Condividi tramite


Esercitazione: creazione automatica di ticket in ServiceNow con l'integrazione di Microsoft Entra Gestione delle Autorizzazioni

Scenario: in questo scenario si apprenderà a usare l'estendibilità personalizzata e un'App per la logica per generare automaticamente dei ticket di ServiceNow per il provisioning manuale degli utenti che hanno ricevuto assegnazioni e hanno bisogno dell'accesso alle app.

In questa esercitazione si apprenderà come:

  • Aggiunta di un flusso di lavoro di App Logiche a un catalogo esistente.
  • Aggiunta di un'estensione personalizzata a una policy all'interno di un access package esistente.
  • Registrazione di un'applicazione in Microsoft Entra ID per riprendere il flusso di lavoro di Gestione delle autorizzazioni
  • Configurazione di ServiceNow per l'autenticazione di automazione.
  • Richiesta di accesso a un pacchetto di accesso come utente finale.
  • Ricezione dell'accesso al pacchetto di accesso richiesto come utente finale.

Prerequisiti

Nota

È consigliabile usare un ruolo con privilegi minimi quando si completano questi passaggi.

Aggiunta del flusso di lavoro di Logic App a un catalogo esistente per la gestione delle autorizzazioni

Per aggiungere un flusso di lavoro della Logic App a un catalogo esistente, utilizzare il modello ARM per creare la Logic App qui:

Eseguire il deployment su Azure .

Schermata del modello ARM di Logic App.

Specificare i dettagli del gruppo di risorse, insieme all'ID catalogo per associare la Logic App e selezionare 'Acquista'. Per ulteriori informazioni su come creare un nuovo catalogo, consultare Creare e gestire un catalogo di risorse nella gestione delle autorizzazioni.

Dopo aver creato un catalogo, è necessario aggiungere un flusso di lavoro dell'app per la logica seguendo questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il Proprietario catalogo e il proprietario del gruppo di risorse.

  2. Nel menu a sinistra selezionare Cataloghi.

  3. Selezionare il catalogo per il quale si intende aggiungere un'estensione personalizzata e quindi nel menu a sinistra selezionare Estensioni personalizzate.

  4. Nella barra di spostamento dell'intestazione selezionare Aggiungi un'Estensione personalizzata.

  5. Nella scheda Dati principali immettere il nome dell'estensione personalizzata e una descrizione del flusso di lavoro. Questi campi vengono visualizzati nella scheda Estensioni personalizzate del catalogo. Screenshot della creazione di un'estensione personalizzata per la gestione dei diritti.

  6. Selezionare il Tipo di estensione come "Richiedi flusso di lavoro" affinché corrisponda alla fase dei criteri del pacchetto di accesso richiesto per la creazione. Screenshot della scheda Azioni del comportamento dell'estensione personalizzata per la gestione degli aventi diritto.

  7. Selezionare Avvia e attendi nella Configurazione dell'estensione che sospende l'azione associata al pacchetto di accesso fino a quando l'app per la logica collegata all'estensione completa l'attività e un'azione di ripresa viene inviata dall'amministratore per continuare il processo. Per ulteriori informazioni su questo processo, consultare Configurazione di estensioni personalizzate che interrompono i processi di gestione dei diritti.

  8. Nella scheda Dettagli, scegliere No nel campo "Crea nuova Logic App" perché la Logic App è già stata creata nei passaggi precedenti. Tuttavia, è necessario fornire i dettagli della sottoscrizione di Azure e del gruppo di risorse, insieme al nome della Logic App. Screenshot della scheda dei dettagli dell'estensione personalizzata per la gestione dei diritti.

  9. In Revisiona e crea, esamina il riepilogo della tua estensione personalizzata e assicurati che i dettagli per il richiamo della Logic App siano corretti. Selezionare quindi Crea.

  10. Dopo la creazione, l'app per la logica è accessibile in App per la logica accanto all'estensione personalizzata nella pagina delle estensioni personalizzate. È possibile richiamare questo nelle politiche dei pacchetti di accesso. Screenshot dell'elenco di estensioni personalizzato.

Suggerimento

Per altre informazioni sulla funzionalità di estensione personalizzata che sospende i processi di gestione entitlement, vedere Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement.

Aggiunta di un'estensione personalizzata a una politica in un pacchetto di accesso esistente

Dopo aver configurato l'estendibilità personalizzata nel catalogo, gli amministratori possono creare un pacchetto di accesso con un criterio per attivare l'estensione personalizzata quando la richiesta è stata approvata. In questo modo è possibile definire requisiti di accesso specifici e personalizzare il processo di verifica dell'accesso per soddisfare le esigenze dell'organizzazione.

  1. Nel portale di Identity Governance con il ruolo almeno di Amministratore di Identity Governance selezionare Pacchetti di accesso.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo e Responsabile dei pacchetti di accesso.

  2. Selezionare il pacchetto di accesso a cui si intende aggiungere un'estensione personalizzata (App per la logica) dall'elenco dei pacchetti di accesso già creati.

