Partager via


Tutoriel : Création automatisée de tickets ServiceNow avec intégration de la gestion des droits d’utilisation Microsoft Entra

Scénario : dans ce scénario, vous allez apprendre à utiliser l’extensibilité personnalisée et une application logique pour générer automatiquement des tickets ServiceNow pour l’approvisionnement manuel des utilisateurs qui ont reçu des affectations et qui ont besoin d’accéder aux applications.

Ce didacticiel vous apprendra à effectuer les opérations suivantes :

  • Ajout d’un Workflow d’Application logique à un catalogue existant.
  • Ajout d’une extension personnalisée à une stratégie dans un package d’accès existant.
  • Inscription d’une application dans Microsoft Entra ID pour reprendre le workflow de gestion des droits d’utilisation
  • Configuration de ServiceNow pour l’Authentification Automation.
  • Requête d’accès à un package d’accès en tant qu’utilisateur final.
  • Réception de l’accès au package d’accès demandé en tant qu’utilisateur final.

Prérequis

Remarque

Nous vous recommandons d’utiliser un rôle de privilège minimum lorsque vous effectuez ces étapes.

Ajout d’un Workflow d’Application logique à un Catalogue existant pour la Gestion des droits d’utilisation

Vous pouvez ajouter des workflows d’application logique à un catalogue existant. Pour plus d’informations sur la création d’un catalogue, consultez : Créer et gérer un catalogue de ressources dans la gestion des droits d’utilisation.

Après la création d’un catalogue, vous ajoutez un workflow d’application logique en effectuant la procédure suivante :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue et le Propriétaire du groupe de ressources.

  2. Dans le menu de gauche, sélectionnez Catalogues.

  3. Sélectionnez le catalogue pour lequel vous souhaitez ajouter une extension personnalisée puis, dans le menu de gauche, sélectionnez Extensions personnalisées.

  4. Dans la barre de navigation de l’en-tête, sélectionnez Ajouter une extension personnalisée.

  5. Sous l’onglet De base, entrez le nom de l’extension personnalisée et une description du flux de travail. Ces champs s’affichent sous l’onglet Extensions personnalisées du catalogue. Capture d’écran de la création d’une extension personnalisée pour la gestion des droits d’utilisation.

  6. Sélectionnez le Type d’extension « Flux de travail de requête » pour correspondre à l’étape de stratégie du package d’accès demandé en cours de création. Capture d’écran de l’onglet Actions de comportement de l’extension personnalisée de la gestion des droits d’utilisation.

  7. Sélectionnez Lancer et attendre dans la Configuration de l’extension, ce qui interrompra l’action du package d’accès associé jusqu’à ce que l’Application logique liée à l’extension ait terminé sa tâche, et que l’administrateur ait envoyé une action de reprise pour poursuivre le processus. Pour plus d’informations sur ce processus, consultez : Configuration des extensions personnalisées qui interrompent les processus de gestion des droits d’utilisation.

  8. Sous l’onglet Détails, choisissez OUI dans le champ « Créer une application logique ». Ajoutez un nom pour l’application logique, ainsi que l’abonnement et le groupe de ressources où vous la placez. Capture d’écran de l’onglet Détails de l’extension personnalisée de la gestion des droits d’utilisation.

  9. Dans Vérifier et créer, examinez le résumé de votre extension personnalisée, puis vérifiez que les détails de votre application logique et de sa légende sont corrects. Après avoir passé en revue ces informations, sélectionnez Créer.

  10. Une fois créée, l’application logique est accessible sous Application logique près de l’extension personnalisée sur la page des extensions personnalisées. Vous pouvez l’appeler dans des stratégies de package d’accès. Capture d’écran d’une liste d’extensions personnalisées.

Conseil

Pour en savoir plus sur la fonctionnalité d’extension personnalisée qui interrompt les processus de gestion des droits d’utilisation, consultez : Configuration des extensions personnalisées qui interrompent les processus de gestion des droits d’utilisation.

Ajout d’une extension personnalisée à une stratégie dans un Package d’accès existant

Après avoir configuré l’extensibilité personnalisée dans le catalogue, les administrateurs peuvent créer un package d’accès avec une stratégie pour déclencher l’extension personnalisée lorsque la requête a été approuvée. Cela leur permet de définir des exigences d’accès spécifiques et d’adapter le processus de révision d’accès pour répondre aux besoins de leur organisation.

  1. Dans portail Gouvernance des identités avec au minimum le rôle Administrateur de la gouvernance des identités, sélectionnez Packages d’accès.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue et le Gestionnaire de package d’accès.

  2. Sélectionnez le package d’accès auquel vous souhaitez ajouter une extension personnalisée (application logique) dans la liste des packages d’accès qui ont déjà été créés.

  3. Accédez à l’onglet de stratégie, sélectionnez la stratégie, puis sélectionnez Modifier.

  4. Dans les paramètres de stratégie, accédez à l’onglet Extensions personnalisées.

  5. Dans le menu Index ci-dessous, sélectionnez l’événement de package d’accès que vous souhaitez utiliser comme déclencheur pour cette extension personnalisée (application logique). Pour notre scénario, afin de déclencher le flux de travail d’application logique d’extension personnalisée lorsque le package d’accès a été approuvé, sélectionnez La requête est approuvée.

    Notes

    Pour créer un ticket ServiceNow pour une affectation expirée qui avait l’autorisation accordée précédemment, ajoutez une nouvelle étape pour « L’affectation est supprimée », puis sélectionnez LogicApp.

  6. Dans le menu Extension personnalisée ci-dessous, sélectionnez l’extension personnalisée (Application logique) que vous avez créée lors des étapes précédentes pour l’ajouter à ce package d’accès. L’action que vous sélectionnez s’exécute quand l’événement sélectionné dans le champ quand se produit.

  7. Sélectionnez Mettre à jour pour l’ajouter à une stratégie du package d’accès existant. Capture d’écran des détails de l’extension personnalisée pour un package d’accès.

Notes

Sélectionnez Nouveau package d’accès si vous souhaitez créer un package d’accès. Si vous souhaitez en savoir plus sur la création d’un package d’accès, consultez : Créer un package d’accès dans la gestion des droits d’utilisation. Pour plus d’informations sur la modification d’un package d’accès existant, consultez : Modifier les paramètres de requête d’un package d’accès dans la fonctionnalité de gestion des droits d’utilisation Microsoft Entra.

Inscrire une application avec des secrets dans le centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Avec Azure, vous pouvez utiliser Azure Key Vault pour stocker des secrets d’application tels que des mots de passe. Pour inscrire une application avec des secrets dans le Centre d’administration Microsoft Entra, procédez comme suit :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Identité>Applications>Inscriptions d’applications.

  3. Sous Gérer, sélectionnez Inscriptions d’applications > Nouvelle inscription.

  4. Entrez un nom d’affichage pour votre application.

  5. Sélectionnez « Comptes dans ce répertoire organisationnel uniquement » dans le type de compte pris en charge.

  6. Sélectionnez Inscription.

Après avoir inscrit votre application, vous devez ajouter une clé secrète client en procédant comme suit :

  1. Accédez à Identité>Applications>Inscriptions d’applications.

  2. sélectionnez votre application.

  3. Sélectionnez Certificats et secrets > Clé secrète client > Nouvelle clé secrète client.

  4. Ajoutez une description pour votre clé secrète client.

  5. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée.

  6. Sélectionnez Ajouter.

Notes

Pour obtenir des informations plus détaillées sur l’inscription d’une application, consultez Démarrage rapide : Inscrire une application dans la plateforme d'identités Microsoft :

Pour autoriser l’application créée à appeler l’API de reprise MS Graph, procédez comme suit :

  1. Accédez à Microsoft Entra centre d’administration Gouvernance des identités – centre d’administration Microsoft Entra

  2. Dans le menu de gauche, sélectionnez Catalogues.

  3. Sélectionnez le catalogue pour lequel vous avez ajouté l’extension personnalisée.

  4. Sélectionnez le menu « Rôles et administrateurs », puis sélectionnez « + Ajouter le gestionnaire d’affectation de package d’accès ».

  5. Dans la boîte de dialogue Sélectionner des membres, recherchez l’application créée par nom ou Identificateur d’application. Sélectionnez l’application et choisissez le bouton « Sélectionner ».

Conseil

Vous trouverez des informations plus détaillées sur la délégation et les rôles dans la documentation officielle de Microsoft disponible ici : Délégation et rôles dans la gestion des droits d’utilisation.

Configuration de ServiceNow pour l’Authentification Automation

À ce stade, il est temps de configurer ServiceNow pour la reprise du flux de travail de gestion des droits d’utilisation après la fermeture du ticket ServiceNow :

  1. Inscrivez une application Microsoft Entra dans le Registre d’applications ServiceNow en procédant comme suit :
    1. Connectez-vous à ServiceNow et accédez au Registre des applications.
    2. Sélectionnez « Nouveau », puis « Se connecter à un fournisseur OAuth tiers ».
    3. Fournissez un nom pour l’application, puis sélectionnez Informations d’identification du client dans le type d’autorisation par défaut.
    4. Entrez le nom du client, l’ID, la clé secrète client, l’URL d’autorisation et l’URL du jeton générés lors de l’inscription de l’application Microsoft Entra dans le Centre d’administration Microsoft Entra.
    5. Envoyez l’application. Capture d’écran du registre des applications dans ServiceNow.
  2. Créez un message d’API REST du service web du système en procédant comme suit :
    1. Accédez à la section Messages de l’API REST sous Services web du système.
    2. Sélectionnez le bouton « Nouveau » pour créer un nouveau message d’API REST.
    3. Renseignez tous les champs obligatoires, notamment en fournissant l’URL du point de terminaison : https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Pour Authentification, sélectionnez OAuth2.0 et choisissez le profil OAuth qui a été créé pendant le processus d’inscription de l’application.
    5. Sélectionnez le bouton « Envoyer » pour enregistrer les modifications.
    6. Retournez à la section Messages de l’API REST sous Services web du système.
    7. Sélectionnez Requête HTTP, puis « Nouveau ». Entrez un nom, puis sélectionnez « POST » comme méthode HTTP.
    8. Dans la requête HTTP, ajoutez le contenu des paramètres de requête HTTP à l’aide du schéma d’API suivant :
      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      
    9. Sélectionnez « Envoyer » pour enregistrer les modifications. Capture d’écran de la sélection de l’appel de reprise dans ServiceNow.Capture d’écran de la requête HTTP dans ServiceNow.
  3. Modifiez le schéma de table de requête : pour modifier le schéma de la table de requête, apportez des modifications aux trois tables affichées dans l’image suivante : Capture d’écran du schéma de la table de requête dans ServiceNow. Ajoutez l’étiquette et le type des trois colonnes sous forme de chaîne :
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Pour automatiser le flux de travail avec Flow Designer, procédez comme suit :
    1. Connectez-vous à ServiceNow et accédez à Flow Designer.
    2. Sélectionnez le bouton « Nouveau » et créez une nouvelle action.
    3. Ajoutez une action pour appeler le message d’API REST du service web du système créé lors de l’étape précédente. Capture d’écran du script du concepteur de flux pour reprendre le processus de gestion des droits d’utilisation dans ServiceNow. Script pour l’action : (mettez à jour le script avec les étiquettes de colonne créées à l’étape précédente) :
      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      
    4. Enregistrez l’action
    5. Sélectionnez le bouton « Nouveau » pour créer un nouveau flux.
    6. Entrez le nom du flux, sélectionnez Exécuter en tant qu’Utilisateur système, puis sélectionnez Envoyer.
  5. Pour créer des déclencheurs dans ServiceNow, procédez comme suit :
    1. Sélectionnez « Ajouter un déclencheur », puis sélectionnez le déclencheur « mis à jour » et exécutez le déclencheur pour chaque mise à jour.
    2. Ajoutez une condition de filtrage en mettant à jour la condition comme indiqué dans l’image suivante : Capture d’écran de l’API de reprise de la gestion des droits d’utilisation d’appel ServiceNow
    3. Sélectionnez Terminé.
    4. Sélectionnez ajouter une action Capture d’écran du déclencheur de diagramme de flux.
    5. Sélectionnez l’Action, puis sélectionnez l’action créée lors de l’étape précédente. Capture d’écran de la sélection des actions du concepteur de flux.
    6. Faites glisser et déposez les colonnes nouvellement créées de l’enregistrement de requête vers les paramètres d’action appropriés.
    7. Sélectionnez « Terminé », « Enregistrer », puis « Activer ». Capture d’écran de l'enregistrement et de l’activation au sein du concepteur de flux.

Requête d’accès à un package d’accès en tant qu’utilisateur final

Lorsqu’un utilisateur final demande l’accès à un package d’accès, la demande est envoyée à l’approbateur approprié. Une fois que l’approbateur a accordé l’approbation, la gestion des droits d’utilisation appelle l’Application logique. L’Application logique appelle ensuite ServiceNow pour créer une nouvelle requête/un ticket et la gestion des droits d’utilisation attend un rappel de ServiceNow.

Capture d’écran de la requête d’un package d’accès.

Réception de l’accès au package d’accès demandé en tant qu’utilisateur final

L’équipe de support travaille sur le précédent ticket créé pour effectuer les provisions nécessaires et fermer le ticket ServiceNow. Lorsque le ticket est fermé, ServiceNow déclenche un appel pour reprendre le flux de travail de gestion des droits d’utilisation. Une fois la requête terminée, le demandeur reçoit une notification de la gestion des droits d’utilisation indiquant que la requête a été satisfaite. Ce flux de travail simplifié garantit que les requêtes d’accès sont traitées efficacement et que les utilisateurs sont avertis rapidement.

Capture d’écran de l’historique des requêtes de Mon accès.

Notes

L’utilisateur final verra « échec de l’affectation » dans le portail MyAccess si le ticket n’est pas fermé dans les 14 jours.

Étapes suivantes

Passez à l’article suivant pour découvrir comment créer...