Conector de Microsoft Graph de Vales de ServiceNow
Con el conector de Microsoft Graph para vales de ServiceNow, su organización puede indexar varios vales que se prestan servicio a los usuarios. Después de configurar el conector y el contenido de índice de ServiceNow, los usuarios finales pueden buscar esos vales desde cualquier cliente de Microsoft Search.
Este artículo está destinado a administradores de Microsoft 365 o a cualquier persona que configure, ejecute y supervise un conector de ServiceNow Tickets Graph. Complementa las instrucciones generales que se proporcionan en el artículo Configuración de conectores de Microsoft Graph en el Centro de administración de Microsoft 365. Si aún no lo ha hecho, lea todo el artículo "Configuración del conector de Graph" para comprender el proceso de instalación general.
Cada paso del proceso de instalación se muestra a continuación junto con una nota que indica que debe seguir las instrucciones de configuración general u otras instrucciones que se aplican solo al conector de ServiceNow, incluida la información sobre la solución de problemas y las limitaciones.
Paso 1: Agregar un conector en el Centro de administración de Microsoft 365.
Incorporación del conector de Vales de ServiceNow
Siga las instrucciones generales de configuración.
Paso 2: Asigne un nombre a la conexión.
Siga las instrucciones generales de configuración.
Paso 3: Configuración de conexión
Para conectarse a los datos de ServiceNow, necesita la dirección URL de la instancia de ServiceNow de su organización. La dirección URL de la instancia de ServiceNow de su organización suele parecerse a https://< your-organization-domain.service-now.com>.
Junto con esta dirección URL, necesitará una cuenta de servicio para configurar la conexión a ServiceNow y para permitir que Microsoft Search actualice periódicamente los detalles de los vales en función de la programación de actualización.
En ServiceNow, la tabla task es la clase base para la administración de vales. Se puede ampliar para crear aplicaciones de vales, como la administración de incidentes, problemas y cambios. Obtenga más información sobre las tablas de tareas de ServiceNow.
La cuenta de servicio que use para configurar una conexión debe tener acceso de lectura a los siguientes registros de tabla de ServiceNow para rastrear correctamente los campos de vale predeterminados.
| Característica | Tablas necesarias de acceso de lectura | Descripción |
|---|---|---|
| Campos de tabla de tareas base de índice | task |
Para rastrear los campos predeterminados de las tablas de tareas predefinidas |
| Sincronización de tablas de usuario | sys_user |
Para indexar los detalles de acceso de usuario de los vales |
Si desea indexar propiedades personalizadas de tablas extendidas de tabla de tareas , proporcione acceso de lectura a sys_dictionary y sys_db_object. Es una característica opcional . Podrá indexar las propiedades de la tabla de tareas sin acceso a las dos tablas adicionales.
| Característica | Tablas necesarias de acceso de lectura | Descripción |
|---|---|---|
| Selección de una tabla personalizada de la organización | sys_db_object |
Buscar la lista de tablas de tareas extendidas, incluidas las tablas personalizadas |
| Indexar campos personalizados de un table_name específico <> | sys_dictionary |
Rastreo de campos personalizados desde una tabla específica, como incidentes, problemas o change_management |
Puede crear y asignar un rol para la cuenta de servicio que use para conectarse a Microsoft Search. Obtenga información sobre cómo asignar un rol para las cuentas de ServiceNow. El acceso de lectura a las tablas se puede proporcionar al rol creado. Para obtener información sobre cómo establecer el acceso de lectura a los registros de tabla, consulte Protección de registros de tabla.
Para autenticar y sincronizar contenido desde ServiceNow, elija uno de los tres métodos admitidos:
- Autenticación básica
- OAuth de ServiceNow (recomendado)
- Microsoft Entra ID OpenID Connect
Paso 3.1: Autenticación básica
Escriba el nombre de usuario y la contraseña de la cuenta de ServiceNow con acceso de lectura a task y sys_user tablas para autenticarse en la instancia.
Paso 3.2: ServiceNow OAuth
Para usar ServiceNow OAuth, un administrador de ServiceNow debe aprovisionar un punto de conexión en la instancia de ServiceNow. Después de eso, la aplicación Microsoft Search podrá acceder a ella. Para más información, consulte Creación de un punto de conexión para que los clientes accedan a la instancia en la documentación de ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de creación del punto de conexión:
| Campo | Description | Valor recomendado |
|---|---|---|
| Nombre | Valor único que identifica la aplicación para la que necesita acceso de OAuth. | Búsqueda de Microsoft |
| Id. de cliente | Identificador único generado automáticamente de solo lectura para la aplicación. La instancia usa el identificador de cliente cuando solicita un token de acceso. | ND |
| Secreto de cliente | Con esta cadena secreta compartida, la instancia de ServiceNow y Microsoft Search autorizan las comunicaciones entre sí. | Siga los procedimientos recomendados de seguridad tratando el secreto como una contraseña. |
| Dirección URL de redireccionamiento | Dirección URL de devolución de llamada necesaria a la que redirige el servidor de autorización. | https://gcs.office.com/v1.0/admin/oauth/callback |
| Dirección URL del logotipo | Dirección URL que contiene la imagen del logotipo de la aplicación. | ND |
| Activo | Active la casilla para activar el registro de la aplicación. | Establecer en activo |
| Duración del token de actualización | El número de segundos que un token de actualización es válido. De forma predeterminada, los tokens de actualización expiran en 100 días (8640 000 segundos). | 31 536 000 (un año) |
| Duración del token de acceso | Número de segundos que un token de acceso es válido. | 43 200 (12 horas) |
Escriba el identificador de cliente y el secreto de cliente para conectarse a la instancia. Después de conectarse, use una credencial de cuenta de ServiceNow para autenticar el permiso para rastrear. La cuenta debe tener al menos acceso de lectura a task las tablas y sys_user . Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y permisos de criterios de usuario de índice.
Paso 3.3: Microsoft Entra ID OpenID Connect
Para usar Microsoft Entra ID OpenID Connect para la autenticación, siga estos pasos.
Paso 3.3.1: Registro de una nueva aplicación en Microsoft Entra ID
Para obtener información sobre cómo registrar una nueva aplicación en Microsoft Entra ID, consulte Registro de una aplicación. Seleccione directorio organizativo de inquilino único. No se necesita el URI de redireccionamiento. Después del registro, anote el identificador de aplicación (cliente) y el id. de directorio (id. de inquilino).
Paso 3.3.2: Creación de un secreto de cliente
Para obtener información sobre cómo crear un secreto de cliente, consulte Creación de un secreto de cliente. Tome nota del secreto de cliente.
Paso 3.3.3: Recuperar identificador de objeto de entidad de servicio
Siga los pasos para recuperar el identificador de objeto de entidad de servicio.
Ejecute PowerShell.
Instale Azure PowerShell mediante el siguiente comando.
Install-Module -Name Az -AllowClobber -Scope CurrentUserConéctese a Azure.
Connect-AzAccountObtenga el identificador de objeto de entidad de servicio.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Reemplace "Application-ID" por el identificador de aplicación (cliente) (sin comillas) de la aplicación que registró en el paso 3.a. Tenga en cuenta el valor del objeto id. de la salida de PowerShell. Es el identificador de la entidad de servicio.
Ahora tiene toda la información necesaria de Azure Portal. En la tabla siguiente se ofrece un resumen rápido de la información.
| Propiedad | Description |
|---|---|
| Id. de directorio (id. de inquilino) | Identificador único del inquilino de Microsoft Entra, del paso 3.a. |
| Id. de aplicación (id. de cliente) | Identificador único de la aplicación registrada en el paso 3.a. |
| Secreto de cliente | Clave secreta de la aplicación (del paso 3.b). Trátelo como una contraseña. |
| Identificador de entidad de servicio | Identidad de la aplicación que se ejecuta como servicio. (del paso 3.c) |
Paso 3.3.4: Registro de la aplicación ServiceNow
La instancia de ServiceNow necesita la siguiente configuración:
Registre una nueva entidad OIDC de OAuth. Para obtener información, consulte Creación de un proveedor OIDC de OAuth.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de registro del proveedor OIDC.
Campo Description Valor recomendado Nombre Nombre único que identifica la entidad OIDC de OAuth. Microsoft Entra ID Id. de cliente Identificador de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. La instancia usa el identificador de cliente al solicitar un token de acceso. Identificador de aplicación (cliente) del paso 3.a Secreto de cliente Secreto de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. Secreto de cliente del paso 3.b Todos los demás valores pueden ser predeterminados.
En el formulario de registro del proveedor OIDC, debe agregar una nueva configuración de proveedor de OIDC. Seleccione el icono de búsqueda en el campo Configuración del proveedor OIDC de OAuth para abrir los registros de las configuraciones de OIDC. Seleccione Nuevo.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de configuración del proveedor OIDC.
Campo Valor recomendado Proveedor OIDC Microsoft Entra ID Dirección URL de metadatos de OIDC La dirección URL debe tener el formato https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration
Reemplace "tenantID" por id. de directorio (id. de inquilino) del paso 3.a.Período de vida de la caché de configuración de OIDC 120 Aplicación Global Notificación de usuario Sub Campo de usuario Id. de usuario Habilitación de la comprobación de notificaciones de JTI Deshabilitada Seleccione Enviar y actualizar el formulario de entidad OIDC de OAuth.
Paso 3.3.5: Creación de una cuenta de ServiceNow
Consulte las instrucciones para crear una cuenta de ServiceNow y crear un usuario en ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el registro de la cuenta de usuario de ServiceNow.
| Campo | Valor recomendado |
|---|---|
| Id. de usuario | Identificador de entidad de servicio del paso 3.c |
| Solo acceso al servicio web | Checked |
Todos los demás valores se pueden dejar en el valor predeterminado.
Paso 3.3.6: Habilitación de la tarea, acceso de tabla de usuario para la cuenta de ServiceNow
Acceda a la cuenta de ServiceNow que creó con el identificador de entidad de seguridad de ServiceNow como Id. de usuario y asigne el acceso de lectura a y sys_user la task tabla. Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y campos personalizados de índice.
Use id. de aplicación como id. de cliente (del paso 3.a) y secreto de cliente (del paso 3.b) en la ventana de configuración del Centro de administración de M365 para autenticarse en la instancia de ServiceNow mediante Microsoft Entra ID OpenID Connect.
Paso 4: Selección de tablas, propiedades y datos de filtro
En este paso, puede agregar o quitar tablas y propiedades disponibles del origen de datos de ServiceNow. Microsoft 365 ya ha seleccionado algunas tablas y propiedades de forma predeterminada.
Con una cadena de consulta de ServiceNow, puede especificar condiciones para sincronizar vales. Es como una cláusula Where en una instrucción SELECT de SQL . Por ejemplo, puede optar por indexar solo los vales creados en los últimos seis meses y que están en estado abierto. Para obtener información sobre cómo crear su propia cadena de consulta, consulte Generación de una cadena de consulta codificada mediante un filtro.
Use el botón vista previa de los resultados para comprobar los valores de ejemplo de las propiedades seleccionadas y el filtro de consulta.
Paso 5: Administrar permisos de búsqueda
ServiceNow Tickets Graph Connector admite permisos de búsqueda visibles solo para personas con acceso a este origen de datos. Los vales indexados aparecen en los resultados de la búsqueda y son visibles para los usuarios que tienen acceso a ellos a través assigned_to de campos y opened_by .
Al elegir Solo personas con acceso a este origen de datos, debe elegir aún más si la instancia de ServiceNow tiene Microsoft Entra ID usuarios aprovisionados o usuarios que no son de Azure AD.
Para identificar qué opción es adecuada para su organización:
- Elija la opción Microsoft Entra ID si el identificador de Email de los usuarios de ServiceNow es el mismo que el userprincipalName (UPN) de los usuarios de Microsoft Entra ID.
- Elija la opción No azure AD si el identificador de correo electrónico de los usuarios de ServiceNow es diferente del UserPrincipalName (UPN) de los usuarios de Microsoft Entra ID.
Nota:
- Si elige Microsoft Entra ID como tipo de origen de identidad, el conector asigna los identificadores de Email de los usuarios obtenidos de ServiceNow directamente a la propiedad UPN de Microsoft Entra ID.
- Si eligió "No azure AD" para el tipo de identidad, consulte Asignación de identidades que no son de Azure AD para obtener instrucciones sobre cómo asignar las identidades. Puede usar esta opción para proporcionar la expresión regular de asignación de Email id. a UPN.
