete autorizovat vytvořenou aplikaci pro volání rozhraní MS Graph resume API , postupujte následovně:
Přejděte do centra pro správu Microsoft Entra Identitní správa – Centrum pro správu Microsoft Entra
V nabídce vlevo vyberte Katalogy.
Vyberte katalog, pro který jste přidali vlastní rozšíření.
Vyberte nabídku „Role a správci“ a vyberte „+ Přidat správce přiřazení přístupového balíčku“.
V dialogovém okně Vybrat členy vyhledejte aplikaci vytvořenou podle názvu nebo identifikátoru aplikace. Vyberte aplikaci a zvolte tlačítko Vybrat .
Tip
Podrobnější informace o delegování a rolích najdete v oficiální dokumentaci Microsoftu: Delegování a role ve správě nároků.
Konfigurace ServiceNow pro ověřování automatizace
V tuto chvíli je čas nakonfigurovat ServiceNow pro obnovení pracovního postupu správy nároků po uzavření lístku ServiceNow:
- Pomocí následujícího postupu zaregistrujte aplikaci Microsoft Entra v registru aplikací ServiceNow:
- Přihlaste se k ServiceNow a přejděte do registru aplikací.
- Vyberte „Nový“ a pak vyberte „Připojit k poskytovateli OAuth třetí strany“.
- Zadejte název aplikace a ve výchozím typu udělení vyberte Přihlašovací údaje klienta.
- Zadejte název klienta, ID, tajný klíč klienta, autorizační adresu URL, adresu URL tokenu, kterou jste vygenerovali při registraci aplikace Microsoft Entra v Centru pro správu Microsoft Entra.
- Odešlete aplikaci.
- Následujícím postupem vytvořte zprávu rozhraní REST API systémové webové služby:
Přejděte do části Zprávy rozhraní REST API v části Systémové webové služby.
Výběrem tlačítka Nový vytvořte novou zprávu rozhraní REST API.
Vyplňte všechna povinná pole, která zahrnují zadání adresy URL koncového bodu:
https://learn.microsoft.com/en-us/graph/api/accesspackageassignmentrequest-resume?view=graph-rest-1.0&tabs=http
V části Ověřování vyberte OAuth2.0 a zvolte profil OAuth, který byl vytvořen během procesu registrace aplikace.
Výběrem tlačítka Odeslat uložte změny.
Vraťte se do části Zprávy rozhraní REST API v části Systémové webové služby.
Vyberte „Požadavek HTTP“ a pak vyberte „Nový“. Zadejte název a jako metodu HTTP vyberte POST.
V požadavku HTTP přidejte obsah parametrů dotazu HTTP pomocí následujícího schématu rozhraní API:
{ "data": { "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData", "customExtensionStageInstanceDetail": "Resuming-Assignment for user", "customExtensionStageInstanceId": "${StageInstanceId}", "stage": "${Stage}" }, "source": "ServiceNow", "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}" }
- Upravte schéma tabulky požadavků: Chcete-li změnit schéma tabulky požadavků, proveďte změny tří tabulek zobrazených na následujícím obrázku:
Přidejte popisek čtyř sloupců a zadejte ho jako řetězec:
- Přístupový_Balíček_Přiřazení_Žádost_Id
- Fáze přiřazení přístupového balíčku
- StageInstanceId
- EntraUserObjectId
- Pokud chcete automatizovat pracovní postup pomocí Flow Designeru, postupujte takto:
- Přihlaste se k ServiceNow a přejděte do Flow Designeru.
- Vyberte tlačítko Nový a vytvořte novou akci.
- Přidejte akci pro vyvolání zprávy rozhraní REST API systémové webové služby, která byla vytvořena v předchozím kroku.
Skript akce: (Aktualizujte skript popisky sloupců vytvořenými v předchozím kroku):
(function execute(inputs, outputs) { gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']); gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] ); gs.info("Stage: " + inputs['assignmentstage']); var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME'); r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']); r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] ); r.setStringParameterNoEscape('Stage', inputs['assignmentstage']); var response = r.execute(); var responseBody = response.getBody(); var httpStatus = response.getStatusCode(); var requestBody = r.getRequestBody(); gs.info("requestBody: " + requestBody); gs.info("responseBody: " + responseBody); gs.info("httpStatus: " + httpStatus); })(inputs, outputs);
- Ulož akci
- Výběrem tlačítka Nový vytvořte nový tok.
- Zadejte název toku, vyberte Spustit jako – Systémový uživatel a vyberte Odeslat.
- Pokud chcete vytvořit triggery v ServiceNow, postupujte takto:
- Vyberte Přidat spouštěč a pak vyberte aktualizovaný spouštěč a spusťte spouštěč pro každou aktualizaci.
- Přidejte podmínku filtru tím, že aktualizujete podmínku, jak je znázorněno na následujícím obrázku:
- Vyberte možnost hotovo.
- Vyberte možnost přidat akci.
- Vyberte akci a pak vyberte akci vytvořenou v předchozím kroku.
- Přetáhněte nově vytvořené sloupce ze záznamu požadavku na příslušné parametry akce.
- Vyberte Hotovo, Uložit a pak Aktivovat.
Vyžádání přístupu k přístupovému balíčku jako koncového uživatele
Když koncový uživatel požádá o přístup k přístupovém balíčku, odešle se žádost příslušnému schvalovateli. Jakmile schvalovatel udělí schválení, „Entitlement Management“ zavolá „Logic App“. Aplikace logiky pak zavolá ServiceNow, aby vytvořila nový požadavek nebo lístek a správa nároků čeká na zpětné volání z ServiceNow.
Příjem přístupu k požadovanému přístupovém balíčku jako koncový uživatel
Tým podpory IT pracuje na předchozím vytvořeném ticketu k provedení potřebných opatření a uzavře ticket v ServiceNow. Po zavření lístku služba ServiceNow aktivuje volání pro obnovení pracovního procesu Řízení nároků. Po dokončení žádosti obdrží žadatel oznámení ze správy nároků, že žádost byla splněna. Tento zjednodušený pracovní postup zajišťuje efektivní splnění žádostí o přístup a uživatelé jsou okamžitě informováni.
Poznámka:
Pokud není ticket uzavřen do 14 dnů, koncový uživatel na portálu MyAccess uvidí "přiřazení se nezdařilo".
Další kroky
V dalším článku se dozvíte, jak vytvořit...