Condividi tramite


Esercitazione: creazione automatica di ticket ServiceNow con l'integrazione di Gestione entitlement di Microsoft Entra

Scenario: in questo scenario si apprenderà a usare l'estendibilità personalizzata e un'App per la logica per generare automaticamente dei ticket di ServiceNow per il provisioning manuale degli utenti che hanno ricevuto assegnazioni e hanno bisogno dell'accesso alle app.

In questa esercitazione si apprenderà come:

  • Aggiunta di un flusso di lavoro di App per la logica a un catalogo esistente.
  • Aggiunta di un'estensione personalizzata a un criterio all'interno di un pacchetto di accesso esistente.
  • Registrazione di un'applicazione in Microsoft Entra ID per la ripresa del flusso di lavoro di Gestione entitlement
  • Configurazione di ServiceNow per l'autenticazione di automazione.
  • Richiesta di accesso a un pacchetto di accesso come utente finale.
  • Ricezione dell'accesso al pacchetto di accesso richiesto come utente finale.

Prerequisiti

Nota

È consigliabile usare un ruolo con privilegi minimi quando si completano questi passaggi.

Aggiunta del flusso di lavoro di App per la logica a un catalogo esistente per Gestione entitlement

Per aggiungere un flusso di lavoro della Logic App a un catalogo esistente, utilizzare il modello ARM di Resource Manager per la creazione della Logic App qui:

Eseguire il deployment su Azure .

Screenshot del modello ARM dell'app Logic.

Specificare i dettagli del gruppo di risorse, insieme all'ID catalogo per associare la Logic App e selezionare 'Acquista'. Per altre informazioni su come creare un nuovo catalogo, vedere Creare e gestire un catalogo di risorse nella gestione entitlement.

Dopo aver creato un catalogo, è necessario aggiungere un flusso di lavoro dell'app per la logica seguendo questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il Proprietario catalogo e il proprietario del gruppo di risorse.

  2. Nel menu a sinistra selezionare Cataloghi.

  3. Selezionare il catalogo per il quale si intende aggiungere un'estensione personalizzata e quindi nel menu a sinistra selezionare Estensioni personalizzate.

  4. Nella barra di spostamento dell'intestazione selezionare Aggiungi un'Estensione personalizzata.

  5. Nella scheda Dati principali immettere il nome dell'estensione personalizzata e una descrizione del flusso di lavoro. Questi campi vengono visualizzati nella scheda Estensioni personalizzate del catalogo. Screenshot della creazione di un'estensione personalizzata per la gestione entitlement.

  6. Selezionare il Tipo di estensione come "Richiedi flusso di lavoro" affinché corrisponda alla fase dei criteri del pacchetto di accesso richiesto per la creazione. Screenshot della scheda Azioni del comportamento dell'estensione personalizzata per la gestione entitlement.

  7. Selezionare Avvia e attendi nella Configurazione dell'estensione che sospende l'azione associata al pacchetto di accesso fino a quando l'app per la logica collegata all'estensione completa l'attività e un'azione di ripresa viene inviata dall'amministratore per continuare il processo. Per altre informazioni su questo processo, vedere Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement.

  8. Nella scheda Dettagli, scegliere No nel campo "Crea nuova Logic App" perché la Logic App è già stata creata nei passaggi precedenti. Tuttavia, è necessario fornire i dettagli della sottoscrizione di Azure e del gruppo di risorse, insieme al nome della Logic App. Screenshot della scheda dei dettagli dell'estensione personalizzata per la gestione entitlement.

  9. In Revisiona e crea, esamina il riepilogo della tua estensione personalizzata e assicurati che i dettagli per il richiamo della Logic App siano corretti. Selezionare quindi Crea.

  10. Dopo la creazione, l'app per la logica è accessibile in App per la logica accanto all'estensione personalizzata nella pagina delle estensioni personalizzate. È possibile chiamare questa opzione nei criteri del pacchetto di accesso. Screenshot dell'elenco di estensioni personalizzato.

Suggerimento

Per altre informazioni sulla funzionalità di estensione personalizzata che sospende i processi di gestione entitlement, vedere Configurazione di estensioni personalizzate che sospendono i processi di gestione entitlement.

Aggiunta di un'estensione personalizzata a un criterio in un pacchetto di accesso esistente

Dopo aver configurato l'estendibilità personalizzata nel catalogo, gli amministratori possono creare un pacchetto di accesso con un criterio per attivare l'estensione personalizzata quando la richiesta è stata approvata. In questo modo è possibile definire requisiti di accesso specifici e personalizzare il processo di verifica dell'accesso per soddisfare le esigenze dell'organizzazione.

  1. Nel portale di Identity Governance con il ruolo almeno di Amministratore di Identity Governance selezionare Pacchetti di accesso.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo e Responsabile dei pacchetti di accesso.

  2. Selezionare il pacchetto di accesso a cui si intende aggiungere un'estensione personalizzata (App per la logica) dall'elenco dei pacchetti di accesso già creati.

  3. Passare alla scheda criteri, selezionare il criterio e selezionare Modifica.

  4. Nelle impostazioni dei criteri passare alla scheda Estensioni personalizzate.

  5. Nel menu seguente Fase selezionare l'evento del pacchetto di accesso che si intende usare come trigger di questa estensione personalizzata (app per la logica). Per questo scenario per attivare il flusso di lavoro dell'app per la logica di estensione personalizzata, quando il pacchetto di accesso è stato approvato, selezionare Richiesta approvata.

    Nota

    Per creare un ticket ServiceNow su un'assegnazione scaduta con autorizzazione concessa in precedenza, aggiungere una nuova fase per "Assegnazione rimossa", quindi selezionare l'app per la logica.

  6. Nel menu sotto Estensione personalizzata selezionare l'estensione personalizzata (App per la logica) creata nei passaggi precedenti per aggiungerla a questo pacchetto di accesso. L'azione selezionata viene eseguita quando l'evento selezionato nel campo when si verifica.

  7. Selezionare Aggiorna per aggiungerlo ai criteri di un pacchetto di accesso esistente. Screenshot dei dettagli dell'estensione personalizzati per un pacchetto di accesso.

Nota

Selezionare Nuovo pacchetto di accesso se si intende creare un nuovo pacchetto di accesso. Per altre informazioni su come creare un pacchetto di accesso, vedere Creare un nuovo pacchetto di accesso nella gestione entitlement. Per altre informazioni su come modificare un pacchetto di accesso esistente, vedere: Modificare le impostazioni delle richieste per un pacchetto di accesso nella gestione entitlement di Microsoft Entra.

Registrare un'applicazione con segreti nell'Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

Con Azure è possibile usare Azure Key Vault per archiviare segreti dell'applicazione, ad esempio password. Per registrare un'applicazione con segreti nell'Interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identità>Applicazioni>Registrazioni app.

  3. Sotto la voce Gestisci selezionare Registrazioni app > Nuova registrazione.

  4. Immettere un nome visualizzato per l'applicazione.

  5. Selezionare "Account solo in questa directory dell'organizzazione" nel tipo di account supportato.

  6. Selezionare Registra.

Dopo aver registrato l'applicazione, è necessario aggiungere un segreto client seguendo questa procedura:

  1. Passare a Identità>Applicazioni>Registrazioni app.

  2. selezionare l'applicazione.

  3. Selezionare Certificati & segreti > Segreti client > Nuovo segreto client.

  4. Aggiungere una descrizione per il segreto client.

  5. Selezionare una scadenza per il segreto o specificare una durata personalizzata.

  6. Seleziona Aggiungi.

Nota

Per informazioni più dettagliate sulla registrazione di un'applicazione, vedere Avvio rapido: registrare un'app in Microsoft Identity Platform:

Per autorizzare l'applicazione creata a chiamare l'API di ripresa di MS Graph, seguire questa procedura:

  1. Passare all'Interfaccia di amministrazione di Microsoft Entra Identity Governance - Interfaccia di amministrazione di Microsoft Entra

  2. Nel menu a sinistra selezionare Cataloghi.

  3. Selezionare il catalogo per il quale è stata aggiunta l'estensione personalizzata.

  4. Selezionare il menu "Ruoli e amministratori" e selezionare "+ Aggiungi gestione assegnazione pacchetti di accesso".

  5. Nella finestra di dialogo Seleziona membri, cercare l'applicazione creata in base al nome o all'identificatore dell'applicazione. Selezionare l'applicazione e scegliere il pulsante "Seleziona".

Suggerimento

Per informazioni più dettagliate sulla delega e sui ruoli, vedere la documentazione ufficiale di Microsoft disponibile qui: Delega e ruoli nella gestione entitlement.

Configurazione di ServiceNow per l'autenticazione di automazione

A questo punto è possibile configurare ServiceNow per riprendere il flusso di lavoro di gestione entitlement dopo la chiusura del ticket ServiceNow:

  1. Registrare un'applicazione Microsoft Entra nel Registro applicazioni di ServiceNow seguendo questa procedura:
    1. Accedere a ServiceNow e passare al Registro applicazioni.
    2. Selezionare "Nuovo", quindi "Connetti a un provider OAuth di terze parti".
    3. Specificare un nome per l'applicazione e selezionare Credenziali client nel tipo di concessione predefinito.
    4. Immettere il nome client, l'ID, il segreto client, l'URL di autorizzazione, l'URL del token generato quando è stata registrata l'applicazione Microsoft Entra nell'Interfaccia di amministrazione di Microsoft Entra.
    5. Inviare l'applicazione. Screenshot del Registro di sistema dell'applicazione in ServiceNow.
  2. Creare un messaggio dell'API REST del servizio Web di sistema seguendo questa procedura:
    1. Passare alla sezione Messaggi dell'API REST in Servizi Web di sistema.

