ServiceNow Knowledge Microsoft Graph 連接器
使用 ServiceNow 的 Microsoft Graph 連接器,您的組織可以編製知識庫文章的索引,這些文章可供所有使用者看到,或受限於組織內的使用者準則許可權。 從 ServiceNow 設定連接器和索引內容之後,使用者就可以在 Microsoft Copilot 和任何 Microsoft Search 用戶端中搜尋這些文章。
您也可以參閱 這段影片 ,以深入瞭解 Graph 連接器在管理搜尋許可權方面所具備的功能。
本文適用於 Microsoft 365 系統管理員或設定、執行及監視 ServiceNow Knowledge Graph 連接器的任何人。 它補充 Microsoft 365 系統管理中心 文章中設定 Microsoft Graph 連接器中提供的一般指示。 如果您尚未這麼做,請閱讀整個設定 Graph 連接器一文,以瞭解一般設定程式。
安裝程式中的每個步驟都列在下方,以及一個附注,指出您應該遵循一般設定指示或僅適用於 ServiceNow 連接器的其他指示,包括 疑難解答 和 限制的相關信息。
強制和選擇性設定
若要讓您快速開始使用 Microsoft Graph 連接器,安裝程式中的步驟會分成兩個群組:
強制設定 - 您必須提供這些步驟的一些輸入,才能建立連線。 (連線名稱、數據源設定等輸入 ) 會根據貴組織的內容和使用案例而有所不同。
進階設定 (選擇性) - 如名稱所示,進階設定是選擇性的步驟。 為了方便起見,安裝程式中的這些設定會根據系統管理員最常見的選擇,預先設定預設值。 您可以選擇接受預設值,或修改預設值以符合組織的需求。
開始使用
(如需詳細資訊,請參閱一般 設定指示)
強制設定
1.命名 & 識別碼:
線上標識碼:視需要編輯連線標識碼 (預設且唯一的字串) 。 按兩下 [儲存 後繼續 ] 按鈕之後,就無法編輯它。
名稱:輸入連線的名稱, (預先填入預設名稱) 。 即使連線已發佈) ,您稍後仍可以編輯 (。
![[名稱 & 標識符] 字段的螢幕快照。](media/servicenow-knowledge-connector-name-and-id.png#lightbox)
2.資料源設定:
ServiceNow 實例 URL:若要連線到您的 ServiceNow 數據,您需要組織的 ServiceNow 實例 URL。 貴組織的 ServiceNow 實例 URL 通常看起來像是 https://< our-organization-domain.service-now.com>。
![[數據源設定] 的螢幕快照。](media/servicenow-knowledge-connector-data-source-settings.png#lightbox)
除了此 URL,您還需要服務 帳戶 來設定 ServiceNow 的連線,以及允許 Microsoft Search 根據重新整理排程定期更新知識文章。 服務帳戶需要下列 ServiceNow 數據表記錄的 讀取許可權,才能成功編目各種實體。
| 功能 | 讀取存取必要數據表 | 描述 |
|---|---|---|
| 為所有人提供的知識文章編製索引 | kb_knowledge | 編目知識文章 |
| 索引和支援用戶準則許可權 | kb_uc_can_read_mtom | 誰可以閱讀此 知識庫 |
| kb_uc_can_contribute_mtom | 誰可以參與此 知識庫 | |
| kb_uc_cannot_read_mtom | 誰無法讀取此 知識庫 | |
| kb_uc_cannot_contribute_mtom | 誰無法參與此 知識庫 | |
| sys_user | 讀取用戶數據表 | |
| sys_user_has_role | 讀取使用者的角色資訊 | |
| sys_user_grmember | 讀取使用者的群組成員資格 | |
| user_criteria | 讀取用戶準則許可權 | |
| kb_knowledge_base | 讀取 知識庫 資訊 | |
| sys_user_group | 讀取使用者群組區段 | |
| sys_user_role | 讀取使用者角色 | |
| cmn_location | 讀取位置資訊 | |
| cmn_department | 讀取部門資訊 | |
| core_company | 讀取公司屬性 | |
| 索引擴充數據表屬性 (選擇性) | sys_db_object | 讀取擴充數據表詳細數據 |
| sys_dictionary | 讀取擴充數據表屬性 |
您可以為用來與 Microsoft Search 連線 的服務帳戶建立並指派角色 。 瞭解如何指派 ServiceNow 帳戶的角色。 您可以在建立的角色上指派數據表的讀取存取權。 若要瞭解如何設定數據表記錄的讀取許可權,請參閱 保護數據表記錄。
如果您想要從kb_knowledge的擴充數據表編製屬性的索引,請提供sys_dictionary和sys_db_object的讀取許可權。 這是選擇性功能。 您可以 編製kb_knowledge 數據表屬性的索引,而不需要存取兩個額外的數據表。
注意事項
適用於 ServiceNow 的 Microsoft Graph 連接器可以編製知識文章和用戶準則許可權的索引,而不需要進階腳本。 若要深入瞭解連接器如何處理知識文章和用戶準則許可權,請參閱 Microsoft Graph Connector for ServiceNow 中知識文章的讀取和拒絕存取一節。
驗證詳細數據:若要從 ServiceNow 驗證和同步處理內容,請選擇 三種支援的方法之一 :
Microsoft Entra ID OpenID Connect
1. 基本身份驗證
輸入具有 知識 角色的 ServiceNow 帳戶使用者名稱和密碼,以向您的實例進行驗證。
2. ServiceNow OAuth
若要使用 ServiceNow OAuth 進行驗證,請遵循下列步驟。
ServiceNow 系統管理員必須在 ServiceNow 實例中布建端點,Microsoft Search 應用程式才能存取它。 若要深入瞭解,請參閱 ServiceNow 檔 Create 用戶端存取實例的端點。
下表提供如何填寫端點建立窗體的指引:
欄位 描述 建議值 名稱 唯一值,識別您需要 OAuth 存取權的應用程式。 Microsoft 搜尋 用戶端識別碼 應用程式的唯一標識碼。 實例會在要求存取令牌時使用用戶端標識碼。 NA 用戶端密碼 使用這個共用的秘密字串,ServiceNow 實例和 Microsoft Search 會互相授權通訊。 請將秘密視為密碼,以遵循安全性最佳做法。 重新導向URL 授權伺服器重新導向的必要回呼 URL。 針對 M365 Enterprise:https:// gcs.office。com/v1.0/admin/oauth/callback, 適用於 M365 Government:https:// gcsgcc.office。com/v1.0/admin/oauth/callback 標誌 URL 包含應用程式標誌影像的 URL。 NA 作用中 選取複選框,讓應用程式登錄成為使用中狀態。 設定為使用中 重新整理令牌生命週期 重新整理令牌有效的秒數。 根據預設,重新整理令牌會在) 8,640,000 秒 (100 天后過期。 31,536,000 (一年) 存取令牌存留期 存取令牌有效的秒數。 43,200 (12 小時) 輸入用戶端識別碼和客戶端密碼以連線到您的實例。 線上之後,請使用 ServiceNow 帳戶認證來驗證編目許可權。 帳戶至少應具有 知識 角色。 請參閱 步驟 2:數據源設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄和索引用戶準則許可權的讀取許可權。
3.Microsoft Entra ID OpenID Connect
若要使用 Microsoft Entra ID OpenID Connect 進行驗證,請遵循下列步驟。
在 Microsoft Entra ID 中註冊新的應用程式
若要瞭解如何在 Microsoft Entra ID 中註冊新的應用程式,請參閱註冊應用程式。 選取單一租用戶組織目錄。 不需要重新導向 URI。 註冊之後,記下應用程式 (用戶端) 標識符和目錄 (租使用者) 標識符。
建立用戶端密碼
若要瞭解如何建立客戶端密碼,請參閱 建立客戶端密碼。 記下客戶端密碼。
擷取服務主體對象標識碼
請遵循步驟來擷取服務主體對象標識碼
執行 PowerShell。
使用下列命令安裝 Azure PowerShell。
Install-Module -Name Az -AllowClobber -Scope CurrentUser聯機到 Azure。
Connect-AzAccount取得服務主體對象標識碼。
Get-AzADServicePrincipal -ApplicationId "Application-ID"將 「Application-ID」 取代為應用程式 (用戶端) 識別碼, (不含您在步驟 1 中註冊之應用程式的引號) 。 請注意 PowerShell 輸出中 ID 物件的值。 這是服務主體標識碼。
現在您已擁有 Azure 入口網站 所需的所有資訊。 下表提供資訊的快速摘要。
屬性 描述 租用戶標識碼 (目錄標識碼) 步驟 3.a 中 Microsoft Entra 租使用者的唯一標識符。 應用程式標識碼 (用戶端識別碼) 步驟 3.a 中註冊之應用程式的唯一標識符。 用戶端密碼 從步驟 3.b) (應用程式的秘密金鑰。 將其視為密碼。 服務主體標識碼 作為服務執行之應用程式的身分識別。 從步驟 3.c) ( 註冊 ServiceNow 應用程式
ServiceNow 實例需要下列設定:
註冊新的 OAuth OIDC 實體。 若要瞭解,請參閱 Create OAuth OIDC 提供者。
下表提供如何填寫 OIDC 提供者註冊表單的指引
欄位 描述 建議值 名稱 識別 OAuth OIDC 實體的唯一名稱。 Microsoft Entra ID 用戶端識別碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的用戶端識別碼。 實例會在要求存取令牌時使用用戶端標識碼。 步驟 3.a 中的應用程式 (用戶端) 識別碼 用戶端密碼 在第三方 OAuth OIDC 伺服器中註冊之應用程式的客戶端密碼。 步驟 3.b 中的客戶端密碼 所有其他值都可以是預設值。
在 OIDC 提供者註冊表單中,您需要新增 OIDC 提供者設定。 針對 [OAuth OIDC 提供者 設定] 欄位選取搜尋圖示,以開啟 OIDC 設定的記錄。 選取 [新增]。
下表提供如何填寫 OIDC 提供者組態表單的指引
欄位 建議值 OIDC 提供者 Microsoft Entra ID OIDC 元數據 URL URL 的格式 https://login.microsoftonline.com/<必須是 tenandId“>/.well-known/openid-configuration
將 「tenantID」 取代為步驟 3.a 中的目錄 (租使用者) 識別符。OIDC 組態快取生命週期 120 應用程式 全域 使用者宣告 子 使用者欄位 使用者識別碼 啟用 JTI 宣告驗證 已停用 選取 [提交] 並更新 [OAuth OIDC 實體] 窗體。
Create ServiceNow 帳戶
請參閱建立 ServiceNow 帳戶、 在 ServiceNow 中建立使用者的指示。
下表提供如何填寫 ServiceNow 使用者帳戶註冊的指引
欄位 建議值 使用者識別碼 步驟 3.c 的服務主體標識符 僅限 Web 服務存取 Checked 所有其他值都可以保留為預設值。
啟用 ServiceNow 帳戶的知識角色
存取您以 ServiceNow 主體標識碼作為使用者標識元建立的 ServiceNow 帳戶,並指派知識角色。 您可以在這裡找到將角色指派給 ServiceNow 帳戶的指示, 並將角色指派給使用者。 請參閱 步驟 2:數據源設定 開頭的數據表,以提供更多 ServiceNow 數據表記錄和索引用戶準則許可權的讀取許可權。
使用步驟 3.1) 中的應用程式識別碼作為用戶端標識碼 (,以及在系統管理中心設定精靈中使用步驟 3.2) 的用戶端密碼 (,以使用 Microsoft Entra ID OpenID Connect 向您的 ServiceNow 實例進行驗證。
3.訪問許可權
ServiceNow 連接器支援 「所有人 」或 「僅限具有此數據源存取權的人員」可見的訪問許可權。 已編製索引的數據會出現在搜尋結果中,且組織中的所有使用者或分別可透過使用者準則許可權存取這些數據的使用者可以看到。 如果未啟用用戶準則的知識文章,它會出現在組織中每個人的搜尋結果中。
重要事項
在 ServiceNow 中,評估使用者的讀取許可權時,會同時查看發行項層級許可權和 KB 層級許可權。 適用於 ServiceNow 的 Microsoft Graph 連接器會以不同的方式處理許可權:
- 如果文章包含「可讀取」用戶準則,則會在擷取期間於文章上加上戳記,並忽略知識庫 『Can Read』 / 'Can Contribute' 使用者準則。
- 如果發行項包含「無法讀取」用戶準則,而且對應的知識庫也包含「無法讀取」用戶準則,則會在發行項上標記這兩個用戶準則。
如果您選擇 [僅限可存取此數據源的人員],則必須進一步選擇 ServiceNow 實例是否 Microsoft Entra ID 布建的使用者或非 AAD 使用者。
若要識別哪個選項適合您的組織:
- 如果 ServiceNow 使用者的 Email 識別碼與 Microsoft Entra ID 中使用者的 UPN) UserPrincipalName (相同,請選擇 [Microsoft Entra ID] 選項。
- 如果 ServiceNow 使用者的電子郵件識別碼與 userPrincipalName 不同,請選擇 [非 AAD] 選項 (Microsoft Entra ID 中使用者的 UPN) 。
注意事項
- 如果您選擇 Microsoft Entra ID 做為身分識別來源的類型,連接器會將從 ServiceNow 取得的使用者 Email 標識碼直接對應至 Microsoft Entra ID 的 UPN 屬性。
- 如果您選擇 [非 AAD] 作為身分識別類型,請參閱對應 您的非 Azure AD 身 分識別以取得對應身分識別的指示。 您可以使用此選項來提供從 Email 識別碼到 UPN 的對應正規表示式。
- 對管理訪問許可權的使用者或群組 匯報 只會以完整編目進行同步處理。 累加編目目前不支援處理許可權的更新。
選用) (進階設定
1.選取屬性
在此步驟中,您可以從 ServiceNow 數據源新增或移除可用的屬性。 Microsoft 365 預設會選取幾個屬性。
使用 ServiceNow 查詢字串,您可以指定同步發行項的條件。 它就像 SQL Select 語句中的 Where 子句。 例如,您可以選擇只為已發行和使用中的發行項編製索引。 若要瞭解如何建立您自己的查詢字串,請參閱 使用篩選產生編碼的查詢字串。
使用 [預覽結果] 按鈕來驗證所選屬性和查詢篩選的範例值。
2.對應身分識別
在此步驟中,您可以對應 Microsoft Entra ID 和非 Microsoft Entra ID 識別類型的身分識別。
- 如果您選擇 Microsoft Entra ID 做為身分識別來源的類型,連接器會將從 ServiceNow 取得的使用者 Email 標識碼直接對應至 Microsoft Entra ID 的 UPN 屬性。
- 如果您選擇 [非 AAD] 作為身分識別類型,請參閱對應 您的非 Azure AD 身 分識別以取得對應身分識別的指示。
3.指派屬性標籤
請遵循一般 設定指示。
4.管理架構
請遵循一般 設定指示。
5.重新整理設定
請遵循一般 設定指示。
注意事項
只有完整編目才會重新整理身分識別。
檢閱 & 發佈
請遵循一般 設定指示。
發佈連線之後,您必須自定義搜尋結果頁面。 若要瞭解如何自定義搜尋結果,請參閱 自定義搜尋結果頁面。
讀取和拒絕存取 Microsoft Graph Connector for ServiceNow 中的知識文章
以下是連接器如何根據 ServiceNow Knowledge 中的使用者準則來處理存取權限的案例描述:
注意事項
下表所使用的詞彙:
- 無準則:未為發行項或知識庫定義任何用戶準則。 (不同於定義用戶準則但準則內所有字段都是空白)
- 默認用戶準則:使用ServiceNow 欄位定義的用戶準則,例如使用者、群組、角色、位置、部門等。
- 空白準則:所有欄位都具有空白值的使用者批次。
如何決定讀取許可權
| 知識庫 | 知識文章 | Access | |
|---|---|---|---|
| 可讀取 | 可以參與 | 可讀取 | |
| 任何準則 | 任何準則 | 默認用戶準則 | 遵循的預設用戶準則 |
| 任何準則 | 任何準則 | 默認 + 進階準則 | 遵循預設用戶準則。 已忽略進階準則。 |
| 任何準則 | 任何準則 | 空白準則 + 任何準則 | 提供給每個 ServiceNow 使用者的存取權 |
| 默認用戶準則 | 默認用戶準則 | 無準則 | 遵循預設用戶準則。 [注意:如果 'Cannot Contribute' 使用者準則不存在,則會遵循來自 'Can read' 和 'Can Contribute' 的默認準則。 但是,如果 「無法參與」用戶準則存在,則「可參與」用戶準則不會加上戳記。] |
| 默認 + 進階準則 | 默認 + 進階準則 | 無準則 | 遵循預設用戶準則。 已忽略進階準則。 |
| 空白準則 | 任何準則 | 無準則 | 提供給每個 ServiceNow 使用者的存取權 |
如何決定拒絕存取
| 知識庫 | 知識文章 | Access |
|---|---|---|
| 無法讀取 | 無法讀取 | |
| 默認用戶準則 | 默認用戶準則 | 接受基底和發行項層級的兩個準則。 |
| 進階準則 | 任何準則 | 拒絕所有人的存取權。 |
| 任何準則 | 進階準則 | 拒絕所有人的存取權。 |
| 空白準則 + 預設用戶準則 | 任何準則 | 拒絕所有人的存取權。 |
| 任何準則 | 空白準則 | 拒絕所有人的存取權。 |
限制
重要事項
ServiceNow Knowledge Microsoft Graph 連接器在其最新版本中具有下列限制:
- 目前版本不支援具有進階腳本的用戶準則。 若要深入了解連接器如何使用進階腳本處理知識文章,請參閱 Microsoft Graph Connector for ServiceNow 中知識文章的讀取和拒絕存取一節。
疑難排解
發佈連線之後,您可以在系統管理中心的 [數據源] 索引卷標下檢閱狀態。 若要瞭解如何進行更新和刪除,請參閱 管理您的連接器。 您可以 在這裡找到常見問題的疑難解答步驟。
如果您有任何其他問題或想要提供意見反應,請寫 aka.ms/TalkToGraphConnectors 給我們。