Microsoft Graph-Connector für ServiceNow Tickets
Mit dem Microsoft Graph-Connector für ServiceNow Tickets können Ihre organization verschiedene Tickets indizieren, die für Benutzer gewartet werden. Nachdem Sie den Connector und den Indexinhalt von ServiceNow konfiguriert haben, können Endbenutzer von jedem Microsoft Search-Client aus nach diesen Tickets suchen.
Dieser Artikel richtