ServiceNow Catalog Microsoft Graph 連接器
使用適用於 ServiceNow 的 Microsoft Graph 連接器,您的組織可以列出所有用戶可見或受限於組織內使用者準則許可權 的服務類別目錄 專案。 從 ServiceNow 設定連接器和索引內容之後,使用者就可以從任何 Microsoft Search 用戶端搜尋這些目錄專案。
本文適用於 Microsoft 365 系統管理員或設定、執行及監視 ServiceNow Catalog Microsoft Graph 連接器的任何人。 它補充 Microsoft 365 系統管理中心 文章中設定 Microsoft Graph 連接器中提供的一般指示。 如果您尚未這麼做,請閱讀整個設定 Microsoft Graph 連接器一文,以瞭解一般設定程式。
安裝程式中的每個步驟如下所列,並附上一個附注,指出您應該遵循一般設定指示或僅適用於 ServiceNow 連接器的其他指示,包括 疑難解答 和 限制的相關信息。
步驟 1:在 Microsoft 365 系統管理中心 中新增連接器
請遵循一般 設定指示。
步驟 2:命名連線
請遵循一般 設定指示。
步驟 3:連線設定
若要連線到您的 ServiceNow 數據,您需要組織的 ServiceNow 實例 URL。 您組織的 ServiceNow 實例 URL 通常如下所示:“https:// <our-organization-domain.service-now>。com“.
除了此 URL,您還需要服務 帳戶 來設定 ServiceNow 的連線,並允許 Microsoft Search 根據重新整理排程定期更新目錄專案。 服務帳戶需要下列 ServiceNow 數據表記錄的 讀取許可權,才能成功編目各種實體。
| 功能 | 讀取存取必要數據表 | 描述 |
|---|---|---|
| 索引可供所有人使用的目錄專案 | sc_cat_item | 編目目錄專案 |
| 索引和支援用戶準則許可權 | sc_cat_item_user_criteria_mtom | 誰可以存取此目錄專案 |
| sc_cat_item_user_criteria_no_mtom | 誰無法存取此目錄專案 | |
| sys_user | 讀取用戶數據表 | |
| sys_user_has_role | 讀取使用者的角色資訊 | |
| sys_user_grmember | 讀取使用者的群組成員資格 | |
| user_criteria | 讀取用戶準則許可權 | |
| sys_user_group | 讀取使用者群組區段 | |
| sys_user_role | 讀取使用者角色 | |
| cmn_location | 讀取位置資訊 | |
| cmn_department | 讀取部門資訊 | |
| core_company | 讀取公司屬性 |
您可以為用來與 Microsoft Search 連線 的服務帳戶建立並指派角色 。 瞭解如何指派 ServiceNow 帳戶的角色。 您可以在建立的角色上指派數據表的讀取存取權。 若要瞭解如何設定數據表記錄的讀取許可權,請參閱 保護數據表記錄。
注意事項
ServiceNow 目錄連接器可以編制目錄專案和使用者準則許可權的索引,而不需要進階腳本。 如果使用者準則包含進階腳本,則所有相關的目錄項目都會隱藏在搜尋結果中。
若要從 ServiceNow 驗證和同步處理內容,請選擇 三種支援的方法之一 :
- 基本驗證
- ServiceNow OAuth (建議)
- Microsoft Entra識別碼 OpenID Connect
步驟 3.1:基本身份驗證
輸入具有 目錄 角色的 ServiceNow 帳戶使用者名稱和密碼,以向您的實例進行驗證。
步驟 3.2:ServiceNow OAuth
若要使用 ServiceNow OAuth 進行驗證,ServiceNow 系統管理員必須在 ServiceNow 實例中布建端點,Microsoft Search 應用程式才能存取它。 若要深入瞭解,請參閱 ServiceNow 檔中的 建立端點供客戶 端存取實例。
下表提供如何填寫端點建立窗體的指引:
| 欄位 | 描述 | 建議值 |
|---|---|---|
| 名稱 | 唯一值,識別您需要 OAuth 存取權的應用程式。 | Microsoft 搜尋 |
| 用戶端識別碼 | 應用程式的唯一標識碼。 實例會在要求存取令牌時使用用戶端標識碼。 | 不適用 |
| 用戶端密碼 | 使用這個共用的秘密字串,ServiceNow 實例和 Microsoft Search 會互相授權通訊。 | 請將秘密視為密碼,以遵循安全性最佳做法。 |
| 重新導向URL | 授權伺服器重新導向的必要回呼 URL。 | 針對 M365 Enterprise:https:// gcs.office。com/v1.0/admin/oauth/callback, 適用於 M365 Government:https:// gcsgcc.office。com/v1.0/admin/oauth/callback |
| 標誌 URL | 包含應用程式標誌影像的 URL。 | 不適用 |
| Active | 選取複選框,讓應用程式登錄成為使用中狀態。 | 設定為使用中 |
| 重新整理令牌生命週期 | 重新整理令牌有效的秒數。 根據預設,重新整理令牌會在) 8,640,000 秒 (100 天后過期。 | 31,536,000 (一年) |
| 存取令牌存留期 | 存取令牌有效的秒數。 | 43,200 (12 小時) |
輸入用戶端識別碼和客戶端密碼以連線到您的實例。 線上之後,請使用 ServiceNow 帳戶認證來驗證編目許可權。 帳戶至少應具有 目錄 角色。 請參閱 步驟 3:連線設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄的讀取許可權,以及索引用戶準則許可權。
步驟 3.3:Microsoft Entra 識別符 OpenID Connect
若要使用 Microsoft Entra 標識碼 OpenID Connect 進行驗證,請遵循下列步驟。
步驟 3.3.1:在 Microsoft Entra 識別子中註冊新的應用程式
若要瞭解如何在 Microsoft Entra 識別碼中註冊新的應用程式,請參閱註冊應用程式。 選取單一租用戶組織目錄。 不需要重新導向 URI。 註冊之後,記下應用程式 (用戶端) 標識符和目錄 (租使用者) 標識符。
步驟 3.3.2:建立客戶端密碼
若要瞭解如何建立客戶端密碼,請參閱 建立客戶端密碼。 記下客戶端密碼。
步驟 3.3.3:擷取服務主體對象標識碼
請遵循步驟來擷取服務主體對象標識碼
執行 PowerShell。
使用下列命令安裝 Azure PowerShell。
Install-Module -Name Az -AllowClobber -Scope CurrentUser聯機到 Azure。
Connect-AzAccount取得服務主體對象標識碼。
Get-AzADServicePrincipal -ApplicationId "Application-ID"將 「Application-ID」 取代為應用程式 (用戶端) 識別碼, (不含您在步驟 3.a 中註冊之應用程式的引號) 。 請注意 PowerShell 輸出中 ID 物件的值。 這是服務主體標識碼。
現在您已擁有 Azure 入口網站 所需的所有資訊。 下表提供資訊的快速摘要。
| 屬性 | 描述 |
|---|---|
| 租用戶標識碼 (目錄標識碼) | 步驟 3.a 中 Microsoft Entra 租使用者的唯一標識符。 |
| 應用程式標識碼 (用戶端識別碼) | 步驟 3.a 中註冊之應用程式的唯一標識符。 |
| 用戶端密碼 | 從步驟 3.b) (應用程式的秘密金鑰。 將其視為密碼。 |
| 服務主體標識碼 | 作為服務執行之應用程式的身分識別。 從步驟 3.c) ( |
步驟 3.3.4:註冊 ServiceNow 應用程式
ServiceNow 實例需要下列設定:
註冊新的 OAuth OIDC 實體。 若要瞭解,請 參閱建立 OAuth OIDC 提供者。
下表提供如何填寫 OIDC 提供者註冊表單的指引
欄位 描述 建議值 名稱 識別 OAuth OIDC 實體的唯一名稱。 Microsoft Entra ID 用戶端識別碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的用戶端識別碼。 實例會在要求存取令牌時使用用戶端標識碼。 步驟 3.a 中的應用程式 (用戶端) 識別碼 用戶端密碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的客戶端密碼。 步驟 3.b 中的客戶端密碼 所有其他值都可以是預設值。
在 OIDC 提供者註冊表單中,您需要新增 OIDC 提供者設定。 針對 [OAuth OIDC 提供者 設定] 欄位選取搜尋圖示,以開啟 OIDC 設定的記錄。 選取 [新增]。
下表提供如何填寫 OIDC 提供者組態表單的指引
欄位 建議值 OIDC 提供者 Microsoft Entra ID OIDC 元數據 URL URL 的格式 https://login.microsoftonline.com/<必須是 tenandId“>/.well-known/openid-configuration
將 「tenantID」 取代為步驟 3.a 中的目錄 (租使用者) 識別符。OIDC 組態快取生命週期 120 應用程式 全域 使用者宣告 子 使用者欄位 使用者識別碼 啟用 JTI 宣告驗證 已停用 選取 [提交] 並更新 [OAuth OIDC 實體] 窗體。
步驟 3.3.5:建立 ServiceNow 帳戶
請參閱建立 ServiceNow 帳戶、 在 ServiceNow 中建立使用者的指示。
下表提供如何填寫 ServiceNow 使用者帳戶註冊的指引
| 欄位 | 建議值 |
|---|---|
| 使用者識別碼 | 步驟 3.c 的服務主體標識符 |
| 僅限 Web 服務存取 | Checked |
所有其他值都可以保留為預設值。
步驟 3.3.6:啟用 ServiceNow 帳戶的目錄角色
存取您以 ServiceNow 主體標識碼作為使用者標識元建立的 ServiceNow 帳戶,並指派目錄角色。 您可以在這裡找到將角色指派給 ServiceNow 帳戶的指示, 並將角色指派給使用者。 請參閱 步驟 3:連線設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄的讀取許可權,以及索引用戶準則許可權。
使用步驟 3.a) 中的應用程式識別碼作為用戶端標識碼 (,以及在系統管理中心設定中) 步驟 3.b) 的用戶端 (密碼,助理 使用 Microsoft Entra ID OpenID Connect 向您的 ServiceNow 實例進行驗證。
步驟 4:選取屬性並篩選數據
在此步驟中,您可以從 ServiceNow 數據源新增或移除可用的屬性。 Microsoft 365 預設已經選取幾個屬性。
使用 ServiceNow 查詢字串,您可以指定同步發行項的條件。 它就像 SQL Select 語句中的 Where 子句。 例如,您可以選擇只為作用中的項目編製索引。 若要瞭解如何建立您自己的查詢字串,請參閱 使用篩選產生編碼的查詢字串。
使用 [預覽結果] 按鈕來驗證所選屬性和查詢篩選的範例值。
步驟 5:管理搜尋許可權
ServiceNow 連接器支援 所有人 或 只有具有此數據源存取權的人員可以看見的搜尋許可權。 已編製索引的數據會出現在搜尋結果中,且組織中的所有使用者或分別可透過使用者準則許可權存取這些數據的使用者可以看到。 如果未使用使用者準則啟用目錄專案,它就會出現在組織中每個人的搜尋結果中。
連接器支持沒有進階腳本的預設用戶準則許可權。 當連接器遇到具有進階腳本的用戶準則時,使用該使用者準則的所有數據都不會出現在搜尋結果中。
如果您選擇 [僅限可存取此數據源的人員],則必須進一步選擇 ServiceNow 實例是否 Microsoft Entra 已布建的使用者或非 Azure AD 使用者。
若要識別哪個選項適合您的組織:
- 如果 ServiceNow 使用者的 Email 識別碼與 userPrincipalName (#D9BB0F576DFFA4B3FA915BFE7800B07DA 標識符中使用者的 UPN) 相同,請選擇 [Microsoft Entra 標識符] 選項。
- 如果 ServiceNow 使用者的電子郵件識別碼與 UserPrincipalName (UPN) Microsoft Entra 識別碼中的使用者不同,請選擇 [非 Azure AD] 選項。
注意事項
- 如果您選擇 Microsoft Entra 標識碼作為身分識別來源的類型,連接器會將從 ServiceNow 取得的使用者 Email 標識碼直接對應至 #DE2A28B3D106C426AAE88C8608829CA25 標識碼的 UPN 屬性。
- 如果您針對身分識別類型選擇 [非 Azure AD],請參閱對應 您的非 Azure AD 身 分識別以取得對應身分識別的指示。 您可以使用此選項,將正規表達式從 Email 識別碼對應至 UPN。
步驟 6:指派屬性標籤
請遵循一般 設定指示。
步驟 7:管理架構
請遵循一般 設定指示。
步驟 8:選擇重新整理設定
請遵循一般 設定指示。
注意事項
針對身分識別,只會套用完整編目排程。
步驟 9:檢閱連線
請遵循一般 設定指示。
發佈連線之後,您必須自定義搜尋結果頁面。 若要瞭解如何自定義搜尋結果,請參閱 自定義搜尋結果頁面。
限制
ServiceNow Catalog Microsoft Graph 連接器在其最新版本中具有下列限制:
- 只有具有 [ 管理搜尋許可權] 步驟下此數據源功能存取權的人員,只會處理 用戶準則 許可權。 搜尋結果中不會套用任何其他類型的訪問許可權。
- 不支援在目錄類別目錄設定的用戶準則許可權。
- 目前版本不支援具有進階腳本的用戶準則。 任何具有這類存取限制的目錄專案都會編製索引,並拒絕所有人存取,也就是說,除非我們支持,否則不會出現在搜尋結果中給任何使用者。
疑難排解
發佈連線、自定義結果頁面之後,您可以在系統管理中心的 [數據源] 索引標籤下檢閱狀態。 若要瞭解如何進行更新和刪除,請參閱 管理您的連接器。 您可以在下方找到常見問題的疑難解答步驟。
1.無法登入,因為已啟用單一登錄的 ServiceNow 實例
如果您的組織已啟用單一登錄 (SSO) 至 ServiceNow,您可能無法使用服務帳戶登入。 您可以將 新 login.do 增至 ServiceNow 實例 URL,以顯示以使用者名稱和密碼為基礎的登入。 範例: https://<your-organization-domain>.service-now.com./login.do。
2.未經授權或禁止回應 API 要求
2.1. 檢查數據表訪問許可權
如果您在連線狀態中看到禁止或未經授權的回應,請檢查服務帳戶是否具有 步驟 3:連線設定中所述數據表的必要存取權。 檢查數據表中的所有數據行是否有讀取許可權。
2.2. 變更帳戶密碼
連接器會使用代表服務帳戶擷取的存取令牌進行編目。 存取令牌會每隔 12 小時重新整理一次。 確定服務帳戶密碼在發佈連線之後不會變更。 如果密碼有變更,您可能需要重新驗證連線。
2.3. 檢查防火牆後方的 ServiceNow 實例
如果您的 Microsoft Graph 連接器位於網路防火牆後方,可能就無法連線到您的 ServiceNow 實例。 您必須明確允許存取連接器服務。 您可以在下表中找到連接器服務的公用IP位址範圍。 根據您的租用戶區域,將它新增至您的 ServiceNow 實例網路允許清單。
| 環境 | 區域 | Range |
|---|---|---|
| PROD | 北美 | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | 歐洲 | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | 亞太地區 | 52.139.188.212/30, 20.43.146.44/30 |
2.4. 訪問許可權未如預期般運作
如果您觀察到套用至搜尋結果的訪問許可權不一致,請確認將用戶準則套用 至目錄專案中的使用者準則設定。
3. 只有具有此數據源許可權存取權的人員 的問題
3.1 無法選擇 [僅限可存取此數據源的人員]
如果服務帳戶沒有步驟 3:連線設定中所需資料表的讀取許可權,您可能無法選擇 [只有可存取此數據源的人員] 選項。 檢查服務帳戶是否可以讀取 [ 索引] 下所述的數據表,並支援用戶準則許可權 功能。
3.2 用戶對應失敗
Microsoft Entra標識碼中沒有 Microsoft 365 使用者的 ServiceNow 使用者帳戶將不會對應。 非使用者的服務帳戶預期會使用戶對應失敗。 您可以在連線詳細資料視窗的身分識別統計資料區域中存取使用者對應失敗數目。 您可以從 [錯誤] 索引標籤下載失敗的使用者對應記錄。
4. 使用者準則存取流程的問題
如果您在 ServiceNow 和 Microsoft Search 之間看到使用者準則驗證的差異,請將系統屬性設定 glide.knowman.block_access_with_no_user_criteria 為 no。
如果您有任何其他問題或想要提供意見反應,請寫入 我們 aka.ms/TalkToGraphConnectors