    2. Selezionare il pulsante "Nuovo" per creare un nuovo messaggio dell'API REST.

    3. Compilare tutti i campi obbligatori, il che comprende l'URL dell'endpoint: https://learn.microsoft.com/en-us/graph/api/accesspackageassignmentrequest-resume?view=graph-rest-1.0&tabs=http

    4. Per Autenticazione selezionare OAuth2.0 e scegliere il profilo OAuth creato durante il processo di registrazione dell'app.

    5. Selezionare il pulsante "Invia" per salvare le modifiche.

    6. Tornare alla sezione Messaggi dell'API REST in Servizi Web di sistema.

    7. Selezionare Richiesta HTTP, quindi selezionare "Nuovo". Immettere un nome e selezionare "POST" come metodo HTTP.

    8. Nella richiesta Http aggiungere il contenuto per i parametri di query Http usando lo schema API seguente:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      
    9. Selezionare "Invia" per salvare le modifiche. Screenshot della selezione di ripresa delle chiamate all'interno di ServiceNow.

      Screenshot della richiesta HTTP all'interno di ServiceNow.

  3. Modificare lo schema della tabella delle richieste: per modificare lo schema della tabella delle richieste, apportare modifiche alle tre tabelle illustrate nell'immagine seguente: Screenshot dello schema della tabella delle richieste in ServiceNow. Aggiungere l'etichetta di quattro colonne e digitare come stringa:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
    • EntraUserObjectId
  4. Per automatizzare il flusso di lavoro con Progettazione flusso, eseguire le operazioni seguenti:
    1. Accedere a ServiceNow e passare a Progettazione flusso.
    2. Selezionare il pulsante "Nuovo" e creare una nuova azione.
    3. Aggiungere un'azione per richiamare il messaggio dell'API REST del servizio Web di sistema creato nel passaggio precedente. Screenshot dello script di Progettazione flusso per riavviare il processo di gestione entitlement all'interno di ServiceNow. Script per l'azione: (aggiornare lo script con le etichette di colonna create nel passaggio precedente):
      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      
    4. Salvare l'azione
    5. Selezionare il pulsante "Nuovo" per creare un nuovo flusso.
    6. Immettere il nome del flusso, selezionare Esegui come - Utente di sistema e selezionare Invia.
  5. Per creare trigger all'interno di ServiceNow, seguire questa procedura:
    1. Selezionare "Aggiungi trigger" e quindi selezionare il trigger "aggiornato" ed eseguire il trigger per ogni aggiornamento.
    2. Aggiungere una condizione di filtro aggiornando la condizione come illustrato nell'immagine seguente: Screenshot dell'API di riavvio della gestione entitlement delle chiamate a ServiceNow
    3. Selezionare Fatto.
    4. Selezionare aggiungi un'azione Screenshot del trigger del diagramma di flusso.
    5. Selezionare Azione, quindi selezionare l'azione creata nel passaggio precedente. Screenshot della selezione delle azioni di Progettazione flusso.
    6. Trascinare e rilasciare le colonne appena create dalla riga della richiesta ai parametri di azione appropriati.
    7. Selezionare "Fatto", "Salva", quindi "Attiva". Screenshot del salvataggio e dell'attivazione all'interno di Progettazione flusso.

Richiesta di accesso a un pacchetto di accesso come utente finale

Quando un utente finale richiede l'accesso a un pacchetto di accesso, la richiesta viene inviata al responsabile approvazione appropriato. Dopo che il responsabile approvazione concede l'approvazione, Entitlement Management chiama l'app per la logica. L'App per la logica chiama quindi ServiceNow per creare una nuova richiesta/ticket e Gestione entitlement attende un callback da ServiceNow.

Screenshot della richiesta di un pacchetto di accesso.

Ricezione dell'accesso al pacchetto di accesso richiesto come utente finale

Il team di supporto IT lavora sul ticket precedente creato per eseguire le disposizioni necessarie e chiudere il ticket ServiceNow. Quando il ticket viene chiuso, ServiceNow attiva una chiamata per riavviare il flusso di lavoro di Gestione entitlement. Una volta completata la richiesta, il richiedente riceve una notifica dalla gestione entitlement che la richiesta è stata soddisfatta. Questo flusso di lavoro semplificato garantisce che le richieste di accesso vengano soddisfatte in modo efficiente e che gli utenti vengano informati tempestivamente.

Screenshot della cronologia delle richieste di Accesso personale.

Nota

All'utente finale verrà mostrato il messaggio "assegnazione non riuscita" nel portale MyAccess se il ticket non viene chiuso entro 14 giorni.

Passaggi successivi

Passare all'articolo successivo per informazioni su come creare: