Соединитель Microsoft Graph serviceNow Knowledge
С помощью соединителя Microsoft Graph для ServiceNow ваша организация может индексировать статьи базы знаний, которые видны всем пользователям или ограничены разрешениями условий пользователя в вашей организации. После настройки соединителя и индекса содержимого из ServiceNow пользователи могут искать эти статьи в любом клиенте поиска Майкрософт.
Вы также можете ознакомиться с этим видео , чтобы узнать больше о возможностях Graph Connector по управлению разрешениями на поиск.
Эта статья предназначена для администраторов Microsoft 365 или тех, кто настраивает, запускает и отслеживает соединитель ServiceNow Knowledge Graph. Он дополняет общие инструкции, приведенные в статье Настройка соединителей Microsoft Graph в Центр администрирования Microsoft 365. Если вы еще не сделали этого, ознакомьтесь со всей статьей Настройка соединителя Graph, чтобы узнать об общем процессе установки.
Каждый шаг в процессе установки указан ниже вместе с примечанием, указывающим, что следует следовать общим инструкциям по настройке или другим инструкциям, применимым только к соединителю ServiceNow, включая сведения об устранении неполадок и ограничениях.
Шаг 1. Добавление соединителя в Центр администрирования Microsoft 365.
Следуйте общим инструкциям по настройке.
Шаг 2. Присвойте соединению имя.
Следуйте общим инструкциям по настройке.
Шаг 3. Параметры подключения
Чтобы подключиться к данным ServiceNow, вам потребуется URL-адрес экземпляра ServiceNow в организации. URL-адрес экземпляра ServiceNow вашей организации обычно выглядит как https://< your-organization-domain.service-now.com>.
Наряду с этим URL-адресом вам потребуется учетная запись службы для настройки подключения к ServiceNow, а также для того, чтобы поиск (Майкрософт) периодически обновлял статьи знаний в соответствии с расписанием обновления. Для успешного обхода различных сущностей учетной записи службы потребуется доступ на чтение следующих записей таблицы ServiceNow .
| Функция | Необходимые таблицы для доступа на чтение | Описание |
|---|---|---|
| Статьи об индексировании знаний, доступные всем | kb_knowledge | Статьи об обходе знаний |
| Индексирование и поддержка разрешений условий пользователя | kb_uc_can_read_mtom | Кто может читать эту база знаний |
| kb_uc_can_contribute_mtom | Кто может внести свой вклад в эту база знаний | |
| kb_uc_cannot_read_mtom | Кто не может прочитать эту база знаний | |
| kb_uc_cannot_contribute_mtom | Кто не может внести свой вклад в эту база знаний | |
| sys_user | Чтение пользовательской таблицы | |
| sys_user_has_role | Чтение сведений о роли пользователей | |
| sys_user_grmember | Чтение членства пользователей в группах | |
| user_criteria | Чтение разрешений условий пользователя | |
| kb_knowledge_base | Чтение сведений база знаний | |
| sys_user_group | Чтение сегментов группы пользователей | |
| sys_user_role | Чтение ролей пользователей | |
| cmn_location | Чтение сведений о расположении | |
| cmn_department | Чтение сведений о отделе | |
| core_company | Чтение атрибутов компании | |
| Свойства расширенной таблицы индекса (необязательно) | sys_db_object | Чтение сведений о расширенной таблице |
| sys_dictionary | Чтение расширенных свойств таблицы |
Вы можете создать и назначить роль для учетной записи службы, используемой для подключения с помощью поиска (Майкрософт). Узнайте, как назначить роль учетным записям ServiceNow. Для созданной роли можно назначить доступ на чтение к таблицам. Сведения о настройке доступа на чтение для записей таблиц см. в разделе Защита записей таблиц.
Если вы хотите индексировать свойства из расширенных таблицkb_knowledge, предоставьте доступ на чтение для sys_dictionary и sys_db_object. Это необязательная функция. Вы сможете индексировать свойства kb_knowledge таблицы без доступа к двум дополнительным таблицам.
Примечание.
Соединитель ServiceNow Microsoft Graph может индексировать статьи знаний и разрешения условий пользователя без дополнительных скриптов. Если критерий пользователя содержит расширенный скрипт, все связанные статьи знаний будут скрыты в результатах поиска.
Для проверки подлинности и синхронизации содержимого из ServiceNow выберите один из трех поддерживаемых методов:
- Обычная проверка подлинности
- ServiceNow OAuth (рекомендуется)
- Azure AD OpenID Connect
Шаг 3.1. Обычная проверка подлинности
Введите имя пользователя и пароль учетной записи ServiceNow с ролью knowledge для проверки подлинности в экземпляре.
Шаг 3.2. ServiceNow OAuth
Чтобы использовать ServiceNow OAuth для проверки подлинности, администратор ServiceNow должен подготовить конечную точку в экземпляре ServiceNow, чтобы приложение Поиска (Майкрософт) пользовалось доступом к ней. Дополнительные сведения см. в статье Создание конечной точки для доступа клиентов к экземпляру в документации ServiceNow.
В следующей таблице приведены рекомендации по заполнению формы создания конечной точки.
| Поле | Описание | Рекомендуемое значение |
|---|---|---|
| Имя | Уникальное значение, определяющее приложение, для которых требуется доступ OAuth. | Поиск (Майкрософт) |
| Идентификатор клиента | Автоматически созданный уникальный идентификатор приложения только для чтения. Экземпляр использует идентификатор клиента при запросе маркера доступа. | Н/Д |
| Секрет клиента | С помощью этой общей строки секрета экземпляр ServiceNow и Поиск (Майкрософт) разрешают обмен данными друг с другом. | Следуйте рекомендациям по обеспечению безопасности, рассматривая секрет как пароль. |
| URL-адрес перенаправления | Обязательный URL-адрес обратного вызова, на который перенаправляет сервер авторизации. | Для M365 Корпоративный: https:// gcs.office. com/v1.0/admin/oauth/callback, For M365 Government: https:// gcsgcc.office. com/v1.0/admin/oauth/callback |
| URL-адрес логотипа | URL-адрес, содержащий изображение логотипа приложения. | Н/Д |
| Активация | Выберите поле проверка, чтобы сделать реестр приложений активным. | Установите значение "Активный" |
| Срок действия маркера обновления | Количество секунд, в течение которых маркер обновления действителен. По умолчанию срок действия маркеров обновления истекает через 100 дней (8 640 000 секунд). | 31 536 000 (один год) |
| Срок жизни маркера доступа | Количество секунд, в течение которых маркер доступа действителен. | 43 200 (12 часов) |
Введите идентификатор клиента и секрет клиента, чтобы подключиться к экземпляру. После подключения используйте учетные данные учетной записи ServiceNow для проверки подлинности разрешения на обход контента. Учетная запись должна по крайней мере иметь роль знаний . См. таблицу в начале шага 3: параметры подключения , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям на индексирование условий пользователя.
Шаг 3.3. Azure AD OpenID Connect
Чтобы использовать Azure AD OpenID Connect для проверки подлинности, выполните следующие действия.
Шаг 3.3.1. Регистрация нового приложения в Azure Active Directory
Сведения о регистрации нового приложения в Azure Active Directory см. в статье Регистрация приложения. Выберите каталог организации с одним клиентом. URI перенаправления не требуется. После регистрации запишите идентификатор приложения (клиента) и идентификатор каталога (клиента).
Шаг 3.3.2. Создание секрета клиента
Дополнительные сведения о создании секрета клиента см. в статье Создание секрета клиента. Запишите секрет клиента.
Шаг 3.3.3. Получение идентификатора объекта субъекта-службы
Выполните действия, чтобы получить идентификатор объекта субъекта-службы.
Запустите PowerShell.
Установите Azure PowerShell с помощью следующей команды.
Install-Module -Name Az -AllowClobber -Scope CurrentUserПодключение к Azure.
Connect-AzAccountПолучение идентификатора объекта субъекта-службы.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Замените application-ID идентификатором приложения (клиента) (без кавычек) приложения, зарегистрированного на шаге 3.a. Обратите внимание на значение объекта ID из выходных данных PowerShell. Это идентификатор субъекта-службы.
Теперь у вас есть вся информация, необходимая от портал Azure. Краткая сводка сведений приведена в таблице ниже.
| Свойство | Описание |
|---|---|
| Идентификатор каталога (идентификатор клиента) | Уникальный идентификатор клиента Azure Active Directory из шага 3.a. |
| Идентификатор приложения (идентификатор клиента) | Уникальный идентификатор приложения, зарегистрированного на шаге 3.a. |
| Секрет клиента | Секретный ключ приложения (из шага 3.b). Относитесь к нему как к паролю. |
| Идентификатор субъекта-службы | Удостоверение для приложения, работающего в качестве службы. (из шага 3.c) |
Шаг 3.3.4. Регистрация приложения ServiceNow
Экземпляр ServiceNow требует следующей конфигурации:
Зарегистрируйте новую сущность OAuth OIDC. Дополнительные сведения см. в статье Создание поставщика OAuth OIDC.
В следующей таблице приведены рекомендации по заполнению формы регистрации поставщика OIDC.
Поле Описание Рекомендуемое значение Имя Уникальное имя, идентифицирующее сущность OAuth OIDC. Azure AD Идентификатор клиента Идентификатор клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Экземпляр использует идентификатор клиента при запросе маркера доступа. Идентификатор приложения (клиента) из шага 3.a Секрет клиента Секрет клиента приложения, зарегистрированного на стороннем сервере OAuth OIDC. Секрет клиента из шага 3.b Все остальные значения могут быть по умолчанию.
В форме регистрации поставщика OIDC необходимо добавить новую конфигурацию поставщика OIDC. Щелкните значок поиска в поле Конфигурация поставщика OAuth OIDC , чтобы открыть записи конфигураций OIDC. Выберите Создать.
В следующей таблице приведены рекомендации по заполнению формы конфигурации поставщика OIDC.
Поле Рекомендуемое значение Поставщик OIDC Azure AD URL-адрес метаданных OIDC URL-адрес должен иметь форму https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration.
Замените "tenantID" идентификатором каталога (клиента) из шага 3.a.Срок жизни кэша конфигурации OIDC 120 Приложение Глобальные Утверждение пользователя sub Поле пользователя Идентификатор пользователя Включение проверки утверждений JTI Отключено Выберите Отправить и обновить форму сущности OAuth OIDC.
Шаг 3.3.5. Создание учетной записи ServiceNow
См. инструкции по созданию учетной записи ServiceNow и созданию пользователя в ServiceNow.
В следующей таблице приведены рекомендации по заполнению регистрации учетной записи пользователя ServiceNow.
| Поле | Рекомендуемое значение |
|---|---|
| Идентификатор пользователя | Идентификатор субъекта-службы из шага 3.c |
| Только доступ к веб-службе | Checked |
Все остальные значения можно оставить по умолчанию.
Шаг 3.3.6. Включение роли knowledge для учетной записи ServiceNow
Получите доступ к созданной учетной записи ServiceNow с идентификатором субъекта ServiceNow в качестве идентификатора пользователя и назначьте роль знаний. Инструкции по назначению роли учетной записи ServiceNow можно найти здесь. Назначьте роль пользователю. См. таблицу в начале шага 3: параметры подключения , чтобы предоставить доступ на чтение к дополнительным записям таблицы ServiceNow и разрешениям на индексирование условий пользователя.
Используйте идентификатор приложения в качестве идентификатора клиента (из шага 3.a) и секрет клиента (из шага 3.b) в мастере настройки Центра администрирования для проверки подлинности в экземпляре ServiceNow с помощью Azure AD OpenID Connect.
Шаг 4. Выбор свойств и фильтрация данных
На этом шаге можно добавить или удалить доступные свойства из источника данных ServiceNow. Microsoft 365 уже выбрал несколько свойств по умолчанию.
С помощью строки запроса ServiceNow можно указать условия для синхронизации статей. Это похоже на предложение Where в инструкции SQL Select . Например, можно проиндексировать только опубликованные и активные статьи. Сведения о создании собственной строки запроса см. в статье Создание закодированной строки запроса с помощью фильтра.
Используйте кнопку предварительного просмотра результатов, чтобы проверить образцы значений выбранных свойств и фильтра запросов.
Шаг 5. Управление разрешениями поиска
Соединитель ServiceNow поддерживает разрешения на поиск , видимые всем или только пользователям с доступом к этому источнику данных. Индексированные данные отображаются в результатах поиска и видны всем пользователям в организации или пользователям, имеющим к ним доступ с помощью разрешения условий пользователя соответственно. Если статья знаний не включена с пользовательскими критериями, она будет отображаться в результатах поиска всех пользователей в организации.
Чтобы получить доступ к статьям базы знаний в ServiceNow, пользователям требуются разрешения уровня статьи и разрешения на уровне базы знаний. Если при использовании соединителя базы знаний ServiceNow нет ограничений на уровень статьи, он будет применять разрешения уровня базы знаний. Однако при наличии ограничений уровня статьи они будут принимать приоритет над ограничениями уровня базы знаний.
Важно!
- Соединитель поддерживает разрешения условий пользователя по умолчанию без дополнительных скриптов. Когда соединитель сталкивается с пользовательскими критериями с расширенным скриптом, все данные, использующие эти условия пользователя, не будут отображаться в результатах поиска.
- Соединитель не применяет пересечение разрешений уровня базы знаний и уровня статьи, вместо этого учитывает разрешения уровня статьи напрямую.
Если выбран параметр Только пользователи с доступом к этому источнику данных, необходимо дополнительно указать, есть ли у экземпляра ServiceNow подготовленные пользователи Azure Active Directory (AAD) или пользователи, отличные от AAD.
Чтобы определить, какой вариант подходит для вашей организации:
- Выберите параметр AAD, если идентификатор Email пользователей ServiceNow совпадает с userPrincipalName (UPN) пользователей в AAD.
- Выберите параметр Non-AAD , если идентификатор электронной почты пользователей ServiceNow отличается от userPrincipalName (UPN) пользователей в AAD.
Примечание.
- Если выбрать AAD в качестве типа источника удостоверений, соединитель сопоставляет Email идентификаторы пользователей, полученные из ServiceNow, непосредственно со свойством имени участника-пользователя из AAD.
- Если для типа удостоверения выбран параметр "Не AAD", инструкции по сопоставлению удостоверений см. в статье Сопоставление удостоверений, отличных от Azure AD. Этот параметр можно использовать для предоставления регулярного выражения сопоставления из идентификатора Email и имени участника-пользователя.
Шаг 6. Назначение меток свойств
Следуйте общим инструкциям по настройке.
Шаг 7. Управление схемой
Следуйте общим инструкциям по настройке.
Шаг 8. Выбор параметров обновления
Следуйте общим инструкциям по настройке.
Примечание.
Для удостоверений будет применяться только полное запланированное сканирование.
Шаг 9. Проверка подключения
Следуйте общим инструкциям по настройке.
После публикации подключения необходимо настроить страницу результатов поиска. Дополнительные сведения о настройке результатов поиска см. в разделе Настройка страницы результатов поиска.
Ограничения
Соединитель ServiceNow Knowledge Microsoft Graph имеет следующие ограничения в последнем выпуске:
- Только пользователи с доступом к этой функции источника данных на шаге Управление разрешениями поиска обрабатывают только разрешения условий пользователя . Другие типы разрешений на доступ не будут применяться в результатах поиска.
- Условия пользователя с расширенными скриптами не поддерживаются в текущей версии. Все статьи знаний с таким ограничением доступа будут проиндексированы с запретом доступа для всех пользователей, т. е. они не будут отображаться в результатах поиска для любого пользователя, пока мы не поддержит их.
Устранение неполадок
После публикации подключения, настройки страницы результатов можно просмотреть состояние на вкладке Источники данных в Центре администрирования. Сведения об обновлении и удалении см. в статье Управление соединителем. Ниже приведены инструкции по устранению распространенных проблем.
1. Не удается войти в систему из-за экземпляра ServiceNow с поддержкой единого Sign-On
Если в вашей организации включен единый Sign-On (SSO) в ServiceNow, могут возникнуть проблемы со входом с помощью учетной записи службы. Вы можете открыть имя входа на основе имени пользователя и пароля, добавив login.do в URL-адрес экземпляра ServiceNow. Эти URL-адреса должны поддерживать протокол HTTPS. https://<your-organization-domain>.service-now.com./login.do
2. Несанкционированный или запрещенный ответ на запрос API
2.1. Проверка разрешений на доступ к таблицам
Если в состоянии подключения отображается запрещенный или несанкционированный ответ, проверка, если учетной записи службы требуется доступ к таблицам, упомянутым в шаге 3. Параметры подключения. Пожалуйста, проверка, имеют ли все столбцы в таблицах доступ на чтение.
2.2. Изменение пароля учетной записи
Соединитель Microsoft Graph использует маркер доступа, извлекаемый от имени учетной записи службы для обхода контента. Маркер доступа обновляется каждые 12 часов. Убедитесь, что пароль учетной записи службы не изменен после публикации подключения. При изменении пароля может потребоваться повторная проверка подлинности подключения.
2.3. Проверьте, стоит ли экземпляр ServiceNow за брандмауэром
Соединитель Microsoft Graph может не получить доступ к экземпляру ServiceNow, если он находится за брандмауэром сети. Вам потребуется явным образом разрешить доступ к службе соединителя. Диапазон общедоступных IP-адресов службы соединителя можно найти в таблице ниже. В зависимости от региона клиента добавьте его в список разрешенных для сети экземпляров ServiceNow.
| Среда | Region | Range |
|---|---|---|
| ПРОИЗ | Северная Америка | 52.250.92.252/30, 52.224.250.216/30 |
| ПРОИЗ | Европа | 20.54.41.208/30, 51.105.159.88/30 |
| ПРОИЗ | Азиатско-Тихоокеанский регион | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Разрешения доступа не работают должным образом
Если вы наблюдаете расхождения в разрешениях доступа, применяемых к результатам поиска, проверьте блок-схему доступа на предмет пользовательских критериев управления доступом к базам знаний и статьям.
3. Измените URL-адрес статьи знаний, чтобы просмотреть ее на портале поддержки.
Соединитель Знаний ServiceNow вычисляет свойство AccessUrl, используя sys_id в <instance_url>/kb_view.do?sys_kb_id<sysId> формате . Откроется статья знаний в системном представлении серверной части. Если вы предпочитаете перенаправлять статью на другой URL-адрес, следуйте приведенным ниже инструкциям.
3.1. Изменение типа результата
На вкладке настройка в разделе Аналитика поиска & Центр администрирования Microsoft 365 перейдите, чтобы изменить тип результата, настроенный для подключения ServiceNow Knowledge.
Когда откроется диалоговое окно изменение типа результата, щелкните Изменить рядом с разделом макета результата.
3.2. Поиск блока элементов
Найдите блок элементов, содержащий текстовое свойство со значениями shortDescription и AccessUrl .
3.3. Изменение свойства AccessUrl
Чтобы изменить ЦЕЛЕВОй URL-адрес, измените AccessUrl часть свойства text в блоке элементов. Например, если статья ServiceNow Knowledge должна быть перенаправлена на страницу https://contoso.service-now.com/sp , где sp является префиксом портала URL-адреса службы, выполните следующие действия.
| Исходное значение | Новое значение |
|---|---|
"[{shortdescription}]({AccessUrl})" |
"[{shortdescription}](https://contoso.service-now.com/sp?id=kb_article_view&sysparm_article={number})" |
Где number — свойство номера статьи знаний. Он должен быть помечен как извлеченный на экране Управление схемой во время создания подключения.
Завершите проверку обновлений типа результата и нажмите кнопку Отправить. Дайте ему минуту или две, чтобы забрать изменения. Теперь результаты поиска должны перенаправляться на нужные URL-адреса.
4. Проблемы с доступом только к этому источнику данных
4.1 Не удается выбрать только людей с доступом к этому источнику данных
Возможно, вы не сможете выбрать параметр Только пользователи с доступом к этому источнику данных , если учетная запись службы не имеет разрешений на чтение необходимых таблиц в разделе Параметры подключения шага 3. Проверьте, может ли учетная запись службы считывать таблицы, упомянутые в разделе Индексирование, и поддерживать функцию разрешений условий пользователя .
4.2. Сбои при сопоставлении пользователей
Учетные записи пользователей ServiceNow, у которых нет пользователя M365 в Azure Active Directory, не будут сопоставлены. Ожидается, что для учетных записей служб, не являющихся пользователями, сопоставление пользователей завершится ошибкой. Количество сбоев сопоставления пользователей можно получить в области статистики удостоверений в окне сведений о подключении. Журнал неудачных сопоставлений пользователей можно скачать на вкладке Ошибка.
5. Проблемы с потоком доступа к условиям пользователя
Если вы видите различия в проверке условий пользователя между ServiceNow и ПоискОм Майкрософт, задайте для glide.knowman.block_access_with_no_user_criteria свойства system значение no.
Если у вас есть другие проблемы или вы хотите оставить отзыв, напишите нам aka.ms/TalkToGraphConnectors