Соединитель Microsoft Graph каталога ServiceNow
С помощью соединителя Microsoft Graph для ServiceNow ваша организация может выводить список элементов каталога служб , которые видны всем пользователям или ограничены разрешениями условий пользователя в вашей организации. После настройки соединителя и индекса содержимого из ServiceNow пользователи могут искать эти элементы каталога из любого клиента поиска Майкрософт.
Эта статья предназначена для администраторов Microsoft 365 или тех, кто настраивает, запускает и отслеживает соединитель Microsoft Graph каталога ServiceNow. Он дополняет общие инструкции, приведенные в статье Настройка соединителей Microsoft Graph в Центр администрирования Microsoft 365. Если вы еще не сделали этого, ознакомьтесь со всей статьей Настройка соединителя Microsoft Graph, чтобы понять, как это сделать.
Каждый шаг в процессе установки указан ниже вместе с примечанием, указывающим, что следует следовать общим инструкциям по настройке или другим инструкциям, которые применяются только к соединителю ServiceNow, включая сведения об устранении неполадок и ограничениях.
Шаг 1. Добавление соединителя в Центр администрирования Microsoft 365
Добавление соединителя каталога ServiceNow
Следуйте общим инструкциям по настройке.
Шаг 2. Присвойте соединению имя
Следуйте общим инструкциям по настройке.
Шаг 3. Параметры подключения
Чтобы подключиться к данным ServiceNow, вам потребуется URL-адрес экземпляра ServiceNow в организации. URL-адрес экземпляра ServiceNow вашей организации обычно выглядит следующим образом: "https:// <your-organization-domain.service-now>.com".
Наряду с этим URL-адресом вам потребуется учетная запись службы для настройки подключения к ServiceNow и разрешения microsoft Search периодически обновлять элементы каталога в соответствии с расписанием обновления. Для успешного обхода различных сущностей учетной записи службы потребуется доступ на чтение следующих записей таблицы ServiceNow .
| Функция | Необходимые таблицы для доступа на чтение | Описание |
|---|---|---|
| Элементы каталога индекса, доступные для всех | sc_cat_item | Для обхода элементов каталога |
| Индексирование и поддержка разрешений условий пользователя | sc_cat_item_user_criteria_mtom | Кто может получить доступ к этому элементу каталога |
| sc_cat_item_user_criteria_no_mtom | Кому не удается получить доступ к этому элементу каталога | |
| sys_user | Чтение пользовательской таблицы | |
| sys_user_has_role | Чтение сведений о роли пользователей | |
| sys_user_grmember | Чтение членства пользователей в группах | |
| user_criteria | Чтение разрешений условий пользователя | |
| sys_user_group | Чтение сегментов группы пользователей | |
| sys_user_role | Чтение ролей пользователей | |
| cmn_location | Чтение сведений о расположении | |
| cmn_department | Чтение сведений о отделе | |
| core_company | Чтение атрибутов компании |
Вы можете создать и назначить роль для учетной записи службы, используемой для подключения с помощью поиска (Майкрософт). Узнайте, как назначить роль учетным записям ServiceNow. Для созданной роли можно назначить доступ на чтение к таблицам. Сведения о настройке доступа на чтение для записей таблиц см. в разделе Защита записей таблиц.
Примечание.
Соединитель каталога ServiceNow может индексировать элементы каталога и разрешения условий пользователя без дополнительных скриптов. Если критерий пользователя содержит расширенный скрипт, все связанные элементы каталога будут скрыты в результатах поиска.
Для проверки подлинности и синхронизации содержимого из ServiceNow выберите один из трех поддерживаемых методов:
- Обычная проверка подлинности
- ServiceNow OAuth (рекомендуется)
- Microsoft Entra ИДЕНТИФИКАТОР OpenID Connect
Шаг 3.1. Обычная проверка подлинности
Введите имя пользователя и пароль учетной записи ServiceNow с ролью каталога для проверки подлинности в экземпляре.
Шаг 3.2. ServiceNow OAuth
Чтобы использовать ServiceNow OAuth для проверки подлинности, администратор ServiceNow должен подготовить конечную точку в экземпляре ServiceNow, чтобы приложение Поиска (Майкрософт) пользовалось доступом к ней. Дополнительные сведения см. в статье Создание конечной точки для доступа клиентов к экземпляру в документации ServiceNow.
В следующей таблице приведены рекомендации по заполнению формы создания конечной точки.
| Поле | Описание | Рекомендуемое значение |
|---|---|---|
| Имя | Уникальное значение, определяющее приложение, для которых требуется доступ OAuth. | Поиск (Майкрософт) |
| Идентификатор клиента | Автоматически созданный уникальный идентификатор приложения только для чтения. Экземпляр использует идентификатор клиента при запросе маркера доступа. | Недоступно |
| Секрет клиента | С помощью этой общей строки секрета экземпляр ServiceNow и Поиск (Майкрософт) разрешают обмен данными друг с другом. | Следуйте рекомендациям по обеспечению безопасности, рассматривая секрет как пароль. |
| URL-адрес перенаправления | Обязательный URL-адрес обратного вызова, на который перенаправляет сервер авторизации. | Для M365 Корпоративный: https:// gcs.office.com/v1.0/admin/oauth/callback, For M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback |
| URL-адрес логотипа | URL-адрес, содержащий изображение логотипа приложения. | Недоступно |
| Активация | Выберите поле проверка, чтобы сделать реестр приложений активным. | Установите значение "Активный" |
| Срок действия маркера обновления | Количество секунд, в течение которых маркер обновления действителен. По умолчанию срок действия маркеров обновления истекает через 100 дней (8 640 000 секунд). | 31 536 000 (один год) |
| Срок жизни маркера доступа | Количество секунд, в течение которых маркер доступа действителен. | 43 200 (12 часов) |
Введите идентификатор клиента и секрет клиента, чтобы подключиться к экземпляру. После подключения используйте учетные данные учетной записи ServiceNow для проверки подлинности разрешения на обход контента. Учетная запись должна иметь по крайней мере роль каталога . См. таблицу в начале шага 3: параметры подключения , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям на индексирование условий пользователя.
Шаг 3.3. Microsoft Entra идентификатор OpenID Connect
Чтобы использовать идентификатор Microsoft Entra OpenID Connect для проверки подлинности, выполните следующие действия.
Шаг 3.3.1. Регистрация нового приложения в Microsoft Entra id
Сведения о регистрации нового приложения в Microsoft Entra идентификаторе см. в разделе Регистрация приложения. Выберите каталог организации с одним клиентом. URI перенаправления не требуется. После регистрации запишите идентификатор приложения (клиента) и идентификатор каталога (клиента).
Шаг 3.3.2. Создание секрета клиента
Дополнительные сведения о создании секрета клиента см. в статье Создание секрета клиента. Запишите секрет клиента.
Шаг 3.3.3. Получение идентификатора объекта субъекта-службы
Выполните действия, чтобы получить идентификатор объекта субъекта-службы.
Запустите PowerShell.
Установите Azure PowerShell с помощью следующей команды.
Install-Module -Name Az -AllowClobber -Scope CurrentUserПодключение к Azure.
Connect-AzAccountПолучение идентификатора объекта субъекта-службы.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Замените application-ID идентификатором приложения (клиента) (без кавычек) приложения, зарегистрированного на шаге 3.a. Обратите внимание на значение объекта ID из выходных данных PowerShell. Это идентификатор субъекта-службы.
Теперь у вас есть вся информация, необходимая от портал Azure. Краткая сводка сведений приведена в таблице ниже.
| Свойство | Описание |
|---|---|
| Идентификатор каталога (идентификатор клиента) | Уникальный идентификатор клиента Microsoft Entra из шага 3.a. |
| Идентификатор приложения (идентификатор клиента) | Уникальный идентификатор приложения, зарегистрированного на шаге 3.a. |
| Секрет клиента | Секретный ключ приложения (из шага 3.b). Относитесь к нему как к паролю. |
| Идентификатор субъекта-службы | Удостоверение для приложения, работающего в качестве службы. (из шага 3.c) |
Шаг 3.3.4. Регистрация приложения ServiceNow
Экземпляр ServiceNow требует следующей конфигурации:
Зарегистрируйте новую сущность OAuth OIDC. Дополнительные сведения см. в статье Создание поставщика OAuth OIDC.
В следующей таблице приведены рекомендации по заполнению формы регистрации поставщика OIDC.
Поле Описание Рекомендуемое значение Имя Уникальное имя, идентифицирующее сущность OAuth OIDC. Microsoft Entra ID Идентификатор клиента Идентификатор клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Экземпляр использует идентификатор клиента при запросе маркера доступа. Идентификатор приложения (клиента) из шага 3.a Секрет клиента Секрет клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Секрет клиента из шага 3.b Все остальные значения могут быть по умолчанию.
В форме регистрации поставщика OIDC необходимо добавить новую конфигурацию поставщика OIDC. Щелкните значок поиска в поле Конфигурация поставщика OAuth OIDC , чтобы открыть записи конфигураций OIDC. Выберите Создать.
В следующей таблице приведены рекомендации по заполнению формы конфигурации поставщика OIDC.
Поле Рекомендуемое значение Поставщик OIDC Microsoft Entra ID URL-адрес метаданных OIDC URL-адрес должен иметь форму https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration.
Замените "tenantID" идентификатором каталога (клиента) из шага 3.a.Срок жизни кэша конфигурации OIDC 120 Приложение Глобальные Утверждение пользователя Sub Поле пользователя Идентификатор пользователя Включение проверки утверждений JTI Отключено Выберите Отправить и обновить форму сущности OAuth OIDC.
Шаг 3.3.5. Создание учетной записи ServiceNow
См. инструкции по созданию учетной записи ServiceNow и созданию пользователя в ServiceNow.
В следующей таблице приведены рекомендации по заполнению регистрации учетной записи пользователя ServiceNow.
| Поле | Рекомендуемое значение |
|---|---|
| Идентификатор пользователя | Идентификатор субъекта-службы из шага 3.c |
| Только доступ к веб-службе | Checked |
Все остальные значения можно оставить по умолчанию.
Шаг 3.3.6. Включение роли каталога для учетной записи ServiceNow
Получите доступ к созданной учетной записи ServiceNow с идентификатором субъекта ServiceNow в качестве идентификатора пользователя и назначьте роль каталога. Инструкции по назначению роли учетной записи ServiceNow можно найти здесь. Назначьте роль пользователю. См. таблицу в начале шага 3: параметры подключения , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям на индексирование условий пользователя.
Используйте идентификатор приложения в качестве идентификатора клиента (из шага 3.a) и секрет клиента (из шага 3.b) в помощник конфигурации Центра администрирования для проверки подлинности в экземпляре ServiceNow с помощью Microsoft Entra идентификатора OpenID Connect.
Шаг 4. Выбор свойств и фильтрация данных
На этом шаге можно добавить или удалить доступные свойства из источника данных ServiceNow. Microsoft 365 уже выбрал несколько свойств по умолчанию.
С помощью строки запроса ServiceNow можно указать условия для синхронизации статей. Это похоже на предложение Where в инструкции SQL Select . Например, можно выбрать индексирование только активных элементов. Сведения о создании собственной строки запроса см. в статье Создание закодированной строки запроса с помощью фильтра.
Используйте кнопку предварительного просмотра результатов, чтобы проверить образцы значений выбранных свойств и фильтра запросов.
Шаг 5. Управление разрешениями поиска
Соединитель ServiceNow поддерживает разрешения на поиск , видимые всем или только пользователям с доступом к этому источнику данных. Индексированные данные отображаются в результатах поиска и видны всем пользователям в организации или пользователям, имеющим к ним доступ с помощью разрешения условий пользователя соответственно. Если элемент каталога не включен с пользовательскими критериями, он будет отображаться в результатах поиска всех пользователей в организации.
Соединитель поддерживает разрешения условий пользователя по умолчанию без дополнительных скриптов. Когда соединитель сталкивается с пользовательскими критериями с расширенным скриптом, все данные, использующие эти условия пользователя, не будут отображаться в результатах поиска.
Если выбран параметр Только пользователи с доступом к этому источнику данных, необходимо дополнительно указать, есть ли у экземпляра ServiceNow Microsoft Entra подготовленных пользователей с идентификаторами или пользователей, не являющихся Azure AD.
Чтобы определить, какой вариант подходит для вашей организации:
- Выберите параметр идентификатора Microsoft Entra, если идентификатор Email пользователей ServiceNow совпадает с идентификатором UserPrincipalName (UPN) пользователей в Microsoft Entra.
- Выберите параметр Non-Azure AD, если идентификатор электронной почты пользователей ServiceNow отличается от userPrincipalName (UPN) пользователей в Microsoft Entra идентификаторе.
Примечание.
- Если в качестве типа источника удостоверений выбран идентификатор Microsoft Entra, соединитель сопоставляет идентификаторы Email пользователей, полученные из ServiceNow, непосредственно со свойством имени участника-пользователя из Microsoft Entra id.
- Если для типа удостоверения выбран параметр "Не Azure AD", инструкции по сопоставлению удостоверений см. в разделе Сопоставление удостоверений, отличных от Azure AD. Этот параметр можно использовать для предоставления регулярного выражения сопоставления из идентификатора Email и имени участника-пользователя.
Шаг 6. Назначение меток свойств
Следуйте общим инструкциям по настройке.
Шаг 7. Управление схемой
Следуйте общим инструкциям по настройке.
Шаг 8. Выбор параметров обновления
Следуйте общим инструкциям по настройке.
Примечание.
Для удостоверений будет применяться только полное запланированное сканирование.
Шаг 9. Проверка подключения
Следуйте общим инструкциям по настройке.
После публикации подключения необходимо настроить страницу результатов поиска. Дополнительные сведения о настройке результатов поиска см. в разделе Настройка страницы результатов поиска.
Ограничения
Соединитель Microsoft Graph каталога ServiceNow имеет следующие ограничения в последнем выпуске:
- Только пользователи с доступом к этой функции источника данных на шаге Управление разрешениями поиска обрабатывают только разрешения условий пользователя . Другие типы разрешений доступа не будут применяться в результатах поиска.
- Разрешения условий пользователя, настроенные в категории каталога, не поддерживаются.
- Условия пользователя с расширенными скриптами не поддерживаются в текущей версии. Все элементы каталога с таким ограничением доступа будут индексироваться с запретом доступа для всех пользователей, то есть они не будут отображаться в результатах поиска для любого пользователя, пока мы не поддержит их.
Устранение неполадок
После публикации подключения, настройки страницы результатов можно просмотреть состояние на вкладке Источники данных в Центре администрирования. Сведения об обновлении и удалении см. в статье Управление соединителем. Ниже приведены инструкции по устранению распространенных проблем.
1. Не удалось выполнить вход из-за экземпляра ServiceNow с поддержкой единого входа.
Если в вашей организации включен единый вход (SSO) в ServiceNow, могут возникнуть проблемы со входом с помощью учетной записи службы. Вы можете открыть вход на основе имени пользователя и пароля, добавив login.do в URL-адрес экземпляра ServiceNow. Пример: https://<your-organization-domain>.service-now.com./login.do.
2. Несанкционированный или запрещенный ответ на запрос API
2.1. Проверка разрешений на доступ к таблицам
Если в состоянии подключения отображается запрещенный или несанкционированный ответ, проверка, если учетной записи службы требуется доступ к таблицам, упомянутым в шаге 3. Параметры подключения. Проверьте, имеют ли все столбцы в таблицах доступ на чтение.
2.2. Изменение пароля учетной записи
Соединитель использует маркер доступа, извлекаемый от имени учетной записи службы, для обхода контента. Маркер доступа обновляется каждые 12 часов. Убедитесь, что пароль учетной записи службы не изменен после публикации подключения. При изменении пароля может потребоваться повторная проверка подлинности подключения.
2.3. Проверьте, стоит ли экземпляр ServiceNow за брандмауэром
Соединитель Microsoft Graph может не получить доступ к экземпляру ServiceNow, если он находится за брандмауэром сети. Вам потребуется явным образом разрешить доступ к службе соединителя. Диапазон общедоступных IP-адресов службы соединителя можно найти в таблице ниже. В зависимости от региона клиента добавьте его в список разрешенных сетей экземпляров ServiceNow.
| Среда | Region | Диапазон |
|---|---|---|
| ПРОИЗ | Северная Америка | 52.250.92.252/30, 52.224.250.216/30 |
| ПРОИЗ | Европа | 20.54.41.208/30, 51.105.159.88/30 |
| ПРОИЗ | Азиатско-Тихоокеанский регион | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Разрешения доступа не работают должным образом
Если вы заметили расхождения в разрешениях доступа, применяемых к результатам поиска, проверьте конфигурацию условий пользователя при применении условий пользователя к элементам каталога.
3. Проблемы с доступом только к этому источнику данных
3.1 Не удается выбрать только людей с доступом к этому источнику данных
Возможно, вы не сможете выбрать параметр Только пользователи с доступом к этому источнику данных , если учетная запись службы не имеет разрешений на чтение необходимых таблиц на шаге 3: параметры подключения. Проверьте, может ли учетная запись службы считывать таблицы, упомянутые в разделе Индексирование, и поддерживать функцию разрешений условий пользователя .
3.2 Сбои сопоставления пользователей
Учетные записи пользователей ServiceNow, у которых нет пользователя Microsoft 365 с идентификатором Microsoft Entra, не будут сопоставлены. Ожидается, что для учетных записей служб, не являющихся пользователями, сопоставление пользователей завершится ошибкой. Количество сбоев сопоставления пользователей можно получить в области статистики удостоверений в окне сведений о подключении. Журнал неудачных сопоставлений пользователей можно скачать на вкладке Ошибка.
4. Проблемы с потоком доступа к условиям пользователя
Если вы видите различия в проверке условий пользователя между ServiceNow и ПоискОм Майкрософт, задайте для glide.knowman.block_access_with_no_user_criteria свойства system значение no.
Если у вас возникли другие проблемы или вы хотите оставить отзыв, напишите нам aka.ms/TalkToGraphConnectors