Einrichten des ServiceNow-Diensts für die Erfassung des ServiceNow-Wissensconnectors

Der ServiceNow Knowledge Microsoft 365 Copilot-Connector ermöglicht Organisationen das Indizieren von ServiceNow-Wissensdatenbankartikeln in Microsoft 365 Copilot und Suchumgebungen. Dieser Artikel enthält Informationen zu den Konfigurationsschritten, die ServiceNow-Administratoren ausführen müssen, bevor Ihr organization den ServiceNow Knowledge Connector bereitstellt.

Informationen zum Bereitstellen des Connectors finden Sie unter Bereitstellen des ServiceNow Knowledge-Connectors.

Prüfliste für das Setup

Die folgenden Prüflisten enthalten die Schritte zum Konfigurieren der Umgebung und Einrichten der Connectorvoraussetzungen.

Konfigurieren der Umgebung

Aufgabe	Rolle
Identifizieren der instance-URL	ServiceNow-Administrator
Identifizieren der Portalkonfiguration	ServiceNow-Administrator
Definieren der Attributzuordnung	ServiceNow-Administrator
Überprüfen auf erweiterte Skripts und hierarchische Berechtigungen	ServiceNow-Administrator

Einrichten der Erforderlichen Komponenten

Aufgabe	Rolle
Erstellen eines Dienstkontos und Einrichten von Berechtigungen	ServiceNow-Administrator
Identifizieren der Elementanzahl für die Erfassung	ServiceNow-Administrator
Einrichten der REST-API	ServiceNow-Administrator
Einrichten hierarchischer Berechtigungen (Vorschau)	ServiceNow-Administrator
Hinzufügen der Microsoft 365-IP-Adresse zur Positivliste	ServiceNow-Administrator/Netzwerkadministrator
Beheben von Problemen mit der SSO-Konfiguration	ServiceNow-Administrator

Konfigurieren der ServiceNow-Umgebung

In den folgenden Abschnitten werden die Administratoraufgaben zum Konfigurieren der ServiceNow-Umgebung zum Aktivieren und Optimieren der Verbindung beschrieben.

Identifizieren der ServiceNow-instance-URL

Die ServiceNow-instance-URL hat im Allgemeinen das folgende Format:

https://<your-organization-name>.service-now.com

Um die URL für Ihre ServiceNow-instance zu überprüfen, überprüfen Sie die serviceNow-Administrator-Dashboard oder die Anmelde-URL, die von Ihrem organization verwendet wird.

Wenn Sie über eine benutzerdefinierte URL verfügen:

• Navigieren Sie in Ihrem ServiceNow-instance zu Alle>benutzerdefinierten URLs für benutzerdefinierte URL>.

Identifizieren der ServiceNow-Portalkonfiguration

Wenn Benutzer Links auswählen, die von Copilot für ServiceNow-Inhalte generiert wurden, folgen die URLs standardmäßig dem Standardformat:

https://<your-organization-name>.service-now.com/kb_view.do?sys_kb_id=bf1ab5ee47c31e90af178339736d

Wenn Ihr organization eine andere URL verwendet, können Sie die URL anpassen, wenn Sie den Connector bereitstellen. Weitere Informationen finden Sie unter Anpassen von Werten für bestimmte Schemaeigenschaften.

Definieren der ServiceNow-Attributzuordnung

Standardmäßig ordnet Microsoft Entra ID Identitäten aus Ihrer Datenquelle zu, indem überprüft wird, ob die E-Mail-ID der ServiceNow-Benutzer mit dem Benutzerprinzipalnamen (USER Principal Name, UPN) oder dem Mail-Attribut in Microsoft Entra ID übereinstimmt.

Wenn diese Standardzuordnung die Anforderungen Ihrer organization nicht erfüllt, können Sie eine benutzerdefinierte Zuordnungsformel definieren. Weitere Informationen finden Sie unter Zuordnen Ihrer Nicht-Entra-ID-Identitäten.

Suchen nach erweiterten Skripts und hierarchischen Berechtigungen in ServiceNow

Bestimmen Sie, ob Wissensartikel in Ihrer ServiceNow-Umgebung über die folgenden Einstellungen verfügen:

• Erweiterte Skripts, die in Benutzerkriterien aktiviert sind
• Hierarchische Berechtigungen konfiguriert

Diese Einstellungen können sich auf das Indizierungsverhalten und die Zugriffssteuerung auswirken, wenn Inhalte in Microsoft 365-Umgebungen wie Copilot angezeigt werden.

Führen Sie den folgenden API-Aufruf aus, um zu bestimmen, ob für benutzerkriterien erweiterte Skripts aktiviert sind:

<ServiceNowURL>/api/now/table/user_criteria?advanced=true&sysparm_limit=1

Wenn Ihr instance erweiterte skriptbasierte Benutzerkriterien verwendet, wählen Sie Erweiterter Flow aus, wenn Sie den Connector bereitstellen. Weitere Informationen finden Sie unter Auswählen des Flows basierend auf Benutzerkriterien.

Was sind hierarchische Berechtigungen?

ServiceNow Knowledge unterstützt das Festlegen von Berechtigungen sowohl auf der ebene der Wissensdatenbank (übergeordneten Ebene) als auch auf der Ebene einzelner Artikel (untergeordneter Elemente). Diese Berechtigungen werden zusammen ausgewertet, um zu bestimmen, ob ein Benutzer Zugriff auf einen Artikel hat. Dieses Modell wird als hierarchische Berechtigungen bezeichnet.

Hierarchische Berechtigungen werden für den ServiceNow Knowledge-Connector (nur Vorschau) unterstützt. Dieses Feature ist in Government- oder Sovereign Clouds oder dedizierten Gesamtstrukturen in Umgebungen mit mehreren Mandanten nicht verfügbar. Weitere Informationen finden Sie unter Einrichten hierarchischer Berechtigungen (Vorschau).

Einrichten der Connectorvoraussetzungen

In den folgenden Abschnitten werden die erforderlichen Schritte beschrieben, die vor der Bereitstellung des ServiceNow-Connectors ausgeführt werden müssen.

Erstellen eines Dienstkontos und Einrichten von Berechtigungen zum Indizieren von Elementen

Um eine Verbindung mit ServiceNow herzustellen und dem ServiceNow Knowledge-Connector das regelmäßige Aktualisieren von Elementen zu ermöglichen, benötigen Sie ein Dienstkonto mit Lesezugriff auf bestimmte ServiceNow-Tabellendatensätze. In der folgenden Tabelle sind die erforderlichen Tabellendatensätze aufgeführt.

Feature	Erforderliche Tabellen für Lesezugriff	Beschreibung
Indizieren von Wissensartikeln, die für alle verfügbar sind	kb_knowledge	Zum Durchforsten von Wissensartikeln
Erweiterte Tabelleneigenschaften indiz	sys_db_object	Lesen erweiterter Tabellendetails für Vorlagen
	sys_dictionary	Lesen erweiterter Tabelleneigenschaften und Durchforstungsvorlagen
	sys_properties	Lesen von Eigenschaften zum Auswerten von Berechtigungen
	sys_attachment	Zum Durchforsten von Anlagen in Wissensartikeln
	kb_feedback	Für Durchforstungskommentare in Wissensartikeln
Indiz und Unterstützung von Benutzerkriterienberechtigungen	kb_uc_can_read_mtom	Wer kann diese Wissensdatenbank
	kb_uc_can_contribute_mtom	Wer kann zu diesem Wissensdatenbank
	kb_uc_cannot_read_mtom	Wer kann diese Wissensdatenbank nicht lesen
	kb_uc_cannot_contribute_mtom	Wer kann nicht zu diesem Wissensdatenbank
	sys_user	Benutzertabelle lesen
	sys_user_has_role	Lesen von Rolleninformationen von Benutzern
	sys_user_grmember**	Lesen der Gruppenmitgliedschaft von Benutzern
	user_criteria	Berechtigungen zum Lesen von Benutzerkriterien
	kb_knowledge_base	Lesen Wissensdatenbank Informationen
	sys_user_group	Lesen von Benutzergruppensegmenten
	sys_user_role	Lesen von Benutzerrollen
	cmn_location**	Lesen von Standortinformationen
	cmn_department**	Lesen von Abteilungsinformationen
	core_company**	Lesen von Unternehmensattributen

** Zugriff auf diese Tabellen ist nur erforderlich, wenn Sie den einfachen Flow auswählen. Wenn Sie sich für den erweiterten Flow zum Lesen von Benutzerkriterien entscheiden, benötigen Sie keinen Zugriff auf diese Tabellen.

Sie können eine Rolle für das Dienstkonto erstellen und zuweisen, das Sie für die Verbindung mit Microsoft Search verwenden. Weitere Informationen finden Sie unter Zuweisen einer Rolle zu einem Benutzer. Sie können der von Ihnen erstellten Rolle Lesezugriff auf die Tabellen zuweisen.

Informationen zum Erstellen eines Benutzers, zum Zuweisen einer Rolle und zum Erteilen von Leseberechtigungen für alle anwendbaren Tabellendatensätze finden Sie unter Gewähren des Tabellenzugriffs für einen Benutzer in ServiceNow.

Wenn das Dienstkonto nicht über die erforderlichen Berechtigungen verfügt oder berechtigungen auf Zeilen- oder Feldebene eingeschränkt sind, werden bestimmte Elemente von der Indizierung auf Microsoft-Seite ausgeschlossen.

Hinweis

Gelten Sie nicht explizit für snc_read_only das Dienstkonto. Diese Rolle verweigert jede Schreibaktion für jede Tabelle, auf die der Benutzer Zugriff hat. Das Konto muss Token- und andere Authentifizierungsinformationen in einige Tabellen schreiben. Da Token regelmäßig aktualisiert werden, kann dieses Konto nach der ersten Authentifizierung nicht schreibgeschützt werden. Das Dienstkonto benötigt für die Authentifizierung Schreibzugriff auf die oauth_credential Tabelle.

Wenn das Dienstkonto keinen Zugriff auf die vollständige Tabelle "Benutzerkriterien" hat, kann ein inkonsistentes Verhalten im Zusammenhang mit Benutzerberechtigungen auftreten, einschließlich unbeabsichtigter Überteilung von Inhalten.

Identifizieren der Elementanzahl für die Erfassung

Der folgende Standardfilter wird während der Indizierung angewendet. Wenn Sie Änderungen vornehmen müssen, bearbeiten Sie die Abfragezeichenfolge während der Connectoreinrichtung. Weitere Informationen finden Sie unter Anpassen der Abfragezeichenfolge.

active=true^workflow_state=published

So überprüfen Sie die für die Erfassung erwartete Elementanzahl:

1. Rufen Sie die folgende URL auf: https://<instance-name>.service-now.com/api/now/table/kb_knowledge?sysparm_fields=sys_id&workflow_state=published. Diese URL öffnet eine Liste von sys_ids.

   Hinweis

   Wenn Sie die Standardabfragezeichenfolge für die Indizierung ausgewählter Artikel bearbeiten, verwenden Sie die entsprechende URL, um diese Abfragebedingungen widerzuspiegeln.

2. Öffnen Sie entwicklertools im selben Fenster, und geben Sie den folgenden Code in das Konsolenfenster ein:

       fetch('<<same URL as in 1>>')
       .then(res => res.json())
       .then(data => console.log("Count of sys_ids:", data.result.length))
       .catch(err => console.error(err));
   

3. Notieren Sie sich die Elementanzahl.

Wenn der Connector eingerichtet und die Elementsynchronisierung abgeschlossen ist, können Sie die Anzahl der indizierten Elemente anhand dieser erwarteten Anzahl überprüfen, um zu überprüfen, ob alle Artikel indiziert sind. Weitere Informationen finden Sie unter Anzeigen von Verbindungsstatistiken.

Einrichten der REST-API

Damit der Connector erweiterte Benutzerkriterien abrufen kann, erstellen Sie eine skriptbasierte REST-API in Ihrem ServiceNow-instance.

• Erhöhen Sie Ihre Rolle in ServiceNow auf security_admin.

Zugriffssteuerung erstellen:

1. Wechseln Sie in ServiceNow zu All > System Security > Access Control (ACL).
2. Wählen Sie Neu aus, um eine neue ACL zu erstellen.
3. Legen Sie die folgenden Werte fest:
   • Typ: REST_Endpoint
   • Vorgang: Execute
   • Name: Microsoft Copilot
   • Rolle: admin(oder dieselbe Rolle, die dem Durchforstungskonto zugewiesen ist)
4. Wählen Sie Übermitteln aus.

Erstellen Sie die skriptbasierte REST-API:

1. Wechseln Sie zu Alle > Systemwebdienste > Skripted Web Services Scripted REST APIs (Skripted Web Services > Scripted REST APIs).
2. Wählen Sie Neu aus.
3. Geben Sie die folgenden Informationen ein:
   • Name: Microsoft Copilot
   • API-ID: microsoft_copilot
4. Wählen Sie Übermitteln aus.
5. Wählen Sie auf der Listenseite skriptbasierte REST-APIdie Option Microsoft Copilot aus.
6. Legen Sie Standard-ACLs auf Microsoft Copilot fest. Um Probleme mit der Autorisierung zu vermeiden, fügen Sie auch die Scripted REST External Default ACL hinzu.

Fügen Sie der API eine Ressource hinzu:

1. Wählen Sie auf der Registerkarte Ressourcen die Option Neu aus.

2. Geben Sie die Details ein:

   • Name: GetAllUserCriteria
   • Relativer Pfad: /user_criteria
   • Skript: Fügen Sie den folgenden Code ein:

   (function execute (/*RESTAPIRequest*/ request, /*RESTAPIResponse*/ response) {
       var queryParams = request.queryParams;
       var user = new String(queryParams.user);
       return (new sn_uc.UserCriteriaLoader()).getAllUserCriteria(user);
   })(request, response);
   

3. Stellen Sie sicher, dass beide der folgenden Optionen aktiviert sind:

   • Authentifizierung erforderlich
   • Erfordert ACL-Autorisierung

4. Stellen Sie sicher, dass ACLs auf Microsoft Copilot festgelegt sind. Um Probleme mit der Autorisierung zu vermeiden, fügen Sie auch die Scripted REST External Default ACL hinzu.

5. Wählen Sie Aktualisieren aus.

So überprüfen Sie das Setup:

1. Vergewissern Sie sich, dass der Ressourcenpfad wie folgt lautet: /api/<API Namespace>/microsoft_copilot/user_criteria.
2. Wählen Sie Aktualisieren aus, um die Konfiguration zu speichern.

Der Microsoft 365-Administrator gibt den API-Namespace ein, wenn er den ServiceNow Knowledge-Connector bereitstellt. Im folgenden Beispiel ist abcdefder API-Namespace .

/api/abcdef/microsoft_copilot/user_criteria

Einrichten hierarchischer Berechtigungen (Vorschau)

Hierarchische Berechtigungen ermöglichen es dem ServiceNow Knowledge Connector, Benutzerberechtigungen für jeden ServiceNow-Wissensartikel auszuwerten. Der Connector wertet die Benutzerkriterien aus, die auf der ebene der Wissensdatenbank (übergeordnetes Element) und des Wissensartikels (untergeordnetes Element) angewendet werden, gemäß den Regeln, die von ServiceNow verwendet werden. Weitere Informationen dazu, wie ServiceNow die Berechtigung für Artikel auswertet, finden Sie unter Verwalten des Zugriffs auf Wissensdatenbanken und Wissensartikel.

So richten Sie hierarchische Berechtigungen ein:

• Wählen Sie während der Connectorbereitstellung für Die Auswahl basierend auf Der Einrichtung Ihrer Benutzerkriterien in ServiceNowdie Option Erweitert aus. Wenn Sie beim Einrichten des Connectors Einfach ausgewählt haben, aktualisieren Sie Ihren vorhandenen Connector so, dass Erweitert verwendet wird.

  Hinweis

  Wenn Sie Erweitert auswählen, müssen Sie die skriptbasierte REST-API in ServiceNow in Ihrem ServiceNow-instance **konfigurieren, wenn Sie "Erweitert" auswählen. Führen Sie die unter Einrichten der REST-API dokumentierten Schritte aus.

• Gewähren Sie Lesezugriff auf die sys_properties Tabelle für das Dienstkonto, das für die Connectoreinrichtung verwendet wird. Weitere Informationen finden Sie unter Gewähren des Tabellenzugriffs auf ein Dienstkonto in ServiceNow.

  Hinweis

  • Wenn der Benutzer und die Rolle bereits eingerichtet sind, führen Sie die Schritte in den Abschnitten Gewähren von Zugriff auf Zeilenebene und Gewähren von Zugriff auf Feldebene aus, und fügen Sie die Rolle (Copilot-Connectorkonto) den neuen ACLs hinzu, die Sie für den sys_properties Tabellenzugriff erstellen.

• Verwenden Sie * im Feldnamen, um den Zugriff auf alle Felder für die Tabelle anzuwenden.

Intern benötigen Sie schreibgeschützten Zugriff auf das Feld name und value für die folgenden Eigenschaften, die für die Auswertung der hierarchischen ACL wichtig sind:

• glide.knowman.apply_article_read_criteria
• glide.knowman.block_access_with_no_user_criteria

Wenn Sie nicht den Zugriff auf alle Felder in der sys_properties Tabelle gewähren möchten, beschränken Sie das Konto so, dass es nur Zugriff auf erforderliche Felder hat:

1. Erstellen Sie eine neue Zugriffssteuerungsliste, und gewähren Sie Zugriff auf sys_properties die Tabelle auf Zeilenebene nur für die spezifischen Eigenschaften, die Sie lesen möchten. Geben Sie die folgenden Werte an:

   1. Typ: Datensatz
   2. Anwendung: Global
   3. Aktiv: aktiviert
   4. Entscheidungstyp: Zulassen, wenn
   5. Admin Außerkraftsetzungen: aktiviert
   6. Vorgang: lesen
   7. Name: Systemeigenschaft [sys_properties]. Behalten Sie die angrenzende Feldzelle als --None--- bei.
   8. Gilt für:
      1. Wählen Sie Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.apply_article_read_criteria.
      2. Wählen Sie den Operator OR aus.
      3. Wählen Sie in der zweiten Zeile Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.block_access_with_no_user_criteria.
   9. Wählen Sie unter Bedingungen > erfordert Rollen die Rolle aus, für die Sie diese ACL zulassen möchten, und erstellen Sie die ACL.

2. Erstellen Sie eine weitere neue Zugriffssteuerungsliste, und gewähren Sie Zugriff auf das Feld Name für die Eigenschaft. Geben Sie die folgenden Werte an:

   1. Typ: Datensatz
   2. Anwendung: Global
   3. Aktiv: aktiviert
   4. Entscheidungstyp: Zulassen, wenn
   5. Admin Außerkraftsetzungen: aktiviert
   6. Vorgang: lesen
   7. Name: Systemeigenschaft [sys_properties]. Wählen Sie im angrenzenden Feld Name aus.
   8. Gilt für:
      1. Wählen Sie Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.apply_article_read_criteria. 1. Wählen Sie den Operator OR aus. 1. Wählen Sie in der zweiten Zeile Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.block_access_with_no_user_criteria.
   9. Wählen Sie unter Bedingungen > erfordert Rollen die Rolle aus, für die Sie diese ACL zulassen möchten, und erstellen Sie die ACL.

3. Erstellen Sie eine weitere neue Zugriffssteuerungsliste, und gewähren Sie Zugriff auf das Feld Wert für die Eigenschaft. Geben Sie die folgenden Werte an:

   1. Typ: Datensatz
   2. Anwendung: Global
   3. Aktiv: aktiviert
   4. Entscheidungstyp: Zulassen, wenn
   5. Admin Außerkraftsetzungen: aktiviert
   6. Vorgang: lesen
   7. Name: Systemeigenschaft [sys_properties]. Wählen Sie im angrenzenden Feld Wert aus.
   8. Gilt für:
      1. Wählen Sie Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.apply_article_read_criteria. 1. Wählen Sie den Operator OR aus. 1. Wählen Sie in der zweiten Zeile Name, Operator ist aus, und geben Sie den Feldnamen an: glide.knowman.block_access_with_no_user_criteria.
   9. Wählen Sie unter Bedingungen > erfordert Rollen die Rolle aus, für die Sie diese ACL zulassen möchten, und erstellen Sie die ACL.

Mit den drei acLs, die Sie erstellt haben, können Sie das Dienstkonto auf die erforderlichen Berechtigungen beschränken. Diese Einschränkung ermöglicht es, die erforderlichen Details abzurufen, um den Berechtigungsauswertungsflow in Ihrem ServiceNow-instance zu bestimmen.

Hinzufügen der Microsoft 365-IP-Adresse zur Positivliste

Wenn Netzwerkkonfigurationen , z. B. Firewall- oder Proxyeinstellungen, den Zugriff auf ServiceNow blockieren, stellen Sie sicher, dass Sie die in IP-Firewallregeln aufgeführten IP-Adressen der Positivliste hinzufügen.

Informationen zu ServiceNow-spezifischen Steuerelementen finden Sie unter IP-Adress-Access Control.

Beheben von Problemen beim Einrichten des Connectors mit der ServiceNow SSO-Konfiguration

Wenn Ihr ServiceNow-instance mit einmaligem Anmelden (Single Sign-On, SSO) konfiguriert ist, können während der Connectoreinrichtung die folgenden Probleme auftreten:

• Während des OAuth-Prozesses wird möglicherweise das Fenster Abmelden erfolgreich angezeigt, ohne zur Eingabe von ServiceNow-Anmeldeinformationen aufzufordern.
• Microsoft 365-Administratoranmeldeinformationen können verwendet werden, um die ServiceNow-Verbindung anstelle des beabsichtigten Dienstkontos zu autorisieren.

Standardmäßig versucht ServiceNow, eine Verbindung mithilfe von Microsoft 365-Administratoranmeldeinformationen über SSO über eine Browseranmeldung herzustellen. Dieses Verhalten kann dazu führen, dass die Verbindung fehlschlägt und zu einer erfolgreichen Abmeldung führt.

So beheben Sie diese Probleme:

1. Öffnen Sie ein privates Browserfenster, und melden Sie sich mit den Anmeldeinformationen des ServiceNow-Dienstkontos an.

2. Melden Sie sich auf einer neuen Registerkarte mit den Microsoft 365-Administratoranmeldeinformationen beim Microsoft 365 Admin Center an.

   Hinweis

   Bei der ersten Anmeldung wird möglicherweise standardmäßig ServiceNow SSO verwendet. Wechseln Sie in diesem Fall zu den richtigen Anmeldeinformationen.

3. Wiederholen Sie die OAuth-Konfiguration. Nun sollte ein Fenster angezeigt werden, in dem Sie aufgefordert werden, die Verbindung mit den Anmeldeinformationen des Dienstkontos zu autorisieren.

Nächster Schritt

Bereitstellen des ServiceNow Knowledge-Connectors