- Novedades a usuarios o grupos que rigen los permisos de acceso solo se sincronizan en rastreos completos. Los rastreos incrementales no admiten actualmente el procesamiento de actualizaciones de permisos.
Paso 6: Asignar etiquetas de propiedad
Siga las instrucciones generales de configuración.
Paso 7: Administrar esquema
Siga las instrucciones generales de configuración.
Paso 8: Elegir la configuración de actualización
Siga las instrucciones generales de configuración.
Nota:
En el caso de las identidades, solo se aplicará el rastreo completo programado.
Paso 9: Revisión de la conexión
Siga las instrucciones generales de configuración.
Después de publicar la conexión, debe personalizar la página de resultados de búsqueda. Para obtener información sobre cómo personalizar los resultados de la búsqueda, vea Personalizar la página de resultados de búsqueda.
Limitaciones
El conector de Microsoft Graph de Vales de ServiceNow tiene las siguientes limitaciones en su versión más reciente:
- La característica Todos en el paso Administrar permisos de búsqueda no procesa ningún permiso. No seleccione esta opción a menos que desee probar la conexión entre los miembros del equipo seleccionados en un entorno aislado.
Solución de problemas
Después de publicar la conexión, personalizar la página de resultados, puede revisar el estado en la pestaña Orígenes de datos del Centro de administración. Para obtener información sobre cómo realizar actualizaciones y eliminaciones, consulte Administración del conector. Puede encontrar los pasos de solución de problemas para los problemas más comunes que se ven a continuación.
1. No se puede iniciar sesión debido a la instancia de ServiceNow habilitada para el inicio de sesión único
Si su organización ha habilitado el inicio de sesión único (SSO) en ServiceNow, es posible que tenga problemas para iniciar sesión con la cuenta de servicio. Puede abrir el inicio de sesión basado en nombre de usuario y contraseña agregando login.do a la dirección URL de la instancia de ServiceNow. Ejemplo. https://<your-organization-domain>.service-now.com./login.do
2. Respuesta no autorizada o prohibida a la solicitud de API
2.1. Comprobación de permisos de acceso a tablas
Si ve una respuesta prohibida o no autorizada en el estado de conexión, compruebe si la cuenta de servicio tiene acceso necesario a las tablas mencionadas en el paso 3: configuración de conexión. Compruebe si todas las columnas de las tablas tienen acceso de lectura.
2.2. Cambio en la contraseña de la cuenta
El conector de Microsoft Graph usa el token de acceso capturado en nombre de la cuenta de servicio para el rastreo. El token de acceso se actualiza cada 12 horas. Asegúrese de que la contraseña de la cuenta de servicio no cambia después de publicar la conexión. Es posible que tenga que volver a autenticar la conexión si hay un cambio en la contraseña.
2.3. Comprobación de si la instancia de ServiceNow detrás del firewall
Es posible que Microsoft Graph Connector no pueda acceder a la instancia de ServiceNow si está detrás de un firewall de red. Tendrá que permitir explícitamente el acceso al servicio del conector. Puede encontrar el intervalo de direcciones IP públicas del servicio del conector en la tabla siguiente. En función de la región del inquilino, agréguela a la lista de permitidos de la red de instancia de ServiceNow.
| Entorno | Región | Range |
|---|---|---|
| PROD | Norteamérica | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asia Pacífico | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Permisos de acceso que no funcionan según lo esperado
Si observa discrepancias en los permisos de acceso aplicados a los resultados de la búsqueda, compruebe si el usuario de búsqueda forma parte de assigned_to los campos y opened_by .
3. Problemas con solo personas con acceso a este permiso de origen de datos
3.1 Errores de asignación de usuarios
Las cuentas de usuario de ServiceNow que no tienen un usuario de Microsoft 365 en Microsoft Entra ID no se asignarán. Se espera que las cuentas de servicio que no son de usuario no realicen la asignación de usuarios. Se puede acceder al número de errores de asignación de usuarios en el área de estadísticas de identidad en la ventana de detalles de la conexión. El registro de asignaciones de usuarios con errores se puede descargar desde la pestaña Error.