ServiceNow Catalog Microsoft Graph-Connector
Mit dem Microsoft Graph-Connector für ServiceNow kann Ihr organization Dienstkatalogelemente auflisten, die für alle Benutzer sichtbar oder mit Benutzerkriterienberechtigungen in Ihrem organization eingeschränkt sind. Nachdem Sie den Connector und den Indexinhalt von ServiceNow konfiguriert haben, können Endbenutzer auf jedem Microsoft Search-Client nach diesen Katalogelementen suchen.
Dieser Artikel richtet sich an Microsoft 365-Administratoren oder alle Personen, die einen ServiceNow Catalog Microsoft Graph-Connector konfigurieren, ausführen und überwachen. Sie ergänzt die allgemeinen Anweisungen im Artikel Einrichten von Microsoft Graph-Connectors im Microsoft 365 Admin Center. Wenn Sie dies noch nicht getan haben, lesen Sie den gesamten Artikel Einrichten Ihres Microsoft Graph-Connectors, um den allgemeinen Einrichtungsprozess zu verstehen.
Jeder Schritt im Setupprozess ist unten aufgeführt, zusammen mit einem Hinweis, der angibt, dass Sie die allgemeinen Setupanweisungen befolgen sollten, oder andere Anweisungen, die nur für den ServiceNow-Connector gelten, einschließlich Informationen zur Problembehandlung und Einschränkungen.
Schritt 1: Hinzufügen eines Connectors im Microsoft 365 Admin Center
Hinzufügen des ServiceNow-Katalogconnectors
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 2: Benennen der Verbindung
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 3: Verbindungseinstellungen
Um eine Verbindung mit Ihren ServiceNow-Daten herzustellen, benötigen Sie die ServiceNow-instance-URL Ihres organization. Die ServiceNow-instance-URL Ihres organization sieht in der Regel wie folgt aus: "https:// <ih-organization-domain.service-now>.com".
Zusammen mit dieser URL benötigen Sie ein Dienstkonto , um die Verbindung mit ServiceNow einzurichten und Es Microsoft Search zu ermöglichen, die Katalogelemente regelmäßig basierend auf dem Aktualisierungszeitplan zu aktualisieren. Das Dienstkonto benötigt Lesezugriff auf die folgenden ServiceNow-Tabellendatensätze , um verschiedene Entitäten erfolgreich durchforsten zu können.
| Feature | Erforderliche Tabellen für Lesezugriff | Beschreibung |
|---|---|---|
| Indexkatalogelemente, die für alle verfügbar sind | sc_cat_item | Zum Durchforsten von Katalogelementen |
| Indiz und Unterstützung von Benutzerkriterienberechtigungen | sc_cat_item_user_criteria_mtom | Wer auf dieses Katalogelement zugreifen kann |
| sc_cat_item_user_criteria_no_mtom | Wer kann nicht auf dieses Katalogelement zugreifen? | |
| sys_user | Benutzertabelle lesen | |
| sys_user_has_role | Lesen von Rolleninformationen von Benutzern | |
| sys_user_grmember | Lesen der Gruppenmitgliedschaft von Benutzern | |
| user_criteria | Berechtigungen zum Lesen von Benutzerkriterien | |
| sys_user_group | Lesen von Benutzergruppensegmenten | |
| sys_user_role | Lesen von Benutzerrollen | |
| cmn_location | Lesen von Standortinformationen | |
| cmn_department | Lesen von Abteilungsinformationen | |
| core_company | Lesen von Unternehmensattributen |
Sie können eine Rolle für das Dienstkonto erstellen und zuweisen , das Sie für die Verbindung mit Microsoft Search verwenden. Erfahren Sie, wie Sie Eine Rolle für ServiceNow-Konten zuweisen. Lesezugriff auf die Tabellen kann der erstellten Rolle zugewiesen werden. Informationen zum Festlegen des Lesezugriffs auf Tabellendatensätze finden Sie unter Sichern von Tabellendatensätzen.
Hinweis
Der ServiceNow Catalog-Connector kann Katalogelemente und Benutzerkriterienberechtigungen ohne erweiterte Skripts indizieren. Wenn ein Benutzerkriterium ein erweitertes Skript enthält, werden alle zugehörigen Katalogelemente in den Suchergebnissen ausgeblendet.
Um Inhalte von ServiceNow zu authentifizieren und zu synchronisieren, wählen Sie eine von drei unterstützten Methoden aus:
- Standardauthentifizierung
- ServiceNow OAuth (empfohlen)
- Microsoft Entra ID OpenID Connect
Schritt 3.1: Standardauthentifizierung
Geben Sie den Benutzernamen und das Kennwort des ServiceNow-Kontos mit der Katalogrolle ein, um sich bei Ihrem instance zu authentifizieren.
Schritt 3.2: ServiceNow OAuth
Um ServiceNow OAuth für die Authentifizierung zu verwenden, muss ein ServiceNow-Administrator einen Endpunkt in Ihrem ServiceNow-instance bereitstellen, damit die Microsoft Search-App darauf zugreifen kann. Weitere Informationen finden Sie unter Erstellen eines Endpunkts für Clients für den Zugriff auf die instance in der ServiceNow-Dokumentation.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Formulars für die Endpunkterstellung:
| Feld | Beschreibung | Empfohlener Wert |
|---|---|---|
| Name | Eindeutiger Wert, der die Anwendung identifiziert, für die Sie OAuth-Zugriff benötigen. | Microsoft Search |
| Client-ID | Eine schreibgeschützte, automatisch generierte eindeutige ID für die Anwendung. Die instance verwendet die Client-ID, wenn sie ein Zugriffstoken anfordert. | Nicht zutreffend |
| Geheimer Clientschlüssel | Mit dieser gemeinsam genutzten geheimnisigen Zeichenfolge autorisieren die ServiceNow-instance und Microsoft Search die Kommunikation miteinander. | Befolgen Sie bewährte Sicherheitsmethoden, indem Sie das Geheimnis als Kennwort behandeln. |
| Umleitungs-URL | Eine erforderliche Rückruf-URL, an die der Autorisierungsserver umleitet. | Für M365 Enterprise: https:// gcs.office.com/v1.0/admin/oauth/callback, Für M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback |
| Logo-URL | Eine URL, die das Bild für das Anwendungslogo enthält. | Nicht zutreffend |
| Aktiv | Aktivieren Sie das Kontrollkästchen, um die Anwendungsregistrierung zu aktivieren. | Auf aktiv festlegen |
| Lebensdauer des Aktualisierungstokens | Die Anzahl der Sekunden, für die ein Aktualisierungstoken gültig ist. Aktualisierungstoken laufen standardmäßig in 100 Tagen (8.640.000 Sekunden) ab. | 31.536.000 (ein Jahr) |
| Lebensdauer des Zugriffstokens | Die Anzahl der Sekunden, für die ein Zugriffstoken gültig ist. | 43.200 (12 Stunden) |
Geben Sie die Client-ID und den geheimen Clientschlüssel ein, um eine Verbindung mit Ihrem instance herzustellen. Verwenden Sie nach dem Herstellen der Verbindung anmeldeinformationen eines ServiceNow-Kontos, um die Berechtigung zum Durchforsten zu authentifizieren. Das Konto sollte mindestens über die Katalogrolle verfügen. Informationen zum Bereitstellen von Lesezugriff auf weitere ServiceNow-Tabellendatensätze und Benutzerkriterienberechtigungen finden Sie in der Tabelle zu Beginn von Schritt 3: Verbindungseinstellungen .
Schritt 3.3: Microsoft Entra ID OpenID Connect
Führen Sie die folgenden Schritte aus, um Microsoft Entra ID OpenID Connect für die Authentifizierung zu verwenden.
Schritt 3.3.1: Registrieren einer neuen Anwendung in Microsoft Entra ID
Informationen zum Registrieren einer neuen Anwendung in Microsoft Entra ID finden Sie unter Registrieren einer Anwendung. Wählen Sie organisationsverzeichnis für einen einzelnen Mandanten aus. Der Umleitungs-URI ist nicht erforderlich. Notieren Sie sich nach der Registrierung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant).
Schritt 3.3.2: Erstellen eines geheimen Clientschlüssels
Weitere Informationen zum Erstellen eines geheimen Clientschlüssels finden Sie unter Erstellen eines geheimen Clientschlüssels. Notieren Sie sich den geheimen Clientschlüssel.
Schritt 3.3.3: Abrufen des Dienstprinzipalobjektbezeichners
Führen Sie die Schritte zum Abrufen des Dienstprinzipalobjektbezeichners aus.
Führen Sie PowerShell aus.
Installieren Sie Azure PowerShell mithilfe des folgenden Befehls.
Install-Module -Name Az -AllowClobber -Scope CurrentUserStellen Sie eine Verbindung mit Azure her.
Connect-AzAccountDient zum Abrufen des Dienstprinzipalobjektbezeichners.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Ersetzen Sie "Application-ID" durch application (client) ID (ohne Anführungszeichen) der Anwendung, die Sie in Schritt 3.a registriert haben. Beachten Sie den Wert des ID-Objekts aus der PowerShell-Ausgabe. Dies ist die Dienstprinzipal-ID.
Nun verfügen Sie über alle erforderlichen Informationen aus Azure-Portal. Eine kurze Zusammenfassung der Informationen finden Sie in der folgenden Tabelle.
| Eigenschaft | Beschreibung |
|---|---|
| Verzeichnis-ID (Mandanten-ID) | Eindeutige ID des Microsoft Entra Mandanten aus Schritt 3.a. |
| Anwendungs-ID (Client-ID) | Eindeutige ID der Anwendung, die in Schritt 3.a registriert wurde. |
| Geheimer Clientschlüssel | Der geheime Schlüssel der Anwendung (aus Schritt 3.b). Behandeln Sie es wie ein Kennwort. |
| Dienstprinzipal-ID | Eine Identität für die Anwendung, die als Dienst ausgeführt wird. (aus Schritt 3.c) |
Schritt 3.3.4: Registrieren der ServiceNow-Anwendung
Die ServiceNow-instance benötigt die folgende Konfiguration:
Registrieren Sie eine neue OAuth-OIDC-Entität. Weitere Informationen finden Sie unter Erstellen eines OAuth-OIDC-Anbieters.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Registrierungsformulars für OIDC-Anbieter.
Feld Beschreibung Empfohlener Wert Name Ein eindeutiger Name, der die OAuth-OIDC-Entität identifiziert. Microsoft Entra-ID Client-ID Die Client-ID der Anwendung, die auf dem OAuth-OIDC-Server eines Drittanbieters registriert ist. Die instance verwendet beim Anfordern eines Zugriffstokens die Client-ID. Anwendungs-ID (Client) aus Schritt 3.a Geheimer Clientschlüssel Der geheime Clientschlüssel der Anwendung, die auf dem OAuth-OIDC-Server eines Drittanbieters registriert ist. Geheimer Clientschlüssel aus Schritt 3.b Für alle anderen Werte kann der Standardwert verwendet werden.
Im Registrierungsformular für den OIDC-Anbieter müssen Sie eine neue OIDC-Anbieterkonfiguration hinzufügen. Wählen Sie das Suchsymbol im Feld OAuth OIDC Provider Configuration (OAuth-OIDC-Anbieterkonfiguration ) aus, um die Datensätze der OIDC-Konfigurationen zu öffnen. Wählen Sie Neu aus.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Konfigurationsformulars für den OIDC-Anbieter.
Feld Empfohlener Wert OIDC-Anbieter Microsoft Entra-ID OIDC-Metadaten-URL Die URL muss das Format https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration aufweisen.
Ersetzen Sie "tenantID" durch die Verzeichnis-ID (Mandant) aus Schritt 3.a.Lebensdauer des OIDC-Konfigurationscaches 120 App Global Benutzeranspruch Sub Benutzerfeld Benutzer-ID Aktivieren der JTI-Anspruchsüberprüfung Deaktiviert Wählen Sie Senden und Aktualisieren des OAuth OIDC-Entitätsformulars aus.
Schritt 3.3.5: Erstellen eines ServiceNow-Kontos
Lesen Sie die Anweisungen zum Erstellen eines ServiceNow-Kontos und zum Erstellen eines Benutzers in ServiceNow.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen der Registrierung des ServiceNow-Benutzerkontos.
| Feld | Empfohlener Wert |
|---|---|
| Benutzer-ID | Dienstprinzipal-ID aus Schritt 3.c |
| Nur Webdienstzugriff | Checked |
Für alle anderen Werte kann die Standardeinstellung beibehalten werden.
Schritt 3.3.6: Aktivieren der Katalogrolle für das ServiceNow-Konto
Greifen Sie mit der ServiceNow-Prinzipal-ID als Benutzer-ID auf das von Ihnen erstellte ServiceNow-Konto zu, und weisen Sie die Katalogrolle zu. Anweisungen zum Zuweisen einer Rolle zu einem ServiceNow-Konto finden Sie hier. Weisen Sie einem Benutzer eine Rolle zu. Informationen zum Bereitstellen von Lesezugriff auf weitere ServiceNow-Tabellendatensätze und Benutzerkriterienberechtigungen finden Sie in der Tabelle zu Beginn von Schritt 3: Verbindungseinstellungen .
Verwenden Sie die Anwendungs-ID als Client-ID (aus Schritt 3.a) und den geheimen Clientschlüssel (aus Schritt 3.b) im Admin Center-Konfigurations-Assistent, um sich mit Microsoft Entra ID OpenID Connect bei Ihrem ServiceNow-instance zu authentifizieren.
Schritt 4: Auswählen von Eigenschaften und Filtern von Daten
In diesem Schritt können Sie ihrer ServiceNow-Datenquelle verfügbare Eigenschaften hinzufügen oder daraus entfernen. Microsoft 365 hat bereits standardmäßig einige Eigenschaften ausgewählt.
Mit einer ServiceNow-Abfragezeichenfolge können Sie Bedingungen für die Synchronisierung von Artikeln angeben. Sie ähnelt einer Where-Klausel in einer SQL Select-Anweisung . Beispielsweise können Sie auswählen, dass nur aktive Elemente indiziert werden sollen. Informationen zum Erstellen einer eigenen Abfragezeichenfolge finden Sie unter Generieren einer codierten Abfragezeichenfolge mithilfe eines Filters.
Verwenden Sie die Schaltfläche "Vorschauergebnisse", um die Beispielwerte der ausgewählten Eigenschaften und des Abfragefilters zu überprüfen.
Schritt 5: Verwalten von Suchberechtigungen
Der ServiceNow-Connector unterstützt Suchberechtigungen, die für "Jeder " oder "Nur Personen mit Zugriff auf diese Datenquelle" sichtbar sind. Indizierte Daten werden in den Suchergebnissen angezeigt und sind für alle Benutzer im organization bzw. Benutzer sichtbar, die über die Berechtigung "Benutzerkriterien" darauf zugreifen können. Wenn ein Katalogelement nicht mit einem Benutzerkriterium aktiviert ist, wird es in den Suchergebnissen aller Personen im organization angezeigt.
Der Connector unterstützt Standardberechtigungen für Benutzerkriterien ohne erweiterte Skripts. Wenn der Connector auf ein Benutzerkriterium mit erweitertem Skript stößt, werden alle Daten, die diese Benutzerkriterien verwenden, nicht in den Suchergebnissen angezeigt.
Wenn Sie Nur Personen mit Zugriff auf diese Datenquelle auswählen, müssen Sie weiter auswählen, ob Ihr ServiceNow-instance über Microsoft Entra bereitgestellte ID-Benutzer oder Nicht-Azure AD-Benutzer verfügt.
So ermitteln Sie, welche Option für Ihre organization geeignet ist:
- Wählen Sie die Option Microsoft Entra ID aus, wenn die Email-ID der ServiceNow-Benutzer mit dem UserPrincipalName (UPN) von Benutzern in Microsoft Entra ID identisch ist.
- Wählen Sie die Option Nicht-Azure AD aus, wenn sich die E-Mail-ID der ServiceNow-Benutzer von der UserPrincipalName (UPN) der Benutzer in Microsoft Entra-ID unterscheidet.
Hinweis
- Wenn Sie Microsoft Entra ID als Typ der Identitätsquelle auswählen, ordnet der Connector die Email IDs von Benutzern, die von ServiceNow direkt abgerufen wurden, der UPN-Eigenschaft aus Microsoft Entra ID zu.
- Wenn Sie für den Identitätstyp "Non-Azure AD" (Nicht-Azure AD) ausgewählt haben, finden Sie anweisungen zum Zuordnen der Identitäten unter Zuordnen Ihrer Nicht-Azure AD-Identitäten . Sie können diese Option verwenden, um den regulären Zuordnungsausdruck von Email-ID zum UPN bereitzustellen.
Schritt 6: Zuweisen von Eigenschaftenbezeichnungen
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 7: Verwalten des Schemas
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 8: Auswählen der Aktualisierungseinstellungen
Befolgen Sie die allgemeinen Setupanweisungen.
Hinweis
Für Identitäten wird nur die geplante vollständige Durchforstung angewendet.
Schritt 9: Überprüfen der Verbindung
Befolgen Sie die allgemeinen Setupanweisungen.
Nachdem Sie die Verbindung veröffentlicht haben, müssen Sie die Suchergebnisseite anpassen. Informationen zum Anpassen von Suchergebnissen finden Sie unter Anpassen der Suchergebnisseite.
Begrenzungen
Der ServiceNow-Katalog-Microsoft Graph-Connector weist in seiner neuesten Version die folgenden Einschränkungen auf:
- Nur Personen mit Zugriff auf diese Datenquellenfunktion im Schritt Suchberechtigungen verwalten verarbeiten nur Benutzerkriterienberechtigungen . Andere Arten von Zugriffsberechtigungen werden in den Suchergebnissen nicht angewendet.
- Benutzerkriterienberechtigungen, die für die Katalogkategorie konfiguriert sind, werden nicht unterstützt.
- Benutzerkriterien mit erweiterten Skripts werden in der aktuellen Version nicht unterstützt. Alle Katalogelemente mit einer solchen Zugriffsbeschränkung werden mit dem Zugriff verweigert, d. h., sie werden in den Suchergebnissen für keinen Benutzer angezeigt, bis wir sie unterstützen.
Problembehandlung
Nachdem Sie Ihre Verbindung veröffentlicht haben und die Ergebnisseite angepasst haben, können Sie die status auf der Registerkarte Datenquellen im Admin Center überprüfen. Informationen zum Durchführen von Updates und Löschungen finden Sie unter Verwalten ihres Connectors. Unten finden Sie Schritte zur Problembehandlung für häufig auftretende Probleme.
1. Anmeldung aufgrund von ServiceNow-instance für einmaliges Anmelden nicht möglich
Wenn Ihr organization das einmalige Anmelden (Single Sign-On, SSO) bei ServiceNow aktiviert hat, haben Sie möglicherweise Probleme bei der Anmeldung mit dem Dienstkonto. Sie können benutzernamen- und kennwortbasierte Anmeldungen aufrufen, indem Sie der ServiceNow-instance-URL hinzufügen login.do. Beispiel: https://<your-organization-domain>.service-now.com./login.do.
2. Nicht autorisierte oder verbotene Antwort auf API-Anforderung
2.1. Überprüfen der Zugriffsberechtigungen für Tabellen
Wenn in verbindung status eine unzulässige oder nicht autorisierte Antwort angezeigt wird, überprüfen Sie, ob das Dienstkonto Zugriff auf die in Schritt 3: Verbindungseinstellungen erwähnten Tabellen benötigt. Überprüfen Sie, ob alle Spalten in den Tabellen Lesezugriff haben.
2.2. Ändern des Kontokennworts
Der Connector verwendet zugriffstoken, das im Auftrag des Dienstkontos für die Durchforstung abgerufen wurde. Das Zugriffstoken wird alle 12 Stunden aktualisiert. Stellen Sie sicher, dass das Kennwort des Dienstkontos nach dem Veröffentlichen der Verbindung nicht geändert wird. Möglicherweise müssen Sie die Verbindung erneut authentifizieren, wenn das Kennwort geändert wird.
2.3. Überprüfen Sie, ob ServiceNow instance hinter einer Firewall liegt.
Ihr Microsoft Graph-Connector kann Ihre ServiceNow-instance möglicherweise nicht erreichen, wenn er sich hinter einer Netzwerkfirewall befindet. Sie müssen den Zugriff auf den Connectordienst explizit zulassen. In der folgenden Tabelle finden Sie den öffentlichen IP-Adressbereich des Connectordiensts. Fügen Sie sie basierend auf Ihrer Mandantenregion ihrer ServiceNow-instance-Netzwerk-Positivliste hinzu.
| Umgebung | Region | Bereich |
|---|---|---|
| PROD | Nordamerika | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asiatisch-pazifischer Raum | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Zugriffsberechtigungen funktionieren nicht wie erwartet
Wenn Sie Abweichungen bei den Zugriffsberechtigungen feststellen, die auf Suchergebnisse angewendet werden, überprüfen Sie die Benutzerkriterienkonfiguration beim Anwenden von Benutzerkriterien auf Katalogelemente.
3. Probleme mit Nur Personen mit Zugriff auf diese Datenquellenberechtigung
3.1 Nur Personen mit Zugriff auf diese Datenquelle kann nicht ausgewählt werden
Möglicherweise können Sie die Option Nur Personen mit Zugriff auf diese Datenquelle nicht auswählen, wenn das Dienstkonto nicht über Leseberechtigungen für die erforderlichen Tabellen in Schritt 3: Verbindungseinstellungen verfügt. Überprüfen Sie, ob das Dienstkonto tabellen lesen kann, die unter Index erwähnt werden, und unterstützen Benutzerkriterienberechtigungen .
3.2 Fehler bei der Benutzerzuordnung
ServiceNow-Benutzerkonten ohne Microsoft 365-Benutzer in Microsoft Entra ID werden nicht zugeordnet. Es wird erwartet, dass die Benutzerzuordnung bei Dienstkonten fehlschlägt, die nicht von Benutzern stammen. Die Anzahl der Benutzerzuordnungsfehler, auf die im Bereich "Identitätsstatistiken" im Verbindungsdetailsfenster zugegriffen werden kann. Das Protokoll fehlerhafter Benutzerzuordnungen kann von der Registerkarte Fehler heruntergeladen werden.
4. Probleme mit dem Benutzerkriterien-Zugriffsflow
Wenn bei der Überprüfung der Benutzerkriterien zwischen ServiceNow und Microsoft Search Unterschiede angezeigt werden, legen Sie die Systemeigenschaft auf fest glide.knowman.block_access_with_no_user_criteriano.
Wenn Sie andere Probleme haben oder Feedback geben möchten, schreiben Sie uns aka.ms/TalkToGraphConnectors