Tutorial: Criação automatizada de tíquetes ServiceNow com integração do Microsoft Entra Entitlement Management

Cenário: Neste cenário, você aprenderá a usar a extensibilidade personalizada e um Aplicativo Lógico para gerar automaticamente tíquetes do ServiceNow para provisionamento manual de usuários que receberam atribuições e precisam acessar aplicativos.

Neste tutorial, ficará a saber:

Pré-requisitos

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa do Azure. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud, Administrador de Aplicações ou proprietário do principal de serviço.
• Uma instância ServiceNow de Roma ou superior
• Integração SSO com ServiceNow. Se isso ainda não estiver configurado, consulte:Tutorial: Integração do logon único (SSO) do Microsoft Entra com o ServiceNow antes de continuar.

Adicionando fluxo de trabalho do aplicativo lógico a um catálogo existente para gerenciamento de direitos

Os fluxos de trabalho do Aplicativo Lógico podem ser adicionados a um catálogo existente. Para obter mais informações sobre como criar um novo catálogo, consulte: Criar e gerenciar um catálogo de recursos no gerenciamento de direitos.

Depois que um catálogo for criado, você adicionará um fluxo de trabalho do Aplicativo Lógico seguindo as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Gorjeta

   Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o proprietário do grupo de recursos.

2. No menu à esquerda, selecione Catálogos.

3. Selecione o catálogo para o qual você deseja adicionar uma extensão personalizada e, em seguida, no menu à esquerda, selecione Extensões personalizadas.

4. Na barra de navegação do cabeçalho, selecione Adicionar uma extensão personalizada.

5. Na guia Noções básicas, insira o nome da extensão personalizada e uma descrição do fluxo de trabalho. Esses campos aparecem na guia Extensões personalizadas do catálogo.

6. Selecione o Tipo de extensão como "Fluxo de trabalho de solicitação" para corresponder ao estágio de política do pacote de acesso solicitado que está sendo criado.

7. Selecione Iniciar e aguarde na Configuração de extensão, que pausará a ação do pacote de acesso associado até que o Aplicativo Lógico vinculado à extensão conclua sua tarefa e uma ação de retomada seja enviada pelo administrador para continuar o processo. Para obter mais informações sobre esse processo, consulte: Configurando extensões personalizadas que pausam os processos de gerenciamento de direitos.

8. Na guia Detalhes, escolha Sim no campo "Criar novo aplicativo lógico". Adicione um nome para o Aplicativo Lógico, juntamente com a assinatura e o grupo de recursos, onde você o está colocando.

9. Em Rever e Criar, reveja o resumo da sua extensão personalizada e certifique-se de que os detalhes da sua Aplicação Lógica e do seu texto explicativo estão corretos. Depois de analisar esses detalhes, selecione Criar.

10. Uma vez criado, o Aplicativo Lógico pode ser acessado em Aplicativo Lógico ao lado da extensão personalizada na página de extensões personalizadas. Você pode recorrer a isso nas políticas do pacote de acesso.

Adicionando extensão personalizada a uma política em um pacote de acesso existente

Depois de configurar a extensibilidade personalizada no catálogo, os administradores podem criar um pacote de acesso com uma política para acionar a extensão personalizada quando a solicitação for aprovada. Isso permite que eles definam requisitos de acesso específicos e adaptem o processo de revisão de acesso para atender às necessidades de sua organização.

1. No portal de Governança de Identidade, como pelo menos um Administrador de Governança de Identidade, selecione Pacotes de acesso.

   Gorjeta

   Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

2. Selecione o pacote de acesso ao qual deseja adicionar uma extensão personalizada (Logic App) na lista de pacotes de acesso que já foram criados.

3. Mude para a guia política, selecione a política e selecione Editar.

4. Nas configurações de política, vá para a guia Extensões personalizadas .

5. No menu abaixo de Palco, selecione o evento do pacote de acesso que você deseja usar como gatilho para esta extensão personalizada (Logic App). Para o nosso cenário, para acionar o fluxo de trabalho de extensão personalizada do Aplicativo Lógico quando o pacote de acesso tiver sido aprovado, selecione Solicitação aprovada.

   Nota

   Para criar um tíquete ServiceNow para uma atribuição expirada que teve permissão concedida anteriormente, adicione um novo estágio para "A atribuição foi removida" e selecione o LogicApp.

6. No menu abaixo de Extensão personalizada, selecione a extensão personalizada (Logic App) que você criou nas etapas acima para adicionar a este pacote de acesso. A ação selecionada é executada quando ocorre o evento selecionado no campo when .

7. Selecione Atualizar para adicioná-lo à política de um pacote de acesso existente.

Registar uma aplicação com segredos no centro de administração do Microsoft Entra

Com o Azure, você pode usar o Cofre da Chave do Azure para armazenar segredos do aplicativo, como senhas. Para registar uma aplicação com segredos no centro de administração do Microsoft Entra, siga estes passos:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Registros do aplicativo Identity>

3. Em Gerir, selecione Registos de > aplicações Novo registo.

4. Insira um Nome de exibição para seu aplicativo.

5. Selecione "Contas somente neste diretório organizacional" no tipo de conta suportado.

6. Selecione Registar.

Depois de registrar seu aplicativo, você deve adicionar um segredo do cliente seguindo estas etapas:

1. Navegue até Registros do aplicativo Identity>

2. Selecione a sua aplicação.

3. Selecione Certificados & segredos Segredos do > cliente Novo segredo do > cliente.

4. Adicione uma descrição do segredo do cliente.

5. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.

6. Selecione Adicionar.

Para autorizar o aplicativo criado a chamar a API de currículo do MS Graph, você deve executar as seguintes etapas:

1. Navegue até o centro de administração do Microsoft Entra Governança de identidade - Centro de administração do Microsoft Entra

2. No menu à esquerda, selecione Catálogos.

3. Selecione o catálogo ao qual você adicionou a extensão personalizada.

4. Selecione o menu "Funções e administradores" e selecione "+ Adicionar gerenciador de atribuições de pacote de acesso".

5. Na caixa de diálogo Selecionar membros, procure o aplicativo criado pelo nome ou identificador do aplicativo. Selecione o aplicativo e escolha o botão "Selecionar ".

Configurando o ServiceNow para autenticação de automação

Neste ponto, é hora de configurar o ServiceNow para retomar o fluxo de trabalho de gerenciamento de direitos após o fechamento do tíquete ServiceNow:

1. Registre um aplicativo Microsoft Entra no Registro do Aplicativo ServiceNow seguindo estas etapas:
   1. Entre no ServiceNow e navegue até o Registro do Aplicativo.
   2. Selecione "Novo" e, em seguida, selecione "Conectar a um provedor OAuth de terceiros".
   3. Forneça um nome para o aplicativo e selecione Credenciais do Cliente no tipo de Concessão Padrão.
   4. Insira o Nome do Cliente, ID, Segredo do Cliente, URL de Autorização, URL de Token que foram gerados quando você registrou o aplicativo Microsoft Entra no centro de administração do Microsoft Entra.
   5. Submeta a candidatura.
2. Crie uma mensagem da API REST do Serviço Web do Sistema seguindo estas etapas:
   1. Vá para a seção Mensagens da API REST em Serviços Web do Sistema.
   2. Selecione o botão "Novo" para criar uma nova mensagem da API REST.
   3. Preencha todos os campos obrigatórios, que incluem o fornecimento do URL do ponto final: https://learn.microsoft.com/en-us/graph/api/accesspackageassignmentrequest-resume?view=graph-rest-1.0&tabs=http
   4. Em Autenticação, selecione OAuth2.0 e escolha o perfil OAuth que foi criado durante o processo de registro do aplicativo.
   5. Selecione o botão "Enviar" para salvar as alterações.
   6. Volte para a seção Mensagens da API REST em Serviços Web do Sistema.
   7. Selecione Http Request e, em seguida, selecione "New". Digite um nome e selecione "POST" como o método Http.
   8. Na solicitação Http, adicione o conteúdo para os parâmetros de consulta Http usando o seguinte esquema de API:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Selecione "Enviar" para salvar as alterações.
3. Modificar o esquema da tabela de solicitação: para modificar o esquema da tabela de solicitação, faça alterações nas três tabelas mostradas na imagem a seguir: Adicione o rótulo de três colunas e digite como string:
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • StageInstanceId
4. Para automatizar o fluxo de trabalho com o Flow Designer, faça o seguinte:
   1. Entre no ServiceNow e vá para o Flow Designer.
   2. Selecione o botão "Novo" e crie uma nova ação.
   3. Adicione uma ação para invocar a mensagem da API REST do Serviço Web do Sistema que foi criada na etapa anterior. Script para a ação: (Atualize o script com os rótulos de coluna criados na etapa anterior):

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Salve a ação
   5. Selecione o botão "Novo" para criar um novo fluxo.
   6. Digite o nome do fluxo, selecione Executar como – Usuário do sistema e selecione enviar.
5. Para criar gatilhos no ServiceNow, siga estas etapas:
   1. Selecione "Adicionar gatilho" e, em seguida, selecione o gatilho "atualizado" e execute o gatilho para cada atualização.
   2. Adicione uma condição de filtro atualizando a condição conforme mostrado na imagem a seguir:
   3. Selecione concluído.
   4. Selecione adicionar uma ação
   5. Selecione a Ação e, em seguida, selecione a ação criada na etapa anterior.
   6. Arraste e solte as colunas recém-criadas do registro de solicitação para os parâmetros de ação apropriados.
   7. Selecione "Concluído", "Salvar" e, em seguida, "Ativar".

Solicitar acesso a um pacote de acesso como utilizador final

Quando um usuário final solicita acesso a um pacote de acesso, a solicitação é enviada para o aprovador apropriado. Depois que o aprovador concede aprovação, o Gerenciamento de Direitos chama o Aplicativo Lógico. Em seguida, o aplicativo Logic chama ServiceNow para criar uma nova solicitação/tíquete e o Gerenciamento de Direitos aguarda um retorno de chamada do ServiceNow.

Receber acesso ao pacote de acesso solicitado como utilizador final

A equipe de suporte de TI trabalha no tíquete anterior criado para fazer as provisões necessárias e fechar o tíquete ServiceNow. Quando o tíquete é fechado, o ServiceNow dispara uma chamada para retomar o fluxo de trabalho do Gerenciamento de Direitos. Uma vez concluído o pedido, o requerente recebe uma notificação da gestão de direitos de que o pedido foi satisfeito. Esse fluxo de trabalho simplificado garante que as solicitações de acesso sejam atendidas de forma eficiente e que os usuários sejam notificados prontamente.

Próximos passos

Avance para o próximo artigo para saber como criar...