Соединитель Microsoft Graph serviceNow Knowledge

  • Статья

С помощью соединителя Microsoft Graph для ServiceNow ваша организация может индексировать статьи базы знаний, которые видны всем пользователям или ограничены разрешениями условий пользователя в вашей организации. После настройки соединителя и индекса содержимого из ServiceNow пользователи могут искать эти статьи в Microsoft Copilot и в любом клиенте поиска Майкрософт.

Вы также можете ознакомиться с этим видео , чтобы узнать больше о возможностях Graph Connector по управлению разрешениями на поиск.

Эта статья предназначена для администраторов Microsoft 365 или тех, кто настраивает, запускает и отслеживает соединитель ServiceNow Knowledge Graph. Он дополняет общие инструкции, приведенные в статье Настройка соединителей Microsoft Graph в Центр администрирования Microsoft 365. Если вы еще не сделали этого, ознакомьтесь со всей статьей Настройка соединителя Graph, чтобы узнать об общем процессе установки.

Каждый шаг в процессе установки указан ниже вместе с примечанием, указывающим, что следует следовать общим инструкциям по настройке или другим инструкциям, применимым только к соединителю ServiceNow, включая сведения об устранении неполадок и ограничениях.

Обязательные и необязательные параметры

Чтобы быстро приступить к работе с соединителями Microsoft Graph, шаги в процессе установки разделены на две группы:

Обязательные параметры . Необходимо указать некоторые входные данные для этих действий, чтобы установить подключение. Входные данные (имя подключения, параметры источника данных и т. д.) зависят от контекста и варианта использования вашей организации.

Дополнительные параметры (необязательно) — как следует из названия, дополнительные параметры являются необязательными шагами. Для вашего удобства эти параметры в процессе установки предварительно настраиваются значениями по умолчанию на основе наиболее распространенных вариантов, выбранных администраторами. Вы можете принять значения по умолчанию или изменить их в соответствии с потребностями вашей организации.

Начало работы

Добавление соединителя знаний ServiceNow

(Дополнительные сведения см. в общих инструкциях по настройке)

Обязательные параметры

1. Идентификатор & имени:

Идентификатор подключения. При необходимости измените идентификатор подключения (с использованием уникальной строки по умолчанию). Вы не сможете изменить его после нажатия кнопки "Сохранить и продолжить".

Имя. Введите имя подключения (предварительно заполненное именем по умолчанию). Вы всегда можете изменить его позже (даже после публикации подключения).

Снимок экрана: поля идентификатора & имени.

2. Параметры источника данных:

URL-адрес экземпляра ServiceNow. Для подключения к данным ServiceNow требуется URL-адрес экземпляра ServiceNow организации. URL-адрес экземпляра ServiceNow вашей организации обычно выглядит как https://< your-organization-domain.service-now.com>.

Снимок экрана: параметры источника данных.

Наряду с этим URL-адресом вам потребуется учетная запись службы для настройки подключения к ServiceNow и для того, чтобы поиск (Майкрософт) периодически обновлял статьи знаний в соответствии с расписанием обновления. Для успешного обхода различных сущностей учетной записи службы требуется доступ на чтение следующих записей таблицы ServiceNow .

Функция Необходимые таблицы для доступа на чтение Описание
Статьи об индексировании знаний, доступные всем kb_knowledge Статьи об обходе знаний
Индексирование и поддержка разрешений условий пользователя kb_uc_can_read_mtom Кто может читать эту база знаний
kb_uc_can_contribute_mtom Кто может внести свой вклад в эту база знаний
kb_uc_cannot_read_mtom Кто не может прочитать эту база знаний
kb_uc_cannot_contribute_mtom Кто не может внести свой вклад в эту база знаний
sys_user Чтение пользовательской таблицы
sys_user_has_role Чтение сведений о роли пользователей
sys_user_grmember Чтение членства пользователей в группах
user_criteria Чтение разрешений условий пользователя
kb_knowledge_base Чтение сведений база знаний
sys_user_group Чтение сегментов группы пользователей
sys_user_role Чтение ролей пользователей
cmn_location Чтение сведений о расположении
cmn_department Чтение сведений о отделе
core_company Чтение атрибутов компании
Свойства расширенной таблицы индекса (необязательно) sys_db_object Чтение сведений о расширенной таблице
sys_dictionary Чтение расширенных свойств таблицы

Вы можете создать и назначить роль для учетной записи службы, используемой для подключения с помощью поиска (Майкрософт). Узнайте, как назначить роль учетным записям ServiceNow. Для созданной роли можно назначить доступ на чтение к таблицам. Сведения о настройке доступа на чтение для записей таблиц см. в разделе Защита записей таблиц.

Если вы хотите индексировать свойства из расширенных таблицkb_knowledge, предоставьте доступ на чтение для sys_dictionary и sys_db_object. Это необязательная функция. Вы можете индексировать свойства kb_knowledge таблицы без доступа к двум дополнительным таблицам.

Примечание.

Соединитель ServiceNow Microsoft Graph может индексировать статьи знаний и разрешения условий пользователя без дополнительных скриптов. Если критерий пользователя содержит расширенный скрипт, все связанные статьи знаний будут скрыты в результатах поиска.

Сведения о проверке подлинности. Для проверки подлинности и синхронизации содержимого из ServiceNow выберите один из трех поддерживаемых методов:

  • Обычная проверка подлинности

  • ServiceNow OAuth (рекомендуется)

  • Microsoft Entra ID OpenID Connect

    1. Обычная проверка подлинности

    Введите имя пользователя и пароль учетной записи ServiceNow с ролью knowledge для проверки подлинности в экземпляре.

    2. OAuth ServiceNow

    Чтобы использовать OAuth ServiceNow для проверки подлинности, выполните следующие действия.

    Администратору ServiceNow потребуется подготовить конечную точку в экземпляре ServiceNow, чтобы приложение Поиска (Майкрософт) получите к ней доступ. Дополнительные сведения см. в статье Создание конечной точки для доступа клиентов к экземпляру в документации ServiceNow.

    В следующей таблице приведены рекомендации по заполнению формы создания конечной точки.

    Поле Описание Рекомендуемое значение
    имя; Уникальное значение, определяющее приложение, для которых требуется доступ OAuth. Поиск (Майкрософт)
    Идентификатор клиента Автоматически созданный уникальный идентификатор приложения только для чтения. Экземпляр использует идентификатор клиента при запросе маркера доступа. Н/Д
    Секрет клиента С помощью этой общей строки секрета экземпляр ServiceNow и Поиск (Майкрософт) разрешают обмен данными друг с другом. Следуйте рекомендациям по обеспечению безопасности, рассматривая секрет как пароль.
    URL-адрес перенаправления Обязательный URL-адрес обратного вызова, на который перенаправляет сервер авторизации. Для M365 Корпоративный: https:// gcs.office.com/v1.0/admin/oauth/callback,
    For M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback
    URL-адрес логотипа URL-адрес, содержащий изображение логотипа приложения. Н/Д
    Активация Выберите поле проверка, чтобы сделать реестр приложений активным. Установите значение "Активный"
    Срок действия маркера обновления Количество секунд, в течение которых маркер обновления действителен. По умолчанию срок действия маркеров обновления истекает через 100 дней (8 640 000 секунд). 31 536 000 (один год)
    Срок жизни маркера доступа Количество секунд, в течение которых маркер доступа действителен. 43 200 (12 часов)

    Введите идентификатор клиента и секрет клиента, чтобы подключиться к экземпляру. После подключения используйте учетные данные учетной записи ServiceNow для проверки подлинности разрешения на обход контента. Учетная запись должна по крайней мере иметь роль знаний . Ознакомьтесь с таблицей в начале шага 2. Параметры источника данных , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям условий индексирования пользователей.

    3. Microsoft Entra ID OpenID Connect

    Чтобы использовать Microsoft Entra ID OpenID Connect для проверки подлинности, выполните следующие действия.

    1. Регистрация нового приложения в Microsoft Entra ID

      Сведения о регистрации нового приложения в Microsoft Entra ID см. в разделе Регистрация приложения. Выберите каталог организации с одним клиентом. URI перенаправления не требуется. После регистрации запишите идентификатор приложения (клиента) и идентификатор каталога (клиента).

    2. Создание секрета клиента

      Дополнительные сведения о создании секрета клиента см. в статье Создание секрета клиента. Запишите секрет клиента.

    3. Получение идентификатора объекта субъекта-службы

      Выполните действия, чтобы получить идентификатор объекта субъекта-службы.

      1. Запустите PowerShell.

      2. Установите Azure PowerShell с помощью следующей команды.

        Install-Module -Name Az -AllowClobber -Scope CurrentUser

      3. Подключение к Azure.

        Connect-AzAccount

      4. Получение идентификатора объекта субъекта-службы.

        Get-AzADServicePrincipal -ApplicationId "Application-ID"

        Замените "Идентификатор приложения" идентификатором приложения (клиента) (без кавычек) приложения, зарегистрированного на шаге 1. Обратите внимание на значение объекта ID из выходных данных PowerShell. Это идентификатор субъекта-службы.

      Теперь у вас есть вся информация, необходимая от портал Azure. Краткая сводка сведений приведена в таблице ниже.

      Свойство Описание
      Идентификатор каталога (идентификатор клиента) Уникальный идентификатор клиента Microsoft Entra из шага 3.a.
      Идентификатор приложения (идентификатор клиента) Уникальный идентификатор приложения, зарегистрированного на шаге 3.a.
      Секрет клиента Секретный ключ приложения (из шага 3.b). Относитесь к нему как к паролю.
      Идентификатор субъекта-службы Удостоверение для приложения, работающего в качестве службы. (из шага 3.c)

    4. Регистрация приложения ServiceNow

      Экземпляр ServiceNow требует следующей конфигурации:

      1. Зарегистрируйте новую сущность OAuth OIDC. Дополнительные сведения см. в статье Создание поставщика OAuth OIDC.

      2. В следующей таблице приведены рекомендации по заполнению формы регистрации поставщика OIDC.

        Поле Описание Рекомендуемое значение
        имя; Уникальное имя, идентифицирующее сущность OAuth OIDC. Microsoft Entra ID
        Идентификатор клиента Идентификатор клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Экземпляр использует идентификатор клиента при запросе маркера доступа. Идентификатор приложения (клиента) из шага 3.a
        Секрет клиента Секрет клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Секрет клиента из шага 3.b

        Все остальные значения могут быть по умолчанию.

      3. В форме регистрации поставщика OIDC необходимо добавить новую конфигурацию поставщика OIDC. Щелкните значок поиска в поле Конфигурация поставщика OAuth OIDC , чтобы открыть записи конфигураций OIDC. Выберите Создать.

      4. В следующей таблице приведены рекомендации по заполнению формы конфигурации поставщика OIDC.

        Поле Рекомендуемое значение
        Поставщик OIDC Microsoft Entra ID
        URL-адрес метаданных OIDC URL-адрес должен иметь форму https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration.
        Замените "tenantID" идентификатором каталога (клиента) из шага 3.a.
        Срок жизни кэша конфигурации OIDC 120
        Приложение Глобальные
        Утверждение пользователя Sub
        Поле пользователя Идентификатор пользователя
        Включение проверки утверждений JTI Отключено

      5. Выберите Отправить и обновить форму сущности OAuth OIDC.

    5. Создание учетной записи ServiceNow

      См. инструкции по созданию учетной записи ServiceNow и созданию пользователя в ServiceNow.

      В следующей таблице приведены рекомендации по заполнению регистрации учетной записи пользователя ServiceNow.

      Поле Рекомендуемое значение
      Идентификатор пользователя Идентификатор субъекта-службы из шага 3.c
      Только доступ к веб-службе Checked

      Все остальные значения можно оставить по умолчанию.

    6. Включение роли Knowledge для учетной записи ServiceNow

      Получите доступ к созданной учетной записи ServiceNow с идентификатором субъекта ServiceNow в качестве идентификатора пользователя и назначьте роль знаний. Инструкции по назначению роли учетной записи ServiceNow можно найти здесь. Назначьте роль пользователю. Ознакомьтесь с таблицей в начале шага 2. Параметры источника данных , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям условий индексирования пользователей.

      Используйте идентификатор приложения в качестве идентификатора клиента (из шага 3.1) и секрет клиента (из шага 3.2) в мастере настройки Центра администрирования для проверки подлинности в экземпляре ServiceNow с помощью Microsoft Entra ID OpenID Connect.

3. Разрешения доступа

Соединитель ServiceNow поддерживает разрешения доступа, видимые всем или только пользователям с доступом к этому источнику данных. Индексированные данные отображаются в результатах поиска и видны всем пользователям в организации или пользователям, имеющим к ним доступ с помощью разрешения условий пользователя соответственно. Если статья знаний не включена с пользовательскими критериями, она отображается в результатах поиска всех пользователей в организации.

Снимок экрана: разрешения на доступ.

Чтобы получить доступ к статьям базы знаний в ServiceNow, пользователям требуются разрешения уровня статьи и разрешения уровня базы знаний. Если при использовании соединителя базы знаний ServiceNow нет ограничений на уровень статьи, он применяет разрешения уровня базы знаний. Однако при наличии ограничений уровня статьи они имеют приоритет над ограничениями уровня базы знаний.

Важно!

  • Соединитель поддерживает разрешения условий пользователя по умолчанию без дополнительных скриптов. Когда соединитель сталкивается с пользовательскими критериями с расширенным скриптом, все данные, использующие эти условия пользователя, не будут отображаться в результатах поиска.
  • Соединитель не применяет пересечение разрешений уровня базы знаний и уровня статьи, вместо этого учитывает разрешения уровня статьи напрямую.

Если выбран параметр Только пользователи с доступом к этому источнику данных, необходимо дополнительно выбрать, есть ли у экземпляра ServiceNow Microsoft Entra ID подготовленных пользователей или пользователей, отличных от AAD.

Чтобы определить, какой вариант подходит для вашей организации:

  1. Выберите параметр Microsoft Entra ID, если идентификатор Email пользователей ServiceNow совпадает с userPrincipalName (UPN) пользователей в Microsoft Entra ID.
  2. Выберите параметр Non-AAD, если идентификатор электронной почты пользователей ServiceNow отличается от userPrincipalName (UPN) пользователей в Microsoft Entra ID.

Примечание.

  • Если в качестве типа источника удостоверений выбран Microsoft Entra ID, соединитель сопоставляет Email идентификаторы пользователей, полученные из ServiceNow, непосредственно со свойством имени участника-пользователя из Microsoft Entra ID.
  • Если для типа удостоверения выбран параметр "Не AAD", инструкции по сопоставлению удостоверений см. в статье Сопоставление удостоверений, отличных от Azure AD. Этот параметр можно использовать для предоставления регулярного выражения сопоставления из идентификатора Email и имени участника-пользователя.
  • Обновления для пользователей или групп, управляющих разрешениями доступа, синхронизируются только при полном обходе контента. Добавочные обходы в настоящее время не поддерживают обработку обновлений разрешений.

Дополнительные параметры (необязательно)

1. Выберите свойства

На этом шаге можно добавить или удалить доступные свойства из источника данных ServiceNow. Microsoft 365 по умолчанию выбирает несколько свойств.

Снимок экрана: выбор свойств.

С помощью строки запроса ServiceNow можно указать условия для синхронизации статей. Это похоже на предложение Where в инструкции SQL Select . Например, можно проиндексировать только опубликованные и активные статьи. Сведения о создании собственной строки запроса см. в статье Создание закодированной строки запроса с помощью фильтра.

Используйте кнопку предварительного просмотра результатов, чтобы проверить образцы значений выбранных свойств и фильтра запросов.

2. Сопоставление удостоверений

На этом шаге можно сопоставить удостоверения как для Microsoft Entra ID, так и для типов удостоверений, отличных от Microsoft Entra ID.

  • Если в качестве типа источника удостоверений выбран Microsoft Entra ID, соединитель сопоставляет Email идентификаторы пользователей, полученные из ServiceNow, непосредственно со свойством имени участника-пользователя из Microsoft Entra ID.
  • Если для типа удостоверения выбран параметр "Не AAD", инструкции по сопоставлению удостоверений см. в статье Сопоставление удостоверений, отличных от Azure AD.

3. Назначение меток свойств

Следуйте общим инструкциям по настройке.

4. Управление схемой

Следуйте общим инструкциям по настройке.

5. Параметры обновления

Следуйте общим инструкциям по настройке.

Примечание.

Для удостоверений будет применяться только полное запланированное сканирование.

Проверка & публикации

Следуйте общим инструкциям по настройке.

После публикации подключения необходимо настроить страницу результатов поиска. Дополнительные сведения о настройке результатов поиска см. в разделе Настройка страницы результатов поиска.

Ограничения

Важно!

Соединитель ServiceNow Knowledge Microsoft Graph имеет следующие ограничения в последнем выпуске:

  • Только пользователи с доступом к этой функции источника данных на шаге Управление разрешениями поиска обрабатывают только разрешения условий пользователя . Другие типы разрешений доступа не применяются в результатах поиска.
  • Условия пользователя с расширенными скриптами не поддерживаются в текущей версии. Все статьи знаний с таким ограничением доступа индексируются с запретом доступа для всех пользователей, то есть они не отображаются в результатах поиска для любого пользователя, пока мы не поддержит их.

Устранение неполадок

После публикации подключения, настройки страницы результатов можно просмотреть состояние на вкладке Источники данных в Центре администрирования. Сведения об обновлении и удалении см. в статье Управление соединителем. Ниже приведены инструкции по устранению распространенных проблем.

1. Не удалось войти в систему из-за экземпляра ServiceNow с поддержкой одного Sign-On

Если в вашей организации включен единый Sign-On (SSO) в ServiceNow, могут возникнуть проблемы со входом с помощью учетной записи службы. Вы можете открыть имя пользователя и имя входа на основе пароля, добавив login.do в URL-адрес экземпляра ServiceNow. Эти URL-адреса должны поддерживать протокол HTTPS. https://<your-organization-domain>.service-now.com./login.do

2. Несанкционированный или запрещенный ответ на запрос API

2.1. Проверка разрешений на доступ к таблицам

Если в состоянии подключения отображается запрещенный или несанкционированный ответ, проверка, имеет ли учетная запись службы необходимый доступ к таблицам, упомянутым в разделе Шаг 2. Параметры источника данных. Проверьте, имеют ли все столбцы в таблицах доступ на чтение.

2.2. Изменение пароля учетной записи

Соединитель Microsoft Graph использует маркер доступа, извлекаемый от имени учетной записи службы, для обхода контента. Маркер доступа обновляется каждые 12 часов. Убедитесь, что пароль учетной записи службы не изменен после публикации подключения. При изменении пароля может потребоваться повторная проверка подлинности подключения.

2.3. Проверьте, стоит ли экземпляр ServiceNow за брандмауэром

Соединитель Microsoft Graph может не получить доступ к экземпляру ServiceNow, если он находится за брандмауэром сети. Необходимо явно разрешить доступ к службе соединителя. Диапазон общедоступных IP-адресов службы соединителя можно найти в таблице ниже. В зависимости от региона клиента добавьте его в список разрешенных для сети экземпляров ServiceNow.

Среда Region Range
ПРОИЗ Северная Америка 52.250.92.252/30, 52.224.250.216/30
ПРОИЗ Европа 20.54.41.208/30, 51.105.159.88/30
ПРОИЗ Азиатско-Тихоокеанский регион 52.139.188.212/30, 20.43.146.44/30

2.4. Разрешения доступа не работают должным образом

Если вы наблюдаете расхождения в разрешениях доступа, применяемых к результатам поиска, проверьте блок-схему доступа на предмет пользовательских критериев управления доступом к базам знаний и статьям.

3. Измените URL-адрес статьи знаний, чтобы просмотреть ее на портале поддержки.

Соединитель Знаний ServiceNow вычисляет свойство AccessUrl, используя sys_id в <instance_url>/kb_view.do?sys_kb_id<sysId> формате . Откроется статья знаний в системном представлении серверной части. Если вы предпочитаете перенаправлять статью на другой URL-адрес, следуйте приведенным ниже инструкциям.

3.1. Изменение типа результата

На вкладке настройка в разделе Поиск & аналитика Центр администрирования Microsoft 365 перейдите, чтобы изменить тип результата, настроенный для подключения ServiceNow Knowledge. Изменение типа результата

Когда откроется диалоговое окно редактирования типа результата, нажмите кнопку Изменить рядом с разделом макета результата. Изменение макета результатов

3.2. Поиск блока элементов

Найдите блок элементов, содержащий текстовое свойство со значениями shortDescription и AccessUrl .

Изменение блока элементов в типе результата

3.3. Изменение свойства AccessUrl

Чтобы изменить URL-адрес назначения, измените AccessUrl часть свойства text в блоке элементов. Например, если статья ServiceNow Knowledge должна быть перенаправлена на страницу https://contoso.service-now.com/sp , где sp является префиксом портала URL-адреса службы, выполните следующие действия.

Исходное значение Новое значение
"[{shortdescription}]({AccessUrl})" "[{shortdescription}](https://contoso.service-now.com/sp?id=kb_article_view&sysparm_article={number})"

Где number — свойство номера статьи знаний. Он должен быть помечен как извлеченный на экране Управление схемой во время создания подключения.

Завершите проверку обновлений типа результатов и нажмите кнопку Отправить. Дайте ему минуту или две, чтобы забрать изменения. Теперь результаты поиска должны перенаправляться на нужные URL-адреса.

4. Проблемы с доступом только к этому источнику данных

4.1 Не удается выбрать только людей с доступом к этому источнику данных

Возможно, вы не сможете выбрать параметр Только пользователи с доступом к этому источнику данных , если у учетной записи службы нет разрешений на чтение необходимых таблиц в разделе Шаг 2. Параметры источника данных. Проверьте, может ли учетная запись службы считывать таблицы, упомянутые в разделе Индексирование, и поддерживать функцию разрешений условий пользователя .

4.2. Сбои при сопоставлении пользователей

Учетные записи пользователей ServiceNow без пользователя M365 в Microsoft Entra ID не будут сопоставлены. Ожидается, что для учетных записей служб, не являющихся пользователями, сопоставление пользователей завершится ошибкой. Количество сбоев сопоставления пользователей можно получить в области статистики удостоверений в окне сведений о подключении. Журнал неудачных сопоставлений пользователей можно скачать на вкладке Ошибка.

5. Проблемы с потоком доступа к условиям пользователя

Если вы видите различия в проверке условий пользователя между ServiceNow и ПоискОм Майкрософт, задайте для glide.knowman.block_access_with_no_user_criteria свойства system значение no.

Если у вас возникли другие проблемы или вы хотите оставить отзыв, напишите нам aka.ms/TalkToGraphConnectors