  3. Passare alla scheda criteri, selezionare il criterio e selezionare Modifica.

  4. Nelle impostazioni dei criteri passare alla scheda Estensioni personalizzate.

  5. Nel menu sottostante Stage, selezionare l'evento del pacchetto di accesso che si intende usare come trigger di questa estensione personalizzata (Logic App). Per il nostro scenario, per attivare il flusso di lavoro di Logic App dell'estensione personalizzata quando viene approvata la richiesta del pacchetto di accesso, selezionare La richiesta è approvata.

    Nota

    Per creare un ticket ServiceNow per un'assegnazione scaduta con autorizzazione concessa in precedenza, aggiungere un nuovo passaggio per "Assegnazione rimossa", quindi selezionare il LogicApp.

  6. Nel menu sotto Estensione personalizzata selezionare l'estensione personalizzata (App per la logica) creata nei passaggi precedenti per aggiungerla a questo pacchetto di accesso. L'azione selezionata viene eseguita quando l'evento selezionato nel campo when si verifica.

  7. Selezionare Aggiorna per aggiungerlo ai criteri di un pacchetto di accesso esistente. Screenshot dei dettagli dell'estensione personalizzata per un pacchetto di accesso.

Nota

Selezionare Nuovo pacchetto di accesso se si intende creare un nuovo pacchetto di accesso. Per ulteriori informazioni su come creare un pacchetto di accesso, consultare: Creare un nuovo pacchetto di accesso nella gestione delle autorizzazioni. Per altre informazioni su come modificare un pacchetto di accesso esistente, vedere: Modificare le impostazioni delle richieste per un pacchetto di accesso nella gestione entitlement di Microsoft Entra.

Registrare un'applicazione con segreti nell'Interfaccia di amministrazione di Microsoft Entra

Con Azure è possibile usare Azure Key Vault per archiviare segreti dell'applicazione, ad esempio password. Per registrare un'applicazione con segreti nell'Interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identità>Applicazioni>Registrazioni delle app.

  3. Sotto la voce Gestisci selezionare Registrazioni app > Nuova registrazione.

  4. Inserisci il nome visualizzato dell'applicazione.

  5. Selezionare "Solo account in questa directory organizzativa" nel tipo di account supportato.

  6. Seleziona Registra.

Dopo aver registrato l'applicazione, è necessario aggiungere un segreto client seguendo questa procedura:

  1. Passare a Identità>Applicazioni>Registrazioni app.

  2. selezionare l'applicazione.

  3. Selezionare Certificati & segreti > Segreti del client > Nuovo segreto del client.

  4. Aggiungi una descrizione per il segreto del client.

  5. Selezionare una scadenza per il segreto o specificare una durata personalizzata.

  6. Seleziona Aggiungi.

Nota

Per informazioni più dettagliate sulla registrazione di un'applicazione, vedere Avvio rapido: registrare un'app in Microsoft Identity Platform:

Per autorizzare l'applicazione creata a chiamare l'API di ripresa di MS Graph, seguire questa procedura:

  1. Passare all'Interfaccia di amministrazione di Microsoft Entra Identity Governance - Interfaccia di amministrazione di Microsoft Entra

  2. Nel menu a sinistra selezionare Cataloghi.

  3. Selezionare il catalogo per il quale è stata aggiunta l'estensione personalizzata.

  4. Selezionare il menu "Ruoli e amministratori" e selezionare "+ Aggiungi gestione assegnazione pacchetti di accesso".

  5. Nella finestra di dialogo Seleziona membri, cercare l'applicazione creata in base al nome o all'identificatore dell'applicazione. Selezionare l'applicazione e scegliere il pulsante "Seleziona".

Suggerimento

Per informazioni più dettagliate sulla delega e sui ruoli, vedere la documentazione ufficiale di Microsoft disponibile qui: Delega e ruoli nella gestione delle autorizzazioni.

Configurazione di ServiceNow per l'autenticazione di automazione

A questo punto, è il momento di configurare ServiceNow per riprendere il flusso di lavoro per la gestione dei diritti dopo la chiusura del ticket di ServiceNow.

  1. Registrare un'applicazione Microsoft Entra nel Registro applicazioni di ServiceNow seguendo questa procedura:
    1. Accedere a ServiceNow e passare al Registro applicazioni.
    2. Selezionare "Nuovo", quindi "Connetti a un provider OAuth di terze parti".
    3. Fornisci un nome all'applicazione e seleziona Credenziali client come tipo di concessione predefinito.
    4. Immettere il nome client, l'ID, il segreto client, l'URL di autorizzazione, l'URL del token generato quando è stata registrata l'applicazione Microsoft Entra nell'Interfaccia di amministrazione di Microsoft Entra.
    5. Inviare l'applicazione. Screenshot del registro delle applicazioni in ServiceNow.
  2. Creare un messaggio dell'API REST del servizio Web di sistema seguendo questa procedura:
    1. Passare alla sezione Messaggi dell'API REST in Servizi Web di sistema.

    2. Selezionare il pulsante "Nuovo" per creare un nuovo messaggio dell'API REST.

    3. Compilare tutti i campi obbligatori, il che comprende l'URL dell'endpoint: https://learn.microsoft.com/en-us/graph/api/accesspackageassignmentrequest-resume?view=graph-rest-1.0&tabs=http

    4. Per Autenticazione selezionare OAuth2.0 e scegliere il profilo OAuth creato durante il processo di registrazione dell'app.

    5. Selezionare il pulsante "Invia" per salvare le modifiche.

    6. Tornare alla sezione Messaggi dell'API REST in Servizi Web di sistema.

    7. Selezionare Richiesta HTTP, quindi selezionare "Nuovo". Immettere un nome e selezionare "POST" come metodo HTTP.

    8. Nella richiesta Http aggiungere il contenuto per i parametri di query Http usando lo schema API seguente:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      
    9. Selezionare "Invia" per salvare le modifiche. Screenshot della selezione di ripresa delle chiamate all'interno di ServiceNow.

      Screenshot della richiesta HTTP all'interno di ServiceNow.

  3. Modificare lo schema della tabella delle richieste: per modificare lo schema della tabella delle richieste, apportare modifiche alle tre tabelle illustrate nell'immagine seguente: Screenshot dello schema della tabella delle richieste in ServiceNow. Aggiungere l'etichetta di quattro colonne e digitare come stringa:
    • ID Richiesta Assegnazione Pacchetto Accesso
    • Fase di Assegnazione del Pacchetto di Accesso
    • StageInstanceId
    • EntraUserObjectId
  4. Per automatizzare il flusso di lavoro con Progettazione flusso, eseguire le operazioni seguenti:
    1. Effettuare l'accesso a ServiceNow e passare a Flow Designer.
    2. Selezionare il pulsante "Nuovo" e creare una nuova azione.
    3. Aggiungere un'azione per richiamare il messaggio dell'API REST del servizio Web di sistema creato nel passaggio precedente. Screenshot dello script del designer di flusso per riavviare il processo di gestione delle autorizzazioni all'interno di ServiceNow. Script per l'azione: (aggiornare lo script con le etichette di colonna create nel passaggio precedente):
      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      
    4. Salva l'azione
    5. Selezionare il pulsante "Nuovo" per creare un nuovo flusso.
    6. Immettere il nome del flusso, selezionare Esegui come - Utente di sistema e selezionare Invia.
  5. Per creare trigger all'interno di ServiceNow, seguire questa procedura:
    1. Selezionare "Aggiungi trigger" e quindi selezionare il trigger "aggiornato" ed eseguire il trigger per ogni aggiornamento.
    2. Aggiungere una condizione di filtro aggiornando i parametri come illustrato nell'immagine seguente: Screenshot dell'API di gestione dei diritti delle chiamate di ServiceNow
    3. Seleziona Fatto.
    4. Seleziona l'opzione 'aggiungi un'azione' Screenshot del trigger del diagramma di flusso.
    5. Selezionare Azione, quindi selezionare l'azione creata nel passaggio precedente. Screenshot della selezione delle azioni del Designer di Flussi.
    6. Trascina e rilascia le colonne appena create dal record della richiesta nei parametri di azione appropriati.
    7. Selezionare "Fatto", "Salva", quindi "Attiva". Screenshot del salvataggio e dell'attivazione all'interno di Progettazione flusso.

Richiesta di accesso a un pacchetto di accesso come utente finale

Quando un utente finale richiede l'accesso a un pacchetto di accesso, la richiesta viene inviata all'approvatore appropriato. Dopo che il responsabile delle approvazioni concede l'approvazione, Entitlement Management chiama la Logic App. L'app Logica chiama quindi ServiceNow per creare una nuova richiesta/ticket e Gestione delle autorizzazioni attende una richiamata da ServiceNow.

Screenshot della richiesta di pacchetto di accesso.

Ricezione dell'accesso al pacchetto di accesso richiesto come utente finale

Il team di supporto IT lavora sul ticket precedente creato per eseguire le disposizioni necessarie e chiudere il ticket ServiceNow. Quando il ticket è chiuso, ServiceNow attiva una chiamata per riavviare il flusso di lavoro di Gestione delle autorizzazioni. Una volta completata la richiesta, il richiedente riceve una notifica dalla gestione delle autorizzazioni che la richiesta è stata soddisfatta. Questo flusso di lavoro semplificato garantisce che le richieste di accesso vengano soddisfatte in modo efficiente e che gli utenti vengano informati tempestivamente.

Screenshot della cronologia delle richieste di Accesso personale.

Nota

All'utente finale verrà mostrato il messaggio "assegnazione non riuscita" nel portale MyAccess se il ticket non viene chiuso entro 14 giorni.

Passaggi successivi

Passare all'articolo successivo per informazioni su come creare: