Oktatóanyag: A ServiceNow konfigurálása automatikus felhasználóátadáshoz

Ez az oktatóanyag a ServiceNow-ban és az Azure Active Directoryban (Azure AD) végrehajtott lépéseket ismerteti az automatikus felhasználóátadás konfigurálásához. Az Azure AD konfigurálásakor automatikusan kiépít és megszüntet felhasználókat és csoportokat a ServiceNow szolgáltatásban az Azure AD kiépítési szolgáltatás használatával.

A szolgáltatás funkcióival, működésével és a gyakori kérdésekkel kapcsolatos fontos részletekért lásd: Felhasználók átadásának és megszüntetésének automatizálása a SaaS-alkalmazásokban az Azure Active Directoryval.

Támogatott képességek

  • Felhasználók létrehozása a ServiceNow-ban
  • Felhasználók eltávolítása a ServiceNow-ban, ha már nincs szükségük hozzáférésre
  • Felhasználói attribútumok szinkronizálásának megőrzése az Azure AD és a ServiceNow között
  • Csoportok és csoporttagságok kiépítése a ServiceNow-ban
  • Egyszeri bejelentkezés engedélyezése a ServiceNow szolgáltatásba (ajánlott)

Előfeltételek

Az oktatóanyagban ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

1. lépés: Az üzembe helyezés megtervezése

  1. Ismerje meg az átadási szolgáltatás működését.
  2. Határozza meg, hogy ki lesz az átadás hatókörében.
  3. Az Azure AD és a ServiceNow közötti leképezéshez szükséges adatok meghatározása.

2. lépés: A ServiceNow konfigurálása az Azure AD-vel való kiépítés támogatására

  1. Azonosítsa a ServiceNow-példány nevét. A példány nevét a ServiceNow eléréséhez használt URL-címben találja. Az alábbi példában a példány neve dev35214.

    Screenshot that shows a ServiceNow instance.

  2. Szerezzen be hitelesítő adatokat egy rendszergazda számára a ServiceNow-ban. Nyissa meg a felhasználói profilt a ServiceNow-ban, és ellenőrizze, hogy a felhasználó rendelkezik-e rendszergazdai szerepkörrel.

    Screenshot that shows a ServiceNow admin role.

Adja hozzá a ServiceNow-t az Azure AD alkalmazáskatalógusából a ServiceNow-ba történő kiépítés kezelésének megkezdéséhez. Ha korábban beállította a ServiceNow-t egyszeri bejelentkezéshez (SSO), használhatja ugyanazt az alkalmazást. Javasoljuk azonban, hogy az integráció tesztelése során hozzon létre egy külön alkalmazást. További információ az alkalmazások katalógusból való hozzáadásáról.

4. lépés: Annak meghatározása, hogy ki legyen a kiépítés hatókörében

Az Azure AD kiépítési szolgáltatás lehetővé teszi annak hatókörét, hogy ki lesz kiépítve az alkalmazáshoz való hozzárendelés vagy a felhasználó vagy csoport attribútumai alapján. Ha azt választja, hogy ki lesz kiépítve az alkalmazáshoz hozzárendelés alapján, a lépéseket követve rendelhet felhasználókat és csoportokat az alkalmazáshoz. Ha úgy dönt, hogy csak a felhasználó vagy csoport attribútumai alapján határozza meg, hogy ki lesz kiépítve, használhat hatókörszűrőt.

Tartsa szem előtt az alábbi tippeket:

  • Amikor felhasználókat és csoportokat rendel a ServiceNow-hoz, az alapértelmezett hozzáférésen kívül más szerepkört kell választania. Az alapértelmezett hozzáférési szerepkörrel rendelkező felhasználók ki vannak zárva az átadásból, és az átadási naplókban nem jogosultként lesznek megjelölve. Ha az alkalmazásban csak az alapértelmezett hozzáférési szerepkör érhető el, frissítheti az alkalmazásjegyzéket további szerepkörök hozzáadásához.

  • Ha további szerepkörökre van szüksége, frissítheti az alkalmazásjegyzéket új szerepkörök hozzáadásához.

5. lépés: Automatikus felhasználóátadás konfigurálása a ServiceNow-hoz

Ez a szakasz végigvezeti az Azure AD kiépítési szolgáltatás konfigurálásának lépésein, hogy felhasználókat és csoportokat hozzon létre, frissítsen és tiltson le a TestAppban. A konfigurációt az Azure AD-ben felhasználói és csoport-hozzárendelésekre alapozhatja.

A ServiceNow automatikus felhasználóátadásának konfigurálása az Azure AD-ben:

  1. Jelentkezzen be az Azure Portalra. Válassza a Vállalati alkalmazások>Minden alkalmazás lehetőséget.

    Screenshot that shows the Enterprise applications pane.

  2. Az alkalmazások listájában válassza a ServiceNow lehetőséget.

    Screenshot that shows a list of applications.

  3. Válassza a Kiépítés lapot.

    Screenshot of the Manage options with the Provisioning option called out.

  4. Állítsa a kiépítési módotautomatikusra.

    Screenshot of the Provisioning Mode drop-down list with the Automatic option called out.

  5. A Rendszergazdai hitelesítő adatok szakaszban adja meg a ServiceNow rendszergazdai hitelesítő adatait és felhasználónevét. Válassza a Kapcsolat tesztelése lehetőséget, és győződjön meg arról, hogy az Azure AD képes csatlakozni a ServiceNow-hoz. Ha a kapcsolat sikertelen, győződjön meg arról, hogy a ServiceNow-fiókja rendelkezik rendszergazdai engedélyekkel, majd próbálkozzon újra.

    Screenshot that shows the Service Provisioning page, where you can enter admin credentials.

  6. Az Értesítési e-mail mezőbe írja be annak a személynek vagy csoportnak az e-mail-címét, akinek vagy amelyeknek meg kell kapniuk a kiépítési hibaértesítéseket. Ezután jelölje be az E-mail-értesítés küldése hiba esetén jelölőnégyzetet .

    Screenshot that shows boxes for notification email.

  7. Kattintson a Mentés gombra.

  8. A Leképezések szakaszban válassza az Azure Active Directory-felhasználók szinkronizálása a ServiceNow szolgáltatással lehetőséget.

  9. Tekintse át az Azure AD-ből a ServiceNow-ba szinkronizált felhasználói attribútumokat az Attribútumleképezés szakaszban. Az egyező tulajdonságokként kiválasztott attribútumok a ServiceNow-ban lévő felhasználói fiókok frissítési műveleteinek egyeztetésére szolgálnak.

    Ha úgy dönt, hogy módosítja a megfelelő célattribútumot, meg kell győződnie arról, hogy a ServiceNow API támogatja a felhasználók szűrését az attribútum alapján.

    A módosítások véglegesítéséhez kattintson a Mentés gombra.

  10. A Leképezések szakaszban válassza az Azure Active Directory-csoportok szinkronizálása a ServiceNow szolgáltatással lehetőséget.

  11. Tekintse át az Azure AD-ből a ServiceNow-ba szinkronizált csoportattribútumokat az Attribútumleképezés szakaszban. Az egyező tulajdonságokként kiválasztott attribútumok a ServiceNow-ban lévő csoportok frissítési műveleteinek egyeztetésére szolgálnak. A módosítások véglegesítéséhez kattintson a Mentés gombra.

  12. A hatókörszűrők konfigurálásához tekintse meg a hatókörszűrővel kapcsolatos oktatóanyag utasításait.

  13. A ServiceNow-hoz készült Azure AD kiépítési szolgáltatás engedélyezéséhez módosítsa a kiépítési állapototBe értékre a Beállítások szakaszban.

    Screenshot that shows Provisioning Status switched on.

  14. Definiálja a ServiceNow szolgáltatásban kiépíteni kívánt felhasználókat és csoportokat a Beállítások szakasz Hatókör területén a kívánt értékek kiválasztásával.

    Screenshot that shows choices for provisioning scope.

  15. Ha készen áll a kiépítésre, válassza a Mentés lehetőséget.

    Screenshot of the button for saving a provisioning configuration.

Ez a művelet a Beállítások szakasz Hatókör területén meghatározott összes felhasználó és csoport kezdeti szinkronizálási ciklusát elindítja. A kezdeti ciklus végrehajtása több időt vesz igénybe, mint az azt követő ciklusok. Az ezt követő ciklusok körülbelül 40 percenként történnek, amíg az Azure AD kiépítési szolgáltatás fut.

6. lépés: Az üzembe helyezés monitorozása

A kiépítés konfigurálása után az alábbi erőforrásokkal monitorozza az üzemelő példányt:

Hibaelhárítási tippek

  • Amikor bizonyos attribútumokat (például részleget és helyet) épít ki a ServiceNow-ban, az értékeknek már létezniük kell a ServiceNow egyik referenciatáblájában. Ha nem, invalidLookupReference hibát fog kapni.

    Előfordulhat például, hogy a ServiceNow egy adott táblájában két hely (Seattle, Los Angeles) és három részleg (Értékesítés, Pénzügy, Marketing) található. Ha olyan felhasználót próbál kiépíteni, akinek a részlege "Sales" (Értékesítés), és a helye "Seattle", a felhasználó sikeresen ki lesz építve. Ha olyan felhasználót próbál kiépíteni, akinek a részlege "Sales", és a helye "LA", a felhasználó nem lesz kiépítve. Az "LA" helyet hozzá kell adni a ServiceNow referenciatáblához, vagy az Azure AD felhasználói attribútumát frissíteni kell, hogy megfeleljen a ServiceNow formátumának.

  • Ha EntryJoiningPropertyValueIsMissing hibát kap, tekintse át az attribútumleképezéseket az egyező attribútum azonosításához. Ennek az értéknek jelen kell lennie a kiépíteni kívánt felhasználón vagy csoportban.

  • Az esetleges követelmények és korlátozások (például a felhasználó országkódjának megadására szolgáló formátum) megismeréséhez tekintse át a ServiceNow SOAP API-t.

  • A kiépítési kérelmeket a rendszer alapértelmezés szerint a következő címre küldi: https://{your-instance-name}.service-now.com/{table-name}. Ha egyéni bérlői URL-címre van szüksége, megadhatja a teljes URL-címet a példány neveként.

  • A ServiceNowInstanceInvalid hiba a ServiceNow-példánnyal való kommunikáció során felmerülő problémát jelez. A hiba szövege a következő:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Ha csatlakozási tesztproblémák merülnek fel, a ServiceNow következő beállításainál válassza a Nem lehetőséget:

    • Rendszerbiztonság>Magas biztonsági beállítások>Alapszintű hitelesítés megkövetelése a bejövő SÉMA-kérelmekhez

    • Rendszertulajdonságok>Webszolgáltatások>Alapszintű engedélyezés megkövetelése a bejövő SOAP-kérelmekhez

      Screenshot that shows the option for authorizing SOAP requests.

    Ha továbbra sem tudja megoldani a problémát, forduljon a ServiceNow ügyfélszolgálatához, és kérje meg, hogy kapcsolja be a SOAP-hibakeresést a hibaelhárításhoz.

  • Az Azure AD kiépítési szolgáltatás jelenleg meghatározott IP-tartományokon működik. Szükség esetén korlátozhatja a többi IP-tartományt, és hozzáadhatja ezeket az ip-címtartományokat az alkalmazás engedélyezési listájához. Ez a technika lehetővé teszi az Azure AD kiépítési szolgáltatásból az alkalmazásba irányuló forgalmat.

  • A helyi ServiceNow-példányok nem támogatottak.

További források

További lépések