Conector de Microsoft Graph de Conocimiento de ServiceNow
Con el conector de Microsoft Graph para ServiceNow, su organización puede indexar artículos de base de conocimiento que sean visibles para todos los usuarios o restringidos con permisos de criterios de usuario dentro de su organización. Después de configurar el conector y el contenido de índice de ServiceNow, los usuarios finales pueden buscar esos artículos desde cualquier cliente de Microsoft Search.
También puede consultar este vídeo para obtener más información sobre la funcionalidad de Graph Connector en la administración de permisos de búsqueda.
Este artículo está destinado a administradores de Microsoft 365 o a cualquier persona que configure, ejecute y supervise un conector de ServiceNow Knowledge Graph. Complementa las instrucciones generales que se proporcionan en el artículo Configuración de conectores de Microsoft Graph en el Centro de administración de Microsoft 365. Si aún no lo ha hecho, lea todo el artículo Configuración del conector de Graph para comprender el proceso de instalación general.
Cada paso del proceso de instalación se muestra a continuación junto con una nota que indica que debe seguir las instrucciones de configuración general u otras instrucciones que se aplican solo al conector de ServiceNow, incluida la información sobre la solución de problemas y las limitaciones.
Paso 1: Agregar un conector en el Centro de administración de Microsoft 365.
Siga las instrucciones generales de configuración.
Paso 2: Asigne un nombre a la conexión.
Siga las instrucciones generales de configuración.
Paso 3: Configuración de conexión
Para conectarse a los datos de ServiceNow, necesita la dirección URL de la instancia de ServiceNow de su organización. La dirección URL de la instancia de ServiceNow de su organización suele parecerse a https://< your-organization-domain.service-now.com>.
Junto con esta dirección URL, necesitará una cuenta de servicio para configurar la conexión a ServiceNow, así como para permitir que Microsoft Search actualice periódicamente los artículos de conocimientos según la programación de actualización. La cuenta de servicio necesitará acceso de lectura a los siguientes registros de tabla de ServiceNow para rastrear correctamente varias entidades.
| Característica | Tablas necesarias de acceso de lectura | Descripción |
|---|---|---|
| Artículos de conocimientos de índices disponibles para todos los usuarios | kb_knowledge | Para artículos de conocimientos de rastreo |
| Indexación y compatibilidad con permisos de criterios de usuario | kb_uc_can_read_mtom | ¿Quién puede leer este knowledge base |
| kb_uc_can_contribute_mtom | ¿Quién puede contribuir a este knowledge base | |
| kb_uc_cannot_read_mtom | ¿Quién no puede leer este knowledge base | |
| kb_uc_cannot_contribute_mtom | ¿Quién no puede contribuir a este knowledge base | |
| sys_user | Leer tabla de usuario | |
| sys_user_has_role | Leer la información de rol de los usuarios | |
| sys_user_grmember | Lectura de la pertenencia a grupos de usuarios | |
| user_criteria | Leer permisos de criterios de usuario | |
| kb_knowledge_base | Leer knowledge base información | |
| sys_user_group | Leer segmentos de grupo de usuarios | |
| sys_user_role | Leer roles de usuario | |
| cmn_location | Leer información de ubicación | |
| cmn_department | Leer información del departamento | |
| core_company | Leer atributos de empresa | |
| Propiedades de tabla extendidas de índice (opcional) | sys_db_object | Leer los detalles de la tabla extendida |
| sys_dictionary | Leer las propiedades extendidas de la tabla |
Puede crear y asignar un rol para la cuenta de servicio que use para conectarse a Microsoft Search. Obtenga información sobre cómo asignar un rol para las cuentas de ServiceNow. El acceso de lectura a las tablas se puede asignar en el rol creado. Para obtener información sobre cómo establecer el acceso de lectura a los registros de tabla, consulte Protección de registros de tabla.
Si desea indexar propiedades de tablas extendidas de kb_knowledge, proporcione acceso de lectura a sys_dictionary y sys_db_object. Se trata de una característica opcional. Podrá indexar kb_knowledge propiedades de tabla sin acceso a las dos tablas adicionales.
Nota:
El conector de Microsoft Graph de ServiceNow puede indexar artículos de conocimientos y permisos de criterios de usuario sin scripts avanzados. Si un criterio de usuario contiene un script avanzado, todos los artículos de conocimiento relacionados se ocultarán de los resultados de la búsqueda.
Para autenticar y sincronizar contenido desde ServiceNow, elija uno de los tres métodos admitidos:
- Autenticación básica
- OAuth de ServiceNow (recomendado)
- Azure AD OpenID Connect
Paso 3.1: Autenticación básica
Escriba el nombre de usuario y la contraseña de la cuenta de ServiceNow con el rol de conocimiento para autenticarse en la instancia.
Paso 3.2: ServiceNow OAuth
Para usar OAuth de ServiceNow para la autenticación, un administrador de ServiceNow debe aprovisionar un punto de conexión en la instancia de ServiceNow para que la aplicación Microsoft Search pueda acceder a él. Para obtener más información, consulte Creación de un punto de conexión para que los clientes accedan a la instancia en la documentación de ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de creación del punto de conexión:
| Campo | Descripción | Valor recomendado |
|---|---|---|
| Nombre | Valor único que identifica la aplicación para la que necesita acceso de OAuth. | Búsqueda de Microsoft |
| Id. de cliente | Identificador único generado automáticamente de solo lectura para la aplicación. La instancia usa el identificador de cliente cuando solicita un token de acceso. | ND |
| Secreto de cliente | Con esta cadena secreta compartida, la instancia de ServiceNow y Microsoft Search autorizan las comunicaciones entre sí. | Siga los procedimientos recomendados de seguridad tratando el secreto como una contraseña. |
| Dirección URL de redireccionamiento | Dirección URL de devolución de llamada necesaria a la que redirige el servidor de autorización. | Para M365 Enterprise: https:// gcs.office. com/v1.0/admin/oauth/callback, Para M365 Government: https:// gcsgcc.office. com/v1.0/admin/oauth/callback |
| Dirección URL del logotipo | Dirección URL que contiene la imagen del logotipo de la aplicación. | ND |
| Activo | Active la casilla para activar el registro de la aplicación. | Establecer en activo |
| Duración del token de actualización | El número de segundos que un token de actualización es válido. De forma predeterminada, los tokens de actualización expiran en 100 días (8640 000 segundos). | 31 536 000 (un año) |
| Duración del token de acceso | Número de segundos que un token de acceso es válido. | 43 200 (12 horas) |
Escriba el identificador de cliente y el secreto de cliente para conectarse a la instancia. Después de conectarse, use una credencial de cuenta de ServiceNow para autenticar el permiso para rastrear. La cuenta debe tener al menos un rol de conocimiento . Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y permisos de criterios de usuario de índice.
Paso 3.3: Azure AD OpenID Connect
Para usar OpenID Connect de Azure AD para la autenticación, siga estos pasos.
Paso 3.3.1: Registro de una nueva aplicación en Azure Active Directory
Para más información sobre el registro de una nueva aplicación en Azure Active Directory, consulte Registro de una aplicación. Seleccione directorio organizativo de inquilino único. No se necesita el URI de redireccionamiento. Después del registro, anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino).
Paso 3.3.2: Creación de un secreto de cliente
Para obtener información sobre cómo crear un secreto de cliente, consulte Creación de un secreto de cliente. Tome nota del secreto de cliente.
Paso 3.3.3: Recuperar identificador de objeto de entidad de servicio
Siga los pasos para recuperar el identificador de objeto de entidad de servicio.
Ejecute PowerShell.
Instale Azure PowerShell mediante el siguiente comando.
Install-Module -Name Az -AllowClobber -Scope CurrentUserConéctese a Azure.
Connect-AzAccountObtenga el identificador de objeto de entidad de servicio.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Reemplace "Application-ID" por el identificador de aplicación (cliente) (sin comillas) de la aplicación que registró en el paso 3.a. Tenga en cuenta el valor del objeto id. de la salida de PowerShell. Es el identificador de la entidad de servicio.
Ahora tiene toda la información necesaria de Azure Portal. En la tabla siguiente se ofrece un resumen rápido de la información.
| Propiedad | Descripción |
|---|---|
| Id. de directorio (id. de inquilino) | Identificador único del inquilino de Azure Active Directory, del paso 3.a. |
| Id. de aplicación (id. de cliente) | Identificador único de la aplicación registrada en el paso 3.a. |
| Secreto de cliente | Clave secreta de la aplicación (del paso 3.b). Trátelo como una contraseña. |
| Identificador de entidad de servicio | Identidad de la aplicación que se ejecuta como servicio. (del paso 3.c) |
Paso 3.3.4: Registro de la aplicación ServiceNow
La instancia de ServiceNow necesita la siguiente configuración:
Registre una nueva entidad OIDC de OAuth. Para obtener información, consulte Creación de un proveedor OIDC de OAuth.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de registro del proveedor OIDC.
Campo Descripción Valor recomendado Nombre Nombre único que identifica la entidad OIDC de OAuth. Azure AD Id. de cliente Identificador de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. La instancia usa el identificador de cliente al solicitar un token de acceso. Identificador de aplicación (cliente) del paso 3.a Secreto de cliente Secreto de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. Secreto de cliente del paso 3.b Todos los demás valores pueden ser predeterminados.
En el formulario de registro del proveedor OIDC, debe agregar una nueva configuración de proveedor de OIDC. Seleccione el icono de búsqueda en el campo Configuración del proveedor OIDC de OAuth para abrir los registros de las configuraciones de OIDC. Seleccione Nuevo.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de configuración del proveedor OIDC.
Campo Valor recomendado Proveedor OIDC Azure AD Dirección URL de metadatos de OIDC La dirección URL debe tener el formato https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration
Reemplace "tenantID" por el identificador de directorio (inquilino) del paso 3.a.Período de vida de la caché de configuración de OIDC 120 Aplicación Global Notificación de usuario sub Campo de usuario Id. de usuario Habilitación de la comprobación de notificaciones de JTI Deshabilitada Seleccione Enviar y actualizar el formulario de entidad OIDC de OAuth.
Paso 3.3.5: Creación de una cuenta de ServiceNow
Consulte las instrucciones para crear una cuenta de ServiceNow y crear un usuario en ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el registro de la cuenta de usuario de ServiceNow.
| Campo | Valor recomendado |
|---|---|
| Id. de usuario | Identificador de entidad de servicio del paso 3.c |
| Solo acceso al servicio web | Checked |
Todos los demás valores se pueden dejar en el valor predeterminado.
Paso 3.3.6: Habilitar el rol de conocimiento para la cuenta de ServiceNow
Acceda a la cuenta de ServiceNow que creó con el identificador de entidad de seguridad de ServiceNow como Id. de usuario y asigne el rol de conocimiento. Aquí puede encontrar instrucciones para asignar un rol a una cuenta de ServiceNow y asignar un rol a un usuario. Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y permisos de criterios de usuario de índice.
Use id. de aplicación como id. de cliente (del paso 3.a) y secreto de cliente (del paso 3.b) en el Asistente para configuración del Centro de administración para autenticarse en la instancia de ServiceNow mediante Azure AD OpenID Connect.
Paso 4: Seleccionar propiedades y filtrar datos
En este paso, puede agregar o quitar las propiedades disponibles del origen de datos de ServiceNow. Microsoft 365 ya ha seleccionado algunas propiedades de forma predeterminada.
Con una cadena de consulta de ServiceNow, puede especificar condiciones para sincronizar artículos. Es como una cláusula Where en una instrucción SELECT de SQL . Por ejemplo, puede optar por indexar solo los artículos publicados y activos. Para obtener información sobre cómo crear su propia cadena de consulta, consulte Generación de una cadena de consulta codificada mediante un filtro.
Use el botón vista previa de los resultados para comprobar los valores de ejemplo de las propiedades seleccionadas y el filtro de consulta.
Paso 5: Administrar permisos de búsqueda
El conector de ServiceNow admite permisos de búsqueda visibles para todos o solo personas con acceso a este origen de datos. Los datos indexados aparecen en los resultados de la búsqueda y son visibles para todos los usuarios de la organización o los usuarios que tienen acceso a ellos a través del permiso de criterios de usuario, respectivamente. Si un artículo de conocimientos no está habilitado con criterios de usuario, aparecerá en los resultados de búsqueda de todos los usuarios de la organización.
Para acceder a los artículos de Knowledge Base en ServiceNow, los usuarios necesitan permisos de nivel de artículo y permisos de nivel de KB. Al usar el conector de Knowledge Base de ServiceNow, si no hay restricciones de nivel de artículo, aplicará los permisos de nivel de Knowledge Base. Sin embargo, si hay restricciones de nivel de artículo, estas tendrán prioridad sobre las restricciones de nivel de Knowledge Base.
Importante
- El conector admite permisos predeterminados de criterios de usuario sin scripts avanzados. Cuando el conector encuentra un criterio de usuario con script avanzado, todos los datos que usan esos criterios de usuario no aparecerán en los resultados de la búsqueda.
- El conector no aplica la intersección de los permisos de nivel de base de conocimiento y nivel de artículo, sino que respeta los permisos de nivel de artículo directamente.
Si elige Solo personas con acceso a este origen de datos, debe elegir aún más si la instancia de ServiceNow tiene usuarios aprovisionados de Azure Active Directory (AAD) o usuarios que no son de AAD.
Para identificar qué opción es adecuada para su organización:
- Elija la opción AAD si el identificador de Email de los usuarios de ServiceNow es el mismo que userprincipalName (UPN) de los usuarios de AAD.
- Elija la opción No AAD si el identificador de correo electrónico de los usuarios de ServiceNow es diferente del userprincipalName (UPN) de los usuarios de AAD.
Nota:
- Si elige AAD como tipo de origen de identidad, el conector asigna los identificadores de Email de los usuarios obtenidos de ServiceNow directamente a la propiedad UPN de AAD.
- Si eligió "No AAD" para el tipo de identidad, consulte Asignación de identidades que no son de Azure AD para obtener instrucciones sobre cómo asignar las identidades. Puede usar esta opción para proporcionar la expresión regular de asignación de Email id. a UPN.
Paso 6: Asignar etiquetas de propiedad
Siga las instrucciones generales de configuración.
Paso 7: Administrar esquema
Siga las instrucciones generales de configuración.
Paso 8: Elegir la configuración de actualización
Siga las instrucciones generales de configuración.
Nota:
En el caso de las identidades, solo se aplicará el rastreo completo programado.
Paso 9: Revisión de la conexión
Siga las instrucciones generales de configuración.
Después de publicar la conexión, debe personalizar la página de resultados de búsqueda. Para obtener información sobre cómo personalizar los resultados de la búsqueda, vea Personalizar la página de resultados de búsqueda.
Limitaciones
El conector de Microsoft Graph de ServiceNow Knowledge tiene las siguientes limitaciones en su versión más reciente:
- Solo las personas con acceso a esta característica de origen de datos en el paso Administrar permisos de búsqueda procesan solo los permisos de criterios de usuario . Ningún otro tipo de permisos de acceso se aplicará en los resultados de la búsqueda.
- Los criterios de usuario con scripts avanzados no se admiten en la versión actual. Los artículos de conocimientos con esta restricción de acceso se indexarán con denegación de acceso a todos, es decir, no aparecerán en los resultados de la búsqueda para ningún usuario hasta que los admitamos.
Solución de problemas
Después de publicar la conexión, personalizar la página de resultados, puede revisar el estado en la pestaña Orígenes de datos del Centro de administración. Para obtener información sobre cómo realizar actualizaciones y eliminaciones, consulte Administración del conector. Puede encontrar los pasos para solucionar problemas que se ven habitualmente a continuación.
1. No se puede iniciar sesión debido a una única instancia de ServiceNow habilitada Sign-On
Si su organización ha habilitado single Sign-On (SSO) en ServiceNow, es posible que tenga problemas para iniciar sesión con la cuenta de servicio. Puede abrir el inicio de sesión basado en nombre de usuario y contraseña agregando login.do a la dirección URL de la instancia de ServiceNow. Ejemplo. https://<your-organization-domain>.service-now.com./login.do
2. Respuesta no autorizada o prohibida a la solicitud de API
2.1. Comprobación de permisos de acceso a tablas
Si ve una respuesta prohibida o no autorizada en el estado de conexión, compruebe si la cuenta de servicio tiene acceso necesario a las tablas mencionadas en el paso 3: configuración de conexión. Compruebe si todas las columnas de las tablas tienen acceso de lectura.
2.2. Cambio en la contraseña de la cuenta
El conector de Microsoft Graph usa el token de acceso capturado en nombre de la cuenta de servicio para el rastreo. El token de acceso se actualiza cada 12 horas. Asegúrese de que la contraseña de la cuenta de servicio no se cambie después de publicar la conexión. Es posible que tenga que volver a autenticar la conexión si hay un cambio en la contraseña.
2.3. Comprobación de si la instancia de ServiceNow detrás del firewall
Es posible que Microsoft Graph Connector no pueda acceder a la instancia de ServiceNow si está detrás de un firewall de red. Tendrá que permitir explícitamente el acceso al servicio del conector. Puede encontrar el intervalo de direcciones IP públicas del servicio del conector en la tabla siguiente. En función de la región del inquilino, agréguela a la lista de permitidos de la red de instancia de ServiceNow.
| Entorno | Región | Range |
|---|---|---|
| PROD | Norteamérica | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asia Pacífico | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Permisos de acceso que no funcionan según lo esperado
Si observa discrepancias en los permisos de acceso aplicados a los resultados de la búsqueda, compruebe el gráfico de flujo de acceso para conocer los criterios de usuario en la administración del acceso a las bases de conocimiento y los artículos.
3. Cambiar la dirección URL del artículo de conocimientos para verlo en el portal de soporte técnico
ServiceNow Knowledge Connector calcula la propiedad AccessUrl mediante sys_id en el <instance_url>/kb_view.do?sys_kb_id<sysId> formato . Abrirá el artículo de conocimientos en la vista del sistema back-end. Si prefiere redirigir el artículo a otra dirección URL, siga las instrucciones siguientes.
3.1 Editar el tipo de resultado
En la pestaña personalización de la sección Search & Intelligence de Centro de administración de Microsoft 365, vaya a editar el tipo de resultado configurado para la conexión de ServiceNow Knowledge.
Cuando se abra el cuadro de diálogo Editar tipo de resultado, haga clic en Editar junto a la sección diseño de resultados.
3.2 Buscar el bloque de elementos
Busque el bloque de elementos que contiene la propiedad de texto con shortDescription valores y AccessUrl .
3.3 Editar propiedad AccessUrl
Para cambiar la dirección URL de destino, edite la AccessUrl parte de la propiedad text en el bloque de elementos. Por ejemplo, si se debe redirigir un artículo de ServiceNow Knowledge a donde sp es el prefijo del portal de direcciones URL del servicio, siga los pasos que se indican a https://contoso.service-now.com/sp continuación.
| Valor original | Valor nuevo |
|---|---|
"[{shortdescription}]({AccessUrl})" |
"[{shortdescription}](https://contoso.service-now.com/sp?id=kb_article_view&sysparm_article={number})" |
Dónde number está la propiedad de número de artículo de conocimiento. Se debe marcar como recuperar en la pantalla Administrar esquema durante la creación de la conexión.
Termine de revisar las actualizaciones del tipo de resultado y presione Enviar. Déle un minuto o dos para recoger los cambios. Los resultados de la búsqueda ahora deberían redirigirse a las direcciones URL deseadas.
4. Problemas con solo personas con acceso a este permiso de origen de datos
4.1 No se puede elegir solo las personas con acceso a este origen de datos
Es posible que no pueda elegir la opción Solo personas con acceso a este origen de datos si la cuenta de servicio no tiene permisos de lectura para las tablas necesarias en el paso 3: configuración de conexión. Compruebe si la cuenta de servicio puede leer las tablas mencionadas en Index y admitir la característica de permisos de criterios de usuario .
4.2 Errores de asignación de usuarios
Las cuentas de usuario de ServiceNow que no tienen un usuario M365 en Azure Active Directory no se asignarán. Se espera que las cuentas de servicio que no son de usuario no realicen la asignación de usuarios. Se puede acceder al número de errores de asignación de usuarios en el área de estadísticas de identidad en la ventana de detalles de la conexión. El registro de asignaciones de usuarios con errores se puede descargar desde la pestaña Error.
5. Problemas con el flujo de acceso de criterios de usuario
Si ve diferencias en la validación de criterios de usuario entre ServiceNow y Microsoft Search, establezca glide.knowman.block_access_with_no_user_criteria la propiedad del nosistema en .
Si tiene algún otro problema o desea proporcionar comentarios, escríbenos aka.ms/TalkToGraphConnectors