Соединитель Microsoft Graph serviceNow Knowledge
С помощью соединителя Microsoft Graph для ServiceNow ваша организация может индексировать статьи базы знаний, которые видны всем пользователям или ограничены разрешениями условий пользователя в вашей организации. После настройки соединителя и индекса содержимого из ServiceNow пользователи могут искать эти статьи в Microsoft Copilot и в любом клиенте поиска Майкрософт.
Вы также можете ознакомиться с этим видео , чтобы узнать больше о возможностях Graph Connector по управлению разрешениями на поиск.
Эта статья предназначена для администраторов Microsoft 365 или тех, кто настраивает, запускает и отслеживает соединитель ServiceNow Knowledge Graph. Он дополняет общие инструкции, приведенные в статье Настройка соединителей Microsoft Graph в Центре администрирования Microsoft 365 . Если вы еще не сделали этого, ознакомьтесь со всей статьей Настройка соединителя Graph, чтобы узнать об общем процессе установки.
Каждый шаг в процессе установки указан ниже вместе с примечанием, указывающим, что следует следовать общим инструкциям по настройке или другим инструкциям, применимым только к соединителю ServiceNow, включая сведения об устранении неполадок и ограничениях.
Обязательные и необязательные параметры
Чтобы быстро приступить к работе с соединителями Microsoft Graph, шаги в процессе установки разделены на две группы:
Обязательные параметры . Необходимо указать некоторые входные данные для этих действий, чтобы установить подключение. Входные данные (имя подключения, параметры источника данных и т. д.) зависят от контекста и варианта использования вашей организации.
Дополнительные параметры (необязательно) — как следует из названия, дополнительные параметры являются необязательными шагами. Для вашего удобства эти параметры в процессе установки предварительно настраиваются значениями по умолчанию на основе наиболее распространенных вариантов, выбранных администраторами. Вы можете принять значения по умолчанию или изменить их в соответствии с потребностями вашей организации.
Начало работы
Добавление соединителя знаний ServiceNow
(Дополнительные сведения см. в общих инструкциях по настройке)
Обязательные параметры
1. Идентификатор & имени:
Идентификатор подключения. При необходимости измените идентификатор подключения (с использованием уникальной строки по умолчанию). Вы не сможете изменить его после нажатия кнопки "Сохранить и продолжить".
Имя. Введите имя подключения (предварительно заполненное именем по умолчанию). Вы всегда можете изменить его позже (даже после публикации подключения).
2. Параметры источника данных:
URL-адрес экземпляра ServiceNow. Для подключения к данным ServiceNow требуется URL-адрес экземпляра ServiceNow организации. URL-адрес экземпляра ServiceNow вашей организации обычно выглядит как https://< your-organization-domain.service-now.com>.
Наряду с этим URL-адресом вам потребуется учетная запись службы для настройки подключения к ServiceNow и для того, чтобы поиск (Майкрософт) периодически обновлял статьи знаний в соответствии с расписанием обновления. Для успешного обхода различных сущностей учетной записи службы требуется доступ на чтение следующих записей таблицы ServiceNow .
| Функция | Необходимые таблицы для доступа на чтение | Описание |
|---|---|---|
| Статьи об индексировании знаний, доступные всем | kb_knowledge | Статьи об обходе знаний |
| Индексирование и поддержка разрешений условий пользователя | kb_uc_can_read_mtom | Кто может читать эту базу знаний |
| kb_uc_can_contribute_mtom | Кто может внести свой вклад в эту базу знаний | |
| kb_uc_cannot_read_mtom | Кто не может прочитать эту базу знаний | |
| kb_uc_cannot_contribute_mtom | Кто не может участвовать в этой базе знаний | |
| sys_user | Чтение пользовательской таблицы | |
| sys_user_has_role | Чтение сведений о роли пользователей | |
| sys_user_grmember | Чтение членства пользователей в группах | |
| user_criteria | Чтение разрешений условий пользователя | |
| kb_knowledge_base | Чтение сведений о базе знаний | |
| sys_user_group | Чтение сегментов группы пользователей | |
| sys_user_role | Чтение ролей пользователей | |
| cmn_location | Чтение сведений о расположении | |
| cmn_department | Чтение сведений о отделе | |
| core_company | Чтение атрибутов компании | |
| Свойства расширенной таблицы индекса (необязательно) | sys_db_object | Чтение сведений о расширенной таблице |
| sys_dictionary | Чтение расширенных свойств таблицы |
Вы можете создать и назначить роль для учетной записи службы, используемой для подключения с помощью поиска (Майкрософт). Узнайте, как назначить роль учетным записям ServiceNow. Для созданной роли можно назначить доступ на чтение к таблицам. Сведения о настройке доступа на чтение для записей таблиц см. в разделе Защита записей таблиц.
Если вы хотите индексировать свойства из расширенных таблицkb_knowledge, предоставьте доступ на чтение для sys_dictionary и sys_db_object. Это необязательная функция. Вы можете индексировать свойства kb_knowledge таблицы без доступа к двум дополнительным таблицам.
Примечание.
Соединитель Microsoft Graph для ServiceNow может индексировать статьи знаний и разрешения условий пользователя без дополнительных скриптов. Дополнительные сведения о том, как соединитель обрабатывает статьи знаний и разрешения условий пользователя, см. в разделе Чтение и запрет доступа к статьям базы знаний в Соединителе Microsoft Graph для ServiceNow.
Сведения о проверке подлинности. Для проверки подлинности и синхронизации содержимого из ServiceNow выберите один из трех поддерживаемых методов:
Microsoft Entra ID OpenID Connect
1. Обычная проверка подлинности
Введите имя пользователя и пароль учетной записи ServiceNow с ролью knowledge для проверки подлинности в экземпляре.
2. OAuth ServiceNow
Чтобы использовать OAuth ServiceNow для проверки подлинности, выполните следующие действия.
Администратору ServiceNow потребуется подготовить конечную точку в экземпляре ServiceNow, чтобы приложение Поиска (Майкрософт) получите к ней доступ. Дополнительные сведения см. в статье Создание конечной точки для доступа клиентов к экземпляру в документации ServiceNow.
В следующей таблице приведены рекомендации по заполнению формы создания конечной точки.
Поле Описание Рекомендуемое значение Имя Уникальное значение, определяющее приложение, для которых требуется доступ OAuth. Поиск (Майкрософт) Идентификатор клиента Автоматически созданный уникальный идентификатор приложения только для чтения. Экземпляр использует идентификатор клиента при запросе маркера доступа. Н/Д Секрет клиента С помощью этой общей строки секрета экземпляр ServiceNow и Поиск (Майкрософт) разрешают обмен данными друг с другом. Следуйте рекомендациям по обеспечению безопасности, рассматривая секрет как пароль. URL-адрес перенаправления Обязательный URL-адрес обратного вызова, на который перенаправляет сервер авторизации. Для M365 Корпоративный: https:// gcs.office.com/v1.0/admin/oauth/callback, For M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback URL-адрес логотипа URL-адрес, содержащий изображение логотипа приложения. Н/Д Активное Установите флажок, чтобы сделать реестр приложений активным. Установите значение "Активный" Срок действия маркера обновления Количество секунд, в течение которых маркер обновления действителен. По умолчанию срок действия маркеров обновления истекает через 100 дней (8 640 000 секунд). 31 536 000 (один год) Срок жизни маркера доступа Количество секунд, в течение которых маркер доступа действителен. 43 200 (12 часов) Введите идентификатор клиента и секрет клиента, чтобы подключиться к экземпляру. После подключения используйте учетные данные учетной записи ServiceNow для проверки подлинности разрешения на обход контента. Учетная запись должна по крайней мере иметь роль знаний . Ознакомьтесь с таблицей в начале шага 2. Параметры источника данных , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям условий индексирования пользователей.
3. Microsoft Entra ID OpenID Connect
Чтобы использовать Microsoft Entra ID OpenID Connect для проверки подлинности, выполните следующие действия.
Регистрация нового приложения в Microsoft Entra ID
Сведения о регистрации нового приложения в Microsoft Entra ID см. в разделе Регистрация приложения. Выберите каталог организации с одним клиентом. URI перенаправления не требуется. После регистрации запишите идентификатор приложения (клиента) и идентификатор каталога (клиента).
Создание секрета клиента
Дополнительные сведения о создании секрета клиента см. в статье Создание секрета клиента. Запишите секрет клиента.
Получение идентификатора объекта субъекта-службы
Выполните действия, чтобы получить идентификатор объекта субъекта-службы.
Запустите PowerShell.
Установите Azure PowerShell с помощью следующей команды.
Install-Module -Name Az -AllowClobber -Scope CurrentUserПодключение к Azure.
Connect-AzAccountПолучение идентификатора объекта субъекта-службы.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Замените "Идентификатор приложения" идентификатором приложения (клиента) (без кавычек) приложения, зарегистрированного на шаге 1. Обратите внимание на значение объекта ID из выходных данных PowerShell. Это идентификатор субъекта-службы.
Теперь у вас есть вся информация, необходимая на портале Azure. Краткая сводка сведений приведена в таблице ниже.
Свойство Описание Идентификатор каталога (идентификатор клиента) Уникальный идентификатор клиента Microsoft Entra из шага 3.a. Идентификатор приложения (идентификатор клиента) Уникальный идентификатор приложения, зарегистрированного на шаге 3.a. Секрет клиента Секретный ключ приложения (из шага 3.b). Относитесь к нему как к паролю. Идентификатор субъекта-службы Удостоверение для приложения, работающего в качестве службы. (из шага 3.c) Регистрация приложения ServiceNow
Экземпляр ServiceNow требует следующей конфигурации:
Зарегистрируйте новую сущность OAuth OIDC. Дополнительные сведения см. в статье Создание поставщика OAuth OIDC.
В следующей таблице приведены рекомендации по заполнению формы регистрации поставщика OIDC.
Поле Описание Рекомендуемое значение Имя Уникальное имя, идентифицирующее сущность OAuth OIDC. Microsoft Entra ID Идентификатор клиента Идентификатор клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Экземпляр использует идентификатор клиента при запросе маркера доступа. Идентификатор приложения (клиента) из шага 3.a Секрет клиента Секрет клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Секрет клиента из шага 3.b Все остальные значения могут быть по умолчанию.
В форме регистрации поставщика OIDC необходимо добавить новую конфигурацию поставщика OIDC. Щелкните значок поиска в поле Конфигурация поставщика OAuth OIDC , чтобы открыть записи конфигураций OIDC. Выберите Создать.
В следующей таблице приведены рекомендации по заполнению формы конфигурации поставщика OIDC.
Поле Рекомендуемое значение Поставщик OIDC Microsoft Entra ID URL-адрес метаданных OIDC URL-адрес должен иметь форму https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration.
Замените "tenantID" идентификатором каталога (клиента) из шага 3.a.Срок жизни кэша конфигурации OIDC 120 Приложение Глобальные Утверждение пользователя суб Поле пользователя Идентификатор пользователя Включение проверки утверждений JTI Отключено Выберите Отправить и обновить форму сущности OAuth OIDC.
Создание учетной записи ServiceNow
См. инструкции по созданию учетной записи ServiceNow и созданию пользователя в ServiceNow.
В следующей таблице приведены рекомендации по заполнению регистрации учетной записи пользователя ServiceNow.
Поле Рекомендуемое значение Идентификатор пользователя Идентификатор субъекта-службы из шага 3.c Только доступ к веб-службе Checked Все остальные значения можно оставить по умолчанию.
Включение роли Knowledge для учетной записи ServiceNow
Получите доступ к созданной учетной записи ServiceNow с идентификатором субъекта ServiceNow в качестве идентификатора пользователя и назначьте роль знаний. Инструкции по назначению роли учетной записи ServiceNow можно найти здесь. Назначьте роль пользователю. Ознакомьтесь с таблицей в начале шага 2. Параметры источника данных , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям условий индексирования пользователей.
Используйте идентификатор приложения в качестве идентификатора клиента (из шага 3.1) и секрет клиента (из шага 3.2) в мастере настройки Центра администрирования для проверки подлинности в экземпляре ServiceNow с помощью Microsoft Entra ID OpenID Connect.
3. Разрешения доступа
Соединитель ServiceNow поддерживает разрешения доступа, видимые всем или только пользователям с доступом к этому источнику данных. Индексированные данные отображаются в результатах поиска и видны всем пользователям в организации или пользователям, имеющим к ним доступ с помощью разрешения условий пользователя соответственно. Если статья знаний не включена с пользовательскими критериями, она отображается в результатах поиска всех пользователей в организации.
Важно!
В ServiceNow при оценке разрешений на чтение для пользователя рассматриваются разрешения на уровне статьи и разрешения на уровне базы знаний. Соединитель Microsoft Graph для ServiceNow обрабатывает разрешения по-разному:
- Если статья содержит пользовательские критерии "Может читать", они помечаются в статье во время приема, а критерии пользователя Базы знаний "Может прочитать" или "Может внести вклад" игнорируются.
- Если статья содержит условия пользователя "Не удается прочитать", а соответствующая база знаний также содержит условия пользователя "Не удается прочитать", то оба условия пользователя маркируются в статье.
Примечание. Если пользователь является частью условий пользователя "Может читать" на уровне статьи, но не входит в критерии пользователя "Can Read" / "Can Contribute" на уровне базы знаний, пользователь не будет иметь доступа к статье в ServiceNow, но будет иметь доступ к этой статье в Microsoft Copilot, Microsoft Search и других поверхностях M365. Обходной путь заключается в удалении пользователя из условий пользователя "Может читать" на уровне статьи.
Если выбран параметр Только пользователи с доступом к этому источнику данных, необходимо дополнительно выбрать, есть ли у экземпляра ServiceNow подготовленные пользователи с идентификатором Microsoft Entra или пользователи, отличные от AAD.
Чтобы определить, какой вариант подходит для вашей организации:
- Выберите параметр Идентификатор Microsoft Entra, если идентификатор электронной почты пользователей ServiceNow совпадает с идентификатором UserPrincipalName (UPN) пользователей в Microsoft Entra ID.
- Выберите параметр Non-AAD , если идентификатор электронной почты пользователей ServiceNow отличается от userPrincipalName (UPN) пользователей в Идентификаторе Microsoft Entra.
Примечание.
- Если в качестве типа источника удостоверений выбран идентификатор Microsoft Entra ID, соединитель сопоставляет идентификаторы электронной почты пользователей, полученные из ServiceNow, со свойством имени участника-пользователя из Идентификатора Microsoft Entra.
- Если для типа удостоверения выбран параметр "Не AAD", инструкции по сопоставлению удостоверений см. в статье Сопоставление удостоверений, отличных от Azure AD . Этот параметр можно использовать для предоставления регулярного выражения сопоставления от идентификатора электронной почты к имени участника-пользователя.
- Обновления для пользователей или групп, управляющих разрешениями доступа, синхронизируются только при полном обходе контента. Добавочные обходы в настоящее время не поддерживают обработку обновлений разрешений.
Дополнительные параметры (необязательно)
1. Выберите свойства
На этом шаге можно добавить или удалить доступные свойства из источника данных ServiceNow. Microsoft 365 по умолчанию выбирает несколько свойств.
С помощью строки запроса ServiceNow можно указать условия для синхронизации статей. Это похоже на предложение Where в инструкции SQL Select . Например, можно проиндексировать только опубликованные и активные статьи. Сведения о создании собственной строки запроса см. в статье Создание закодированной строки запроса с помощью фильтра.
Используйте кнопку предварительного просмотра результатов, чтобы проверить образцы значений выбранных свойств и фильтра запросов.
2. Сопоставление удостоверений
На этом шаге можно сопоставить удостоверения для типов идентификаторов Microsoft Entra ID и non Microsoft Entra ID.
- Если в качестве типа источника удостоверений выбран идентификатор Microsoft Entra ID, соединитель сопоставляет идентификаторы электронной почты пользователей, полученные из ServiceNow, со свойством имени участника-пользователя из Идентификатора Microsoft Entra.
- Если для типа удостоверения выбран параметр "Не AAD", инструкции по сопоставлению удостоверений см. в статье Сопоставление удостоверений, отличных от Azure AD .
3. Назначение меток свойств
Следуйте общим инструкциям по настройке.
4. Управление схемой
Следуйте общим инструкциям по настройке.
5. Параметры обновления
Следуйте общим инструкциям по настройке.
Примечание.
Удостоверения обновляются только при полном обходе контента.
Проверка & публикации
Следуйте общим инструкциям по настройке.
После публикации подключения необходимо настроить страницу результатов поиска. Дополнительные сведения о настройке результатов поиска см. в разделе Настройка страницы результатов поиска.
Чтение и запрет доступа к статьям базы знаний в соединителе Microsoft Graph для ServiceNow
Ниже приведено сценарное представление о том, как соединитель обрабатывает разрешения доступа на основе условий пользователя в ServiceNow Knowledge:
Примечание.
Термины, используемые в таблице ниже:
- Нет условий. Для статьи или базы знаний не определены условия пользователя. (Отличается от пустых условий, где определены условия пользователя, но в рамках условий все поля пусты)
- Условия пользователя по умолчанию: условия пользователя, определенные с помощью полей ServiceNow, таких как Пользователи, Группы, Роли, Расположение, Отдел и т. д.
- Пустые условия: пользовательская запись, в которой все поля имеют пустые значения.
Как определяется доступ на чтение
| База знаний | Статья знаний | Access | |
|---|---|---|---|
| Может читать | Может внести свой вклад | Может читать | |
| Любые условия | Любые условия | Условия пользователя по умолчанию | Соблюдались условия пользователя по умолчанию |
| Любые условия | Любые условия | По умолчанию + расширенные условия | По умолчанию соблюдались условия пользователя. Расширенные условия игнорируются. |
| Любые условия | Любые условия | Пустые условия + Любые условия | Доступ предоставляется каждому пользователю ServiceNow |
| Условия пользователя по умолчанию | Условия пользователя по умолчанию | Нет условий | По умолчанию соблюдались условия пользователя. [Примечание. Если условия пользователя "Не удается внести вклад", отсутствуют, следуются условия по умолчанию для "Может прочитать" и "Может внести вклад". Но если существует условие пользователя "Не удается внести вклад", то критерии пользователя "Can Contribute" не помечаются.] |
| По умолчанию + расширенные условия | По умолчанию + расширенные условия | Нет условий | По умолчанию соблюдались условия пользователя. Расширенные условия игнорируются. |
| Пустые условия | Любые условия | Нет условий | Доступ предоставляется каждому пользователю ServiceNow |
Как определяется запрет доступа
| База знаний | Статья знаний | Access |
|---|---|---|
| Не удается прочитать | Не удается прочитать | |
| Условия пользователя по умолчанию | Условия пользователя по умолчанию | Соблюдаются оба критерия на уровне базы и статьи. |
| Расширенные условия | Любые условия | Запретить доступ всем пользователям. |
| Любые условия | Расширенные условия | Запретить доступ всем пользователям. |
| Пустые условия + условия пользователя по умолчанию | Любые условия | Запретить доступ всем пользователям. |
| Любые условия | Пустые условия | Запретить доступ всем пользователям. |
Ограничения
Важно!
Соединитель ServiceNow Knowledge Microsoft Graph имеет следующие ограничения в последнем выпуске:
- Условия пользователя с расширенными скриптами не поддерживаются в текущей версии. Дополнительные сведения о том, как соединитель обрабатывает статьи знаний с помощью расширенных скриптов, см. в разделе Чтение и запрет доступа к статьям knowledge в Соединителе Microsoft Graph для ServiceNow.
Устранение неполадок
После публикации подключения можно просмотреть состояние на вкладке Источники данных в Центре администрирования. Сведения об обновлении и удалении см. в статье Управление соединителем. Инструкции по устранению распространенных проблем можно найти здесь.
Если у вас есть другие проблемы или вы хотите оставить отзыв, напишите нам aka.ms/TalkToGraphConnectors.