Application Service Desk pour ServiceNow
L'application IBM Security Verify Service Desk vous permet de connecter trois points d'extrémité en toute sécurité :
- IBM Security Verify Governance
- IBM Security Verify SaaS
- IBM Security Identity Manager
Dans le cas d' IBM Security Verify Governance, l'application Service Desk prend en charge les fonctionnalités suivantes :
- Demander l'accès aux applications (pour soi et pour les autres)
- Approbations intégrées et vérifications de la séparation des tâches.
- Approvisionnement automatisé et manuel des accès.
- Demande de changement de mot de passe
- Approuver les demandes d'accès
- Examiner le statut des demandes d'accès
- Demande d'ajout, de suppression, de modification, de suspension et de restauration de comptes
- Attestation d'accès et de rôle
Dans le cas d' IBM Security Verify SaaS, application Service Desk prend en charge les fonctionnalités suivantes :
- Demander l'accès aux applications (pour soi et pour les autres)
- Demande de changement de mot de passe : Peut modifier le mot de passe uniquement pour le répertoire en nuage et non pour les comptes cibles
- Approuver les demandes d'accès
- Examiner le statut des demandes d'accès
- Charge de travail
- My Certifications
Dans le cas d' IBM Security Identity Manager (ISIM), l'application Service Desk prend en charge les fonctionnalités suivantes :
- Demander l'accès aux applications (pour soi et pour les autres)
- Demande de changement de mot de passe
Avant de commencer
Avant de poursuivre, vous devez satisfaire aux exigences suivantes en matière de système :
- Un environnement de travail pour le point final requis (IGI ou ISV ou ISIM)
- Un environnement de travail avec la dernière version supportée de ServiceNow
Note : Se référer à la documentation du magasin d'applications ServiceNow pour les informations sur les versions requises.
Configuration et réglages
Voir le Guide d'installation et de configuration qui est présent sur la page ServiceNow Store.
Télécharger l'application
Remarque : les conditions préalables suivantes ne s'appliquent qu'à l'ISIM en tant que point final.
Création d'un utilisateur du système ISIM
- Connectez-vous à ServiceNow en tant qu'administrateur système.
- Naviguez vers le menu Administration des utilisateurs > Utilisateurs et sélectionnez Nouveau.
- Dans le champ User ID, entrez ISIM System.
- Cochez la case Actif et cliquez sur Soumettre.
- Rechercher l'ID utilisateur du système ISIM.
- Définissez le mot de passe de l'utilisateur du système ISIM en tant qu'utilisateur Verify@2023.
- Sous l'onglet Rôles, sélectionnez Modifier et attribuez le rôle script_include_admin. Cliquez ensuite sur Enregistrer.
Modifier les permissions de la table sc_request pour autoriser la création et la mise à jour de la demande
- Connectez-vous à ServiceNow en tant qu'administrateur système.
- Naviguez jusqu'à Tableaux. Recherche dans le tableau par étiquette de demande et par nom de demande.
- Cliquez sur l'étiquette du tableau.
- Cliquez sur l'accès à l'application. Activer le paramètre Peut créer, Peut mettre à jour et Autoriser la configuration.
- Cliquez sur le bouton Mettre à jour pour enregistrer les paramètres modifiés.
Téléchargez et installez l'application IBM Security Verify Service Desk dans l'App Store de ServiceNow.
Vérification après installation
Remarque : les conditions préalables suivantes ne s'appliquent qu'à l'ISIM en tant que point final.
Le fichier suivant doit exister dans la table concernée :
Naviguez vers le tableau de bord ServiceNow > Search sys_script_include.list L'enregistrement du script ISIMGetLtpa2Token doit exister.
Si le script n'est pas créé automatiquement, l'utilisateur administrateur doit exécuter Fixer les scripts.
Suivez les étapes indiquées pour exécuter Fix Scripts :
- Naviguez vers le tableau de bord ServiceNow > Recherchez Fix Scripts > Recherchez createGlobalScriptForISIM > Ouvrez l'enregistrement > Cliquez sur le bouton Run Fix Script > Cliquez sur Procced.
Créer un utilisateur du système IGI
Remarque : la procédure suivante ne s'applique qu'à l'IGI en tant que point final.
- Connectez-vous à ServiceNow en tant qu'administrateur système.
- Naviguez vers le menu Administration des utilisateurs > Utilisateurs et sélectionnez Nouveau.
- Dans le champ User ID, entrez IGI System.
- Cochez les cases Actif et Accès au service web uniquement et cliquez sur Soumettre.
- Saisissez le mot de passe de l'utilisateur du système IGI et cliquez sur Submit.
- Sous l'onglet Rôles, sélectionnez Modifier et attribuez les rôles suivants, puis cliquez sur Enregistrer :
- import_admin
- import_scheduler
- import_set_loader
- transformateur_import
- itil
- web_service_admin
- workflow_publisher
- x_155935_igi.access_hierarchy_user
- x_155935_igi.access_properties_user
- x_155935_igi.access_property_name_mapping_user
- x_155935_igi.access_user
- x_155935_igi.admin
Configurer et tester la connexion SVG/ISV/ISIM
- Connectez-vous en tant qu'administrateur du système ServiceNow.
- Accédez à System Settings et sélectionnez Developer, Application : IBM Security Verify Service Desk App, et Afficher le sélecteur d'application dans l'en-tête.
- Dans le sélecteur d'applications, sélectionnez IBM Security Verify Service Desk App et fermez la fenêtre Paramètres.
- Rechercher pour ouvrir la page d'accueil du portail de services. Dans l'écran qui s'ouvre, allez dans le panneau supérieur et sélectionnez Services d'accès à la sécurité informatique.
- Sélectionnez Administration. Saisir les détails de la connexion SVG/ ISV/ ISIM:
Note : Créez un utilisateur admin sur le terminal ISIM et attribuez-lui tous les privilèges de l'utilisateur admin par défaut. Utilisez cet administrateur nouvellement créé pour la connexion de test ISIM.
- Point final: Sélectionnez l'option IBM Security Verify Governance ou IBM Security Verify ou IBM Security Identity Manager dans la liste déroulante.
- Username/ Client Id: Entrez le nom d'utilisateur du service SVG ou le secret du client ISV utilisé dans l'en-tête Basic Authentication (BA) lors de l'appel des IBM Security Verify Governance RESTAPIs ou des IBM Security Verify RESTAPIs, respectivement. Pour ISIM, entrez l'identifiant de l'utilisateur ISIM pour générer le jeton d'authentification.
- Mot de passe/secret du client: entrez le mot de passe du compte de service SVG ou le secret du client ISV fourni dans l'en-tête Basic Authentication (BA) lors de l'appel des IBM Security Verify Governance RESTAPIs ou des IBM Security Verify RESTAPIs, respectivement. Pour ISIM, entrez le mot de passe de l'utilisateur ISIM pour générer le jeton d'authentification.
- Base URL: Saisissez l' URL de base de l'API REST IBM Security Verify Governancehttps://:/igi/v2 ) ou IBM Security Verify REST API https:// ) ou IBM Security Identity Manager REST API https:// ).
- Sélectionnez Enregistrer les paramètres, puis cliquez sur Tester la connexion.
Les étapes suivantes ne s'appliquent qu'aux IGI:
- Lorsque la connexion de test est terminée avec succès, définissez le nom du flux de travail requis pour le traitement de la demande d'accès. Il est obligatoire de sélectionner le nom du flux de travail créé pour l'application Service Now sur le SVG pour la demande d'accès.
- Cliquez sur la liste déroulante pour sélectionner un flux de travail, puis cliquez sur Enregistrer le flux de travail. Vous pouvez également rechercher le nom du flux de travail dans le champ de recherche.
Note : Avant de mettre à jour l'application, l'administrateur doit s'assurer que toutes les demandes d'accès en cours dans l'application ont été traitées ou clôturées.
Catégorie pour les droits ISV, SVG et ISIM
Connectez-vous à Service Now en tant qu'administrateur système.
Les droits ISV, SVG et ISIM peuvent être recherchés par les catégories suivantes dans le tableau des éléments du catalogue sc_cat_item.list
- Pour trouver les droits des éditeurs de logiciels indépendants, recherchez IT Security Verify dans le champ de recherche de la colonne Catégorie.
- Pour trouver les droits SVG, recherchez Accès à la sécurité informatique dans le champ de recherche de la colonne Catégorie.
- Pour trouver les droits ISIM, recherchez Identité de sécurité informatique dans le champ de recherche de la colonne Catégorie.
Chargement des droits ISV et ISIM
Note : Dans la page Charger un droit, les droits ne peuvent être qu'ajoutés et mis à jour.
- Si le terminal sélectionné est ISV ou ISIM, un nouvel onglet Load Entitlement est activé dans la page Administrative Settings.
- Pour charger les droits ISV ou ISIM dans ServiceNow, sélectionnez l'onglet Charger les droits. Dans la partie gauche de la page, tous les droits de l'ISV (rôles et autorisations) ou de l'ISIM (accès) sont d'abord répertoriés. Pour ajouter ou mettre à jour un droit de la liste, cliquez sur le droit, puis sur l'icône Ajouter. Le droit est déplacé de l'autre côté de la liste, qui comprend tous les droits à charger.
- Cliquez sur Submit pour charger les droits ISV ou ISIM sélectionnés dans ServiceNow.
- Les droits peuvent être recherchés à partir de la liste en utilisant différents filtres tels que le nom, la description, les informations complémentaires, les étiquettes dans le cas de l'ISIM et le nom de la demande, le nom du droit dans le cas de l'ISV.
- Pour ISIM, saisissez la chaîne dans la zone de texte Rechercher les droits ou sélectionnez le nom de la catégorie dans le menu déroulant Sélectionner la catégorie pour rechercher les droits en fonction de la catégorie. Pour ISV, saisissez la chaîne dans la zone de texte Recherche de droits ou Recherche d'application. Si plusieurs valeurs de recherche sont fournies, l'outil recherche tous les droits qui correspondent aux critères.
- Cliquez sur Rechercher pour lancer la recherche. Cliquez sur le bouton Réinitialiser pour effacer les champs de recherche.
Remarque : la recherche prend en charge les correspondances "contient".
Mise à jour des propriétés du système
- Connectez-vous à Service Now en tant qu'administrateur système.
- Accédez à Propriétés du système puis à Catégories. Dans le menu déroulant Recherche, sélectionnez Nom et saisissez Services d'accès à la sécurité informatique dans la zone de texte.
- Cliquez sur IT Security Access Services dans la liste.
- Cliquez sur l'icône Filtre Afficher/Masquer et ajoutez la condition Nom d'affichage contient. Saisissez le nom de la propriété et appuyez sur Entrée. Voir le tableau suivant pour la liste des noms de propriétés.
- Sélectionnez le nom de la propriété. Saisissez la valeur de la propriété dans le champ Valeur et cliquez sur Mettre à jour.
Nom de propriété | Description | Valeur |
---|---|---|
igi.sn.ui.deep.link.uri | Le préfixe URI du lien profond IBM Security Verify Governance est utilisé dans Ma recertification (s'applique si le point final est sélectionné comme SVG). Il redirigera l'utilisateur de ServiceNow vers le tableau de bord d' IBM Security Verify Governance Server. Exemple de valeur : {svghostname}{port} | Chaîne |
igi.sn.workflow.requestor.igi.system.user | Nom d'utilisateur pour le compte de service utilisé par le synchronisateur SVG Par défaut = 'IGI System' user | Chaîne |
igi.sn.cryptojs.sharedsecret | Secret partagé pour le cryptage/décryptage Crypto-js |
Affecter des rôles utilisateur
Le tableau suivant répertorie les rôles disponibles et les fonctions disponibles pour chaque rôle. Tous les utilisateurs ont accès aux fonctions Demander un accès pour moi et Voir vos demandes lorsque IGI est le point de terminaison.
Rôle | Nom de rôle | fonctions disponibles |
---|---|---|
Demandeur | x_155935_igi.requestor | Demande d'accès pour un autre utilisateur Demande d'accès pour plusieurs utilisateurs |
Valideur | x_155935_igi.approver | Voir vos approbations |
Superviseur | x_155935_igi.supervisor | Mes recertifications (pour SVG) Mes certifications (pour ISV) |
Administrateur | x_155935_igi.admin | Demande d'accès pour un autre utilisateur Demande d'accès forMultiple utilisateurs Voir vos approbations Mes mots de passe Gérer les comptes Administration |
Mes mots de passe (pour SVG et ISIM) | x_155935_igi.my_passwords_access | Mes mots de passe |
Gestion des comptes (uniquement pour SVG) | x_155935_igi.manage_accounts_access | Gérer les comptes |
Utilisateur ISV (uniquement pour ISV) | x_155935_igi.isv_user | À tous les utilisateurs pour accéder aux flux de demandes ISV |
Utilisateur ISIM (uniquement pour ISIM) | x_155935_igi.isim_user | A tous les utilisateurs pour accéder aux flux de demandes |
Approbateur manuel (uniquement pour SVG) | x_155935_igi.manual_task_approve | Exécution manuelle |
Remarque : les rôles liés à la gestion des comptes ne sont pas applicables dans le cas d'un terminal ISV ou ISIM. L'utilisateur ayant x_155935_igi.admin doit avoir des rôles spécifiques à la cible pour accéder aux flux de demandes et à la fonctionnalité de paramétrage de l'administration. Ceci s'applique à l'ISIM ou à l'ISV en tant que point final.
Pour attribuer des rôles aux utilisateurs :
- Se connecter en tant qu'administrateur du système ServiceNow.
- Sécurité du système d'accès, Utilisateurs et groupes, Utilisateurs.
- Recherchez l'utilisateur auquel vous souhaitez attribuer les rôles.
- Sous l'onglet Rôles, cliquez sur Modifier.
- Dans la zone de recherche, saisissez x_ pour afficher les rôles de IBM Security Verify Service Desk App. Voir le tableau pour une liste des noms de rôles.
- Mettez en surbrillance le(s) rôle(s) à attribuer à l'utilisateur et cliquez sur l'icône de la flèche droite (Majuscule-clic pour sélectionner plusieurs accès). Utilisez l'icône de la flèche gauche pour supprimer le(s) rôle(s). Cliquez sur Sauvegarder.
Note : Si l'utilisateur est un approbateur, attribuez les rôles supplémentaires suivants :
- Catalogue
- Itil
- Approver_user
Note : Si l'utilisateur est un demandeur ou si l'utilisateur fait une demande pour lui-même lorsque le flux d'approbation à deux niveaux est activé, attribuez les rôles supplémentaires suivants :
- itil
Note : Si l'utilisateur est un utilisateur ISV, attribuez le rôle suivant :
- x_155935_igi.isv_user
Note : Si l'utilisateur est un utilisateur ISIM, attribuez le rôle suivant :
- x_155935_igi.isim_user
Définir les approbateurs
Il existe deux façons de configurer les approbateurs :
- Approbateur pour tous les éléments du catalogue de demande d'accès ou de compte.
- Approbateur pour chaque article du catalogue.
Note : Voir la section Attribuer des rôles d'utilisateur pour les rôles supplémentaires requis pour les approbateurs.
Approbateur pour tous les articles du catalogue
Pour définir un approbateur pour tous les éléments du catalogue de demandes d'accès ou de compte :
- Se connecter en tant qu'administrateur du système ServiceNow.
- Accédez à Propriétés du système, puis à Catégories.
- Dans le menu déroulant Aller à, sélectionnez Nom et saisissez Services d'accès à la sécurité informatique dans le champ de recherche.
- Cliquez sur IT Security Access Services dans la liste.
- Cliquez sur l'icône Filtre Afficher/Masquer et ajoutez la condition Nom d'affichage contient. Saisissez le nom de la propriété et appuyez sur la touche Entrée.
Approbateur pour les demandes d'accès : x_155935_igi.igi.sn.workflow.default.access.request.approver
Approbateur pour le compte : x_155935_igi.sn.workflow.default.account.request.approver - Saisissez l'ID utilisateur ou le groupe qui approuve les demandes dans le champ Valeur, puis cliquez sur Mettre à jour. Utilisez la virgule (,) pour séparer plusieurs ID utilisateurs ou groupes.
Approbateur par article du catalogue
Pour configurer un approbateur en fonction de l'article de catalogue demandé :
- Se connecter en tant qu'administrateur du système ServiceNow
- Accéder au catalogue de services, aux définitions du catalogue et gérer les catalogues.
- Sélectionnez Catalogue d'accès à la sécurité informatique.
- Sous l'onglet Articles de catalogue, sélectionnez l'article de catalogue pour lequel vous définissez l'approbateur.
- Dans le menu déroulant Actions supplémentaires, sélectionnez Configurer, puis Listes associées.
- Cliquez sur l'option Modifier cette vue dans Global.
- Dans la case Disponible, sélectionnez Approuvé par. Cliquez sur l'icône de la flèche droite, puis sur Enregistrer.
- Sélectionnez l'onglet Approuvé par, puis Modifier.
- Mettez en surbrillance le(s) rôle(s) à attribuer à l'utilisateur et cliquez sur l'icône de la flèche droite (Majuscule-clic pour sélectionner plusieurs accès). Utilisez l'icône de la flèche gauche pour supprimer le(s) rôle(s). Cliquez sur Sauvegarder.
Activer le titulaire de l'habilitation en tant qu'approbateur
La valeur du propriétaire de l'habilitation est poussée dans ServiceNow à partir du SVG par le synchronisateur SVG-ServiceNow et à partir de l'ISV ou de l'ISIM par le panneau load-entitlement ou lors de la création de la demande.
Suivez les étapes indiquées pour permettre au titulaire de l'habilitation d'être un approbateur pour cet article de catalogue :
- Se connecter en tant qu'administrateur du système ServiceNow.
- Accédez à Propriétés du système, puis à Catégories.
- Dans le menu déroulant Aller à, sélectionnez Nom et saisissez Services d'accès à la sécurité informatique dans le champ de recherche.
- Cliquez sur IT Security Access Services dans la liste.
- Cliquez sur l'icône Filtre Afficher/Masquer et ajoutez la condition Nom d'affichage contient. Saisissez le nom de la propriété et appuyez sur la touche Entrée.
x_155935_igi.igi.sn.workflow.ent.owner.approver - Saisissez true dans le champ Value et cliquez sur Update.
Configurer le flux d'approbation
Le flux d'approbation, applicable aux terminaux SVG, ISV et ISIM, peut être configuré de deux manières :
- Approbation à un seul niveau
- Approbation à deux niveaux
Note : L'approbation à deux niveaux n'est pas applicable au point final ISIM.
Configuration de l'approbateur à niveau unique
Dans le flux d'approbation à niveau unique, il existe trois possibilités pour définir l'approbateur.
- L'approbateur par élément de catalogue défini par l'administrateur a les préférences les plus élevées. S'il existe, la demande est envoyée à cet utilisateur pour approbation. Voir la section Définir les approbateurs > Approbateur par article de catalogue pour plus de détails.
- Si l'approbateur de l'élément de catalogue n'est pas défini par l'administrateur, la demande est envoyée au propriétaire du droit, seulement si le propriétaire du droit est activé en tant qu'approbateur dans ServiceNow. Voir la section Activer le propriétaire de l'habilitation en tant qu'approbateur pour plus de détails
- Si aucun des deux cas précédents ne s'applique, la demande est transmise au(x) approbateur(s)/groupe(s) par défaut à partir de la propriété définie par l'administrateur pour Tous les éléments du catalogue. Voir la section Définir les approbateurs > Approbateur pour tous les articles du catalogue pour plus de détails.
Configuration d'un approbateur à deux niveaux
Pour activer un approbateur à deux niveaux, définissez la propriété x_155935_igi.igi.sn.workflow.multi.level.approver à true.
Pour définir la propriété, voir les étapes 1 à 4 de la section Définir les approbateurs. Ensuite, à l'étape 5, sélectionnez x_155935_igi.igi.sn.workflow.multi.level.approver et donnez-lui la valeur true.
La procédure d'approbation à deux niveaux nécessite deux demandes d'approbation.
- La demande de premier niveau est soumise à l'approbation du responsable de l'utilisateur (bénéficiaire). side.If le gestionnaire de l'utilisateur n'est pas défini ou est désactivé, la demande est envoyée à l'approbateur ou au groupe par défaut de Tous les éléments du catalogue à partir de la propriété définie par l'administrateur.
Note : Voir la section Définir les approbateurs > Approbateur pour tous les articles du catalogue pour plus de détails. - La demande de deuxième niveau est adressée à l'approbateur de l'article du catalogue défini par l'administrateur dans ServiceNow, lorsqu'il existe une relation entre l'article du catalogue et l'approbateur.
Note : Voir la section Définir les approbateurs > Approbateur par article de catalogue pour plus de détails.- Si l'approbateur de l'élément de catalogue n'est pas défini par l'administrateur, la demande est transmise au propriétaire du droit, si la propriété 'Propriétaire du droit comme approbateur' est activée dans ServiceNow.
Note : Pour plus de détails, voir la section Activer le propriétaire de l'habilitation en tant qu'approbateur. - Si aucun des deux cas précédents ne s'applique, la demande est transmise à l'(aux) approbateur(s)/groupe(s) par défaut à partir de la propriété définie par l'administrateur pour tous les éléments du catalogue.
Note : Voir la section Définir les approbateurs > Approbateur pour tous les articles du catalogue pour plus de détails.
- Si l'approbateur de l'élément de catalogue n'est pas défini par l'administrateur, la demande est transmise au propriétaire du droit, si la propriété 'Propriétaire du droit comme approbateur' est activée dans ServiceNow.
- Si aucun approbateur de premier et de deuxième niveau n'est disponible et que la demande est envoyée à l'approbateur par défaut, la demande n'est soumise qu'à une seule étape d'approbation et suit le flux d'approbateurs à un niveau, avec l'approbateur par défaut (approbateur pour tous les éléments du catalogue) en tant qu'approbateur.
Updated about 1 month ago