ServiceNow Catalog Microsoft Graph 连接器
使用适用于 ServiceNow 的 Microsoft Graph 连接器,组织可以列出对所有用户可见 的服务目录 项,或者受组织内用户条件权限限制的服务目录项。 从 ServiceNow 配置连接器和索引内容后,最终用户可以从任何Microsoft搜索客户端中搜索这些目录项。
本文适用于 Microsoft 365 管理员或配置、运行和监视 ServiceNow Catalog Microsoft Graph 连接器的任何人。 它补充了Microsoft 365 管理中心文章中设置Microsoft Graph 连接器中提供的一般说明。 如果尚未执行此操作,请阅读整个设置 Microsoft Graph 连接器一文,了解常规设置过程。
下面列出了安装过程中的每个步骤,以及一条说明,指示应遵循常规设置说明或其他仅适用于 ServiceNow 连接器的说明,包括有关 故障排除 和 限制的信息。
步骤 1:在Microsoft 365 管理中心中添加连接器
按照常规 设置说明进行操作。
步骤 2:命名连接
按照常规 设置说明进行操作。
步骤 3:连接设置
若要连接到 ServiceNow 数据,需要组织的 ServiceNow 实例 URL。 组织的 ServiceNow 实例 URL 通常如下所示:“https:// <your-organization-domain.service-now>。com”。
除了此 URL,还需要一个 服务帐户 来设置与 ServiceNow 的连接,并允许Microsoft搜索根据刷新计划定期更新目录项。 服务帐户需要对以下 ServiceNow 表记录 的读取访问权限才能成功爬网各种实体。
| 功能 | 需要读取访问权限的表 | 说明 |
|---|---|---|
| 为所有人可用的目录项编制索引 | sc_cat_item | 用于对目录项进行爬网 |
| 索引和支持用户条件权限 | sc_cat_item_user_criteria_mtom | 谁可以访问此目录项 |
| sc_cat_item_user_criteria_no_mtom | 谁无法访问此目录项 | |
| sys_user | 读取用户表 | |
| sys_user_has_role | 读取用户的角色信息 | |
| sys_user_grmember | 读取用户的组成员身份 | |
| user_criteria | 读取用户条件权限 | |
| sys_user_group | 读取用户组段 | |
| sys_user_role | 读取用户角色 | |
| cmn_location | 读取位置信息 | |
| cmn_department | 读取部门信息 | |
| core_company | 读取公司属性 |
可以为用于连接Microsoft搜索的服务帐户 创建和分配角色 。 了解如何为 ServiceNow 帐户分配角色。 可以对创建的角色分配对表的读取访问权限。 若要了解如何设置对表记录的读取访问权限,请参阅 保护表记录。
注意
ServiceNow 目录连接器可以编制目录项和用户条件权限的索引,而无需高级脚本。 如果用户条件包含高级脚本,则搜索结果中将隐藏所有相关目录项。
若要对 ServiceNow 中的内容进行身份验证和同步,请选择 三种受支持的方法之一 :
- 基本身份验证
- ServiceNow OAuth (建议)
- Microsoft Entra ID OpenID Connect
步骤 3.1:基本身份验证
输入具有 目录 角色的 ServiceNow 帐户的用户名和密码,以便对实例进行身份验证。
步骤 3.2:ServiceNow OAuth
若要使用 ServiceNow OAuth 进行身份验证,ServiceNow 管理员需要在 ServiceNow 实例中预配终结点,以便Microsoft搜索应用可以访问它。 若要了解详细信息,请参阅 ServiceNow 文档中 的为客户端创建终结点以访问实例 。
下表提供了有关如何填写终结点创建表单的指导:
| 字段 | 说明 | 建议的值 |
|---|---|---|
| 名称 | 标识需要为其进行 OAuth 访问的应用程序的唯一值。 | Microsoft 搜索 |
| 客户端 ID | 应用程序自动生成的只读唯一 ID。 实例在请求访问令牌时使用客户端 ID。 | 不适用 |
| 客户端密码 | 通过此共享机密字符串,ServiceNow 实例和Microsoft搜索授权彼此通信。 | 遵循安全最佳做法,将机密视为密码。 |
| 重定向 URL | 授权服务器重定向到的所需回调 URL。 | 对于 M365 企业版:https:// gcs.office。com/v1.0/admin/oauth/callback, 适用于 M365 政府版:https:// gcsgcc.office。com/v1.0/admin/oauth/callback |
| 徽标 URL | 一个 URL,其中包含应用程序徽标的图像。 | 不适用 |
| 活动 | 选择“检查”框,使应用程序注册表处于活动状态。 | 设置为活动 |
| 刷新令牌生存期 | 刷新令牌有效的秒数。 默认情况下,刷新令牌在 100 天后过期 (8,640,000 秒) 。 | 31,536,000 (一年) |
| 访问令牌生存期 | 访问令牌有效的秒数。 | 43,200 (12 小时) |
输入客户端 ID 和客户端密码以连接到实例。 连接后,使用 ServiceNow 帐户凭据对爬网权限进行身份验证。 该帐户至少应具有 目录 角色。 请参阅 步骤 3:连接设置 开头的表,用于提供对更多 ServiceNow 表记录的读取访问权限和索引用户条件权限。
步骤 3.3:Microsoft Entra ID OpenID Connect
若要使用 Microsoft Entra ID OpenID Connect 进行身份验证,请执行以下步骤。
步骤 3.3.1:在 Microsoft Entra ID 中注册新应用程序
若要了解如何在 Microsoft Entra ID 中注册新应用程序,请参阅注册应用程序。 选择“单租户组织目录”。 不需要重定向 URI。 注册后,记下应用程序 (客户端) ID 和目录 (租户) ID。
步骤 3.3.2:创建客户端密码
若要了解如何创建客户端密码,请参阅 创建客户端密码。 记下客户端密码。
步骤 3.3.3:检索服务主体对象标识符
按照步骤检索服务主体对象标识符
运行 PowerShell。
使用以下命令安装Azure PowerShell。
Install-Module -Name Az -AllowClobber -Scope CurrentUser连接到 Azure。
Connect-AzAccount获取服务主体对象标识符。
Get-AzADServicePrincipal -ApplicationId "Application-ID"将“Application-ID”替换为应用程序 (客户端) ID (,而不用引号) 步骤 3.a 中注册的应用程序。 记下 PowerShell 输出中的 ID 对象的值。 它是服务主体 ID。
现在,你已获得Azure 门户所需的所有信息。 下表提供了信息的快速摘要。
| 属性 | 说明 |
|---|---|
| 目录 ID (租户 ID) | 步骤 3.a 中Microsoft Entra租户的唯一 ID。 |
| 应用程序 ID (客户端 ID) | 在步骤 3.a 中注册的应用程序的唯一 ID。 |
| 客户端密码 | 应用程序密钥 (步骤 3.b) 。 将其视为密码。 |
| 服务主体 ID | 作为服务运行的应用程序的标识。 步骤 3.c) 中的 ( |
步骤 3.3.4:注册 ServiceNow 应用程序
ServiceNow 实例需要以下配置:
注册新的 OAuth OIDC 实体。 若要了解,请参阅 创建 OAuth OIDC 提供程序。
下表提供了有关如何填写 OIDC 提供程序注册表单的指导
字段 说明 建议的值 名称 标识 OAuth OIDC 实体的唯一名称。 Microsoft Entra ID 客户端 ID 在第三方 OAuth OIDC 服务器中注册的应用程序的客户端 ID。 实例在请求访问令牌时使用客户端 ID。 步骤 3.a 中的应用程序 (客户端) ID 客户端密码 在第三方 OAuth OIDC 服务器中注册的应用程序的客户端密码。 步骤 3.b 中的客户端密码 所有其他值都可以为默认值。
在 OIDC 提供程序注册表单中,需要添加新的 OIDC 提供程序配置。 选择 “OAuth OIDC 提供程序配置 ”字段的搜索图标,打开 OIDC 配置的记录。 选择 新建。
下表提供了有关如何填写 OIDC 提供程序配置表单的指导
字段 建议的值 OIDC 提供程序 Microsoft Entra ID OIDC 元数据 URL URL 的格式必须为 https://login.microsoftonline.com/<tenandId“>/.well-known/openid-configuration
将“tenantID”替换为步骤 3.a 中的目录 (租户) ID。OIDC 配置缓存生存期 120 应用程序 全球 用户声明 子 用户字段 用户 ID 启用 JTI 声明验证 Disabled 选择“提交并更新 OAuth OIDC 实体”窗体。
步骤 3.3.5:创建 ServiceNow 帐户
请参阅有关创建 ServiceNow 帐户和 在 ServiceNow 中创建用户的说明。
下表提供了有关如何填写 ServiceNow 用户帐户注册的指导
| 字段 | 建议的值 |
|---|---|
| 用户 ID | 步骤 3.c 中的服务主体 ID |
| 仅限 Web 服务访问 | Checked |
所有其他值都可以保留为默认值。
步骤 3.3.6:为 ServiceNow 帐户启用目录角色
访问使用 ServiceNow 主体 ID 作为用户 ID 创建的 ServiceNow 帐户,并分配目录角色。 可在此处找到将角色分配给 ServiceNow 帐户的说明,即 向用户分配角色。 请参阅 步骤 3:连接设置 开头的表,用于提供对更多 ServiceNow 表记录的读取访问权限和索引用户条件权限。
使用应用程序 ID 作为步骤 3.a) 中的客户端 ID (,在管理中心配置助手使用步骤 3.b) 中的客户端机密 (,使用 Microsoft Entra ID OpenID Connect 向 ServiceNow 实例进行身份验证。
步骤 4:选择属性并筛选数据
在此步骤中,可以在 ServiceNow 数据源中添加或删除可用属性。 默认情况下,Microsoft 365 已经选择了几个属性。
在此处选择的属性列表可能会影响如何在 Copilot for Microsoft 365 中筛选、搜索和查看结果。
| Source 属性 | Label | 说明 |
|---|---|---|
| AccessUrl | url |
数据源中项的目标 URL。 |
| 作者 | authors |
参与/协作处理数据源中项的人员的名称。 |
| IconUrl | iconUrl |
表示项目类别或类型的图标 URL。 |
| 名称 | title |
要在搜索和其他体验中显示的项的标题。 |
| SysCreatedBy | createdBy |
数据源中项创建者的姓名。 |
| SysCreatedOn | createdDateTime |
在数据源中创建项的日期和时间。 |
| SysUpdatedBy | lastModifiedBy |
数据源中项的最近编辑者的姓名。 |
| SysUpdatedOn | lastModifiedDateTime |
上次在数据源中修改项的日期和时间。 |
使用 ServiceNow 查询字符串,可以指定同步项目的条件。 它类似于 SQL Select 语句中的 Where 子句。 例如,可以选择仅为处于活动状态的项编制索引。 若要了解如何创建自己的查询字符串,请参阅 使用筛选器生成编码的查询字符串。
使用预览结果按钮验证所选属性和查询筛选器的示例值。
步骤 5:管理搜索权限
ServiceNow 连接器支持对 “所有人 ”或 “仅有权访问此数据源的人员”可见的搜索权限。 索引数据显示在搜索结果中,并且对组织中的所有用户或通过用户条件权限有权访问这些数据的用户可见。 如果未使用用户条件启用目录项,它将出现在组织中每个人的搜索结果中。
连接器支持不使用高级脚本的默认用户条件权限。 当连接器遇到具有高级脚本的用户条件时,使用该用户条件的所有数据都不会显示在搜索结果中。
如果选择“仅有权访问此数据源的人员”,则需要进一步选择 ServiceNow 实例具有Microsoft Entra ID预配用户还是非 Azure AD 用户。
若要确定哪个选项适合你的组织,请执行以下操作:
- 如果 ServiceNow 用户的Email ID 与 Microsoft Entra ID 中用户的 UserPrincipalName (UPN) 相同,请选择“Microsoft Entra ID”选项。
- 如果 ServiceNow 用户的电子邮件 ID 不同于 userPrincipalName (UPN) Microsoft Entra ID,请选择“非 Azure AD”选项。
注意
- 如果选择Microsoft Entra ID作为标识源的类型,连接器会将从 ServiceNow 获取的用户的Email ID 直接映射到Microsoft Entra ID的 UPN 属性。
- 如果为标识类型选择了“非 Azure AD”,请参阅 映射非 Azure AD 标识 以获取有关映射标识的说明。 可以使用此选项提供从 Email ID 到 UPN 的映射正则表达式。
步骤 6:分配属性标签
按照常规 设置说明进行操作。
步骤 7:管理架构
按照常规 设置说明进行操作。
步骤 8:选择刷新设置
按照常规 设置说明进行操作。
注意
对于标识,将仅应用计划的完全爬网。
步骤 9:查看连接
按照常规 设置说明进行操作。
发布连接后,需要自定义搜索结果页。 若要了解如何自定义搜索结果,请参阅 自定义搜索结果页。
限制
ServiceNow Catalog Microsoft Graph 连接器在其最新版本中具有以下限制:
- 只有“管理搜索权限”步骤下有权访问此数据源功能的人员仅处理用户条件权限。 任何其他类型的访问权限都不会在搜索结果中应用。
- 不支持在目录类别中配置的用户条件权限。
- 当前版本中不支持具有高级脚本的用户条件。 将索引具有此类访问限制的任何目录项,并拒绝所有人访问,也就是说,在我们支持他们之前,它们不会出现在任何用户的搜索结果中。
疑难解答
发布连接并自定义结果页后,可以在管理中心的“数据源”选项卡下查看状态。 若要了解如何进行更新和删除,请参阅 管理连接器。 可 在此处找到常见问题的故障排除步骤。
如果你有任何其他问题或想要提供反馈,请通过 Microsoft Graph 与我们联系 |支持