ServiceNow Catalog Microsoft Graph 連接器
使用 ServiceNow 的 Microsoft Graph 連接器,您的組織可以列出所有使用者可見 的服務類別目錄 專案,或是受限於組織內的用戶準則許可權。 從 ServiceNow 設定連接器和索引內容之後,使用者可以從任何Microsoft搜尋客戶端搜尋這些目錄專案。
本文適用於Microsoft 365 個系統管理員或設定、執行及監視 ServiceNow 目錄Microsoft Graph 連接器的任何人。 它補充了 在 Microsoft 365 系統管理中心設定 Microsoft Graph 連接器一文中 提供的一般指示。 如果您尚未這麼做,請閱讀整個設定 Microsoft Graph 連接器一文,以瞭解一般設定程式。
安裝程式中的每個步驟如下所列,並附上一個附注,指出您應該遵循一般設定指示或僅適用於 ServiceNow 連接器的其他指示,包括 疑難解答 和 限制的相關信息。
步驟 1:在 Microsoft 365 系統管理中心新增連接器
請遵循一般 設定指示。
步驟 2:命名連線
請遵循一般 設定指示。
步驟 3:連線設定
若要連線到您的 ServiceNow 數據,您需要組織的 ServiceNow 實例 URL。 您組織的 ServiceNow 實例 URL 通常如下所示:“https:// <our-organization-domain.service-now>。com“.
除了此 URL,您還需要服務 帳戶 來設定 ServiceNow 的連線,並允許Microsoft搜尋根據重新整理排程定期更新目錄專案。 服務帳戶需要下列 ServiceNow 數據表記錄的 讀取許可權,才能成功編目各種實體。
| 功能 | 讀取存取必要數據表 | 描述 |
|---|---|---|
| 索引可供所有人使用的目錄專案 | sc_cat_item | 編目目錄專案 |
| 索引和支援用戶準則許可權 | sc_cat_item_user_criteria_mtom | 誰可以存取此目錄專案 |
| sc_cat_item_user_criteria_no_mtom | 誰無法存取此目錄專案 | |
| sys_user | 讀取用戶數據表 | |
| sys_user_has_role | 讀取使用者的角色資訊 | |
| sys_user_grmember | 讀取使用者的群組成員資格 | |
| user_criteria | 讀取用戶準則許可權 | |
| sys_user_group | 讀取使用者群組區段 | |
| sys_user_role | 讀取使用者角色 | |
| cmn_location | 讀取位置資訊 | |
| cmn_department | 讀取部門資訊 | |
| core_company | 讀取公司屬性 |
您可以為用來與 Microsoft Search 連線 的服務帳戶建立並指派角色 。 瞭解如何指派 ServiceNow 帳戶的角色。 您可以在建立的角色上指派數據表的讀取存取權。 若要瞭解如何設定數據表記錄的讀取許可權,請參閱 保護數據表記錄。
注意事項
ServiceNow 目錄連接器可以編制目錄專案和使用者準則許可權的索引,而不需要進階腳本。 如果使用者準則包含進階腳本,則所有相關的目錄項目都會隱藏在搜尋結果中。
若要從 ServiceNow 驗證和同步處理內容,請選擇 三種支援的方法之一 :
- 基本驗證
- ServiceNow OAuth (建議)
- Microsoft Entra ID OpenID Connect
步驟 3.1:基本身份驗證
輸入具有 目錄 角色的 ServiceNow 帳戶使用者名稱和密碼,以向您的實例進行驗證。
步驟 3.2:ServiceNow OAuth
若要使用 ServiceNow OAuth 進行驗證,ServiceNow 系統管理員必須在 ServiceNow 實例中布建端點,Microsoft搜尋應用程式才能存取它。 若要深入瞭解,請參閱 ServiceNow 檔中的 建立端點供客戶 端存取實例。
下表提供如何填寫端點建立窗體的指引:
| 欄位 | 描述 | 建議值 |
|---|---|---|
| 名稱 | 唯一值,識別您需要 OAuth 存取權的應用程式。 | Microsoft 搜尋 |
| 用戶端識別碼 | 應用程式的唯一標識碼。 實例會在要求存取令牌時使用用戶端標識碼。 | 不適用 |
| 用戶端密碼 | 使用這個共用的秘密字串,ServiceNow 實例和Microsoft搜尋會授權彼此通訊。 | 請將秘密視為密碼,以遵循安全性最佳做法。 |
| 重新導向URL | 授權伺服器重新導向的必要回呼 URL。 | 針對 M365 Enterprise:https:// gcs.office。com/v1.0/admin/oauth/callback, 適用於 M365 Government:https:// gcsgcc.office。com/v1.0/admin/oauth/callback |
| 標誌 URL | 包含應用程式標誌影像的 URL。 | 不適用 |
| 作用中 | 選取複選框,讓應用程式登錄成為使用中狀態。 | 設定為使用中 |
| 重新整理令牌生命週期 | 重新整理令牌有效的秒數。 根據預設,重新整理令牌會在) 8,640,000 秒 (100 天后過期。 | 31,536,000 (一年) |
| 存取令牌存留期 | 存取令牌有效的秒數。 | 43,200 (12 小時) |
輸入用戶端識別碼和客戶端密碼以連線到您的實例。 線上之後,請使用 ServiceNow 帳戶認證來驗證編目許可權。 帳戶至少應具有 目錄 角色。 請參閱 步驟 3:連線設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄的讀取許可權,以及索引用戶準則許可權。
步驟 3.3:Microsoft Entra ID OpenID Connect
若要使用 Microsoft Entra ID OpenID Connect 進行驗證,請遵循下列步驟。
步驟 3.3.1:在 Microsoft Entra ID 中註冊新的應用程式
若要瞭解如何在 Microsoft Entra ID 中註冊新的應用程式,請參閱 註冊應用程式。 選取單一租用戶組織目錄。 不需要重新導向 URI。 註冊之後,記下應用程式 (用戶端) 標識符和目錄 (租使用者) 標識符。
步驟 3.3.2:建立客戶端密碼
若要瞭解如何建立客戶端密碼,請參閱 建立客戶端密碼。 記下客戶端密碼。
步驟 3.3.3:擷取服務主體對象標識碼
請遵循步驟來擷取服務主體對象標識碼
執行 PowerShell。
使用下列命令安裝 Azure PowerShell。
Install-Module -Name Az -AllowClobber -Scope CurrentUser聯機到 Azure。
Connect-AzAccount取得服務主體對象標識碼。
Get-AzADServicePrincipal -ApplicationId "Application-ID"將 「Application-ID」 取代為應用程式 (用戶端) 識別碼, (不含您在步驟 3.a 中註冊之應用程式的引號) 。 請注意 PowerShell 輸出中 ID 物件的值。 這是服務主體標識碼。
現在您已擁有 Azure 入口網站所需的所有資訊。 下表提供資訊的快速摘要。
| 屬性 | 描述 |
|---|---|
| 租用戶標識碼 (目錄標識碼) | 步驟 3.a 中Microsoft Entra 租使用者的唯一標識符。 |
| 應用程式標識碼 (用戶端識別碼) | 步驟 3.a 中註冊之應用程式的唯一標識符。 |
| 用戶端密碼 | 從步驟 3.b) (應用程式的秘密金鑰。 將其視為密碼。 |
| 服務主體標識碼 | 作為服務執行之應用程式的身分識別。 從步驟 3.c) ( |
步驟 3.3.4:註冊 ServiceNow 應用程式
ServiceNow 實例需要下列設定:
註冊新的 OAuth OIDC 實體。 若要瞭解,請 參閱建立 OAuth OIDC 提供者。
下表提供如何填寫 OIDC 提供者註冊表單的指引
欄位 描述 建議值 名稱 識別 OAuth OIDC 實體的唯一名稱。 Microsoft Entra ID 用戶端識別碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的用戶端識別碼。 實例會在要求存取令牌時使用用戶端標識碼。 步驟 3.a 中的應用程式 (用戶端) 識別碼 用戶端密碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的客戶端密碼。 步驟 3.b 中的客戶端密碼 所有其他值都可以是預設值。
在 OIDC 提供者註冊表單中,您需要新增 OIDC 提供者設定。 針對 [OAuth OIDC 提供者 設定] 欄位選取搜尋圖示,以開啟 OIDC 設定的記錄。 選取 [新增]。
下表提供如何填寫 OIDC 提供者組態表單的指引
欄位 建議值 OIDC 提供者 Microsoft Entra ID OIDC 元數據 URL URL 的格式 https://login.microsoftonline.com/<必須是 tenandId“>/.well-known/openid-configuration
將 「tenantID」 取代為步驟 3.a 中的目錄 (租使用者) 識別符。OIDC 組態快取生命週期 120 應用程式 全域 使用者宣告 子 使用者欄位 使用者識別碼 啟用 JTI 宣告驗證 已停用 選取 [提交] 並更新 [OAuth OIDC 實體] 窗體。
步驟 3.3.5:建立 ServiceNow 帳戶
請參閱建立 ServiceNow 帳戶、 在 ServiceNow 中建立使用者的指示。
下表提供如何填寫 ServiceNow 使用者帳戶註冊的指引
| 欄位 | 建議值 |
|---|---|
| 使用者識別碼 | 步驟 3.c 的服務主體標識符 |
| 僅限 Web 服務存取 | Checked |
所有其他值都可以保留為預設值。
步驟 3.3.6:啟用 ServiceNow 帳戶的目錄角色
存取您以 ServiceNow 主體標識碼作為使用者標識元建立的 ServiceNow 帳戶,並指派目錄角色。 您可以在這裡找到將角色指派給 ServiceNow 帳戶的指示, 並將角色指派給使用者。 請參閱 步驟 3:連線設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄的讀取許可權,以及索引用戶準則許可權。
使用步驟 3.a) 中的應用程式識別碼作為用戶端標識符 (,以及從系統管理中心設定助理的步驟 3.b) 的客戶端密碼 (,使用 Microsoft Entra ID OpenID Connect 向您的 ServiceNow 實例進行驗證。
步驟 4:選取屬性並篩選數據
在此步驟中,您可以從 ServiceNow 數據源新增或移除可用的屬性。 Microsoft 365 預設已經選取幾個屬性。
您在此處選取的屬性清單,可能會影響您在 Copilot 中篩選、搜尋及檢視結果的方式,Microsoft 365。
| Source 屬性 | Label | 描述 |
|---|---|---|
| AccessUrl | url |
數據源中項目的目標 URL。 |
| Authors | authors |
參與/共同作業數據源中項目的人員名稱。 |
| IconUrl | iconUrl |
代表發行項類別或類型的圖示 URL。 |
| 名稱 | title |
您想要在搜尋和其他體驗中顯示的項目標題。 |
| SysCreatedBy | createdBy |
在數據源中建立項目的人員名稱。 |
| SysCreatedOn | createdDateTime |
在數據源中建立專案的日期和時間。 |
| SysUpdatedBy | lastModifiedBy |
最近編輯數據源中專案之人員的名稱。 |
| SysUpdatedOn | lastModifiedDateTime |
上次在數據源中修改專案的日期和時間。 |
使用 ServiceNow 查詢字串,您可以指定同步發行項的條件。 它就像 SQL Select 語句中的 Where 子句。 例如,您可以選擇只為作用中的項目編製索引。 若要瞭解如何建立您自己的查詢字串,請參閱 使用篩選產生編碼的查詢字串。
使用 [預覽結果] 按鈕來驗證所選屬性和查詢篩選的範例值。
步驟 5:管理搜尋許可權
ServiceNow 連接器支援 所有人 或 只有具有此數據源存取權的人員可以看見的搜尋許可權。 已編製索引的數據會出現在搜尋結果中,且組織中的所有使用者或分別可透過使用者準則許可權存取這些數據的使用者可以看到。 如果未使用使用者準則啟用目錄專案,它就會出現在組織中每個人的搜尋結果中。
連接器支持沒有進階腳本的預設用戶準則許可權。 當連接器遇到具有進階腳本的用戶準則時,使用該使用者準則的所有數據都不會出現在搜尋結果中。
如果您選擇 [僅限可存取此數據源的人員],則必須進一步選擇您的 ServiceNow 實例是否Microsoft已布建 Entra ID 的使用者或非 Azure AD 使用者。
若要識別哪個選項適合您的組織:
- 如果 ServiceNow 使用者的電子郵件識別碼與 UserPrincipalName 相同, (Microsoft Entra ID 中使用者的 UPN) ,請選擇 [Microsoft Entra ID] 選項。
- 如果 ServiceNow 使用者的電子郵件識別碼與 UserPrincipalName (UPN) 中使用者的電子郵件識別碼不同,請選擇 [非 Azure AD] 選項Microsoft Entra ID。
注意事項
- 如果您選擇 Microsoft Entra ID 作為身分識別來源的類型,連接器會將從 ServiceNow 取得的使用者電子郵件識別碼直接對應至 Microsoft Entra ID 的 UPN 屬性。
- 如果您針對身分識別類型選擇 [非 Azure AD],請參閱對應 您的非 Azure AD 身 分識別以取得對應身分識別的指示。 您可以使用此選項來提供從電子郵件識別碼到 UPN 的正規表示式對應。
步驟 6:指派屬性標籤
請遵循一般 設定指示。
步驟 7:管理架構
請遵循一般 設定指示。
步驟 8:選擇重新整理設定
請遵循一般 設定指示。
注意事項
針對身分識別,只會套用完整編目排程。
步驟 9:檢閱連線
請遵循一般 設定指示。
發佈連線之後,您必須自定義搜尋結果頁面。 若要瞭解如何自定義搜尋結果,請參閱 自定義搜尋結果頁面。
限制
ServiceNow Catalog Microsoft Graph 連接器在其最新版本中具有下列限制:
- 只有具有 [ 管理搜尋許可權] 步驟下此數據源功能存取權的人員,只會處理 用戶準則 許可權。 搜尋結果中不會套用任何其他類型的訪問許可權。
- 不支援在目錄類別目錄設定的用戶準則許可權。
- 目前版本不支援具有進階腳本的用戶準則。 任何具有這類存取限制的目錄專案都會編製索引,並拒絕所有人存取,也就是說,除非我們支持,否則不會出現在搜尋結果中給任何使用者。
疑難排解
發佈連線、自定義結果頁面之後,您可以在系統管理中心的 [數據源] 索引標籤下檢閱狀態。 若要瞭解如何進行更新和刪除,請參閱 管理您的連接器。 您可以 在這裡找到常見問題的疑難解答步驟。
如果您有任何其他問題或想要提供意見反應,請寫 aka.ms/TalkToGraphConnectors 給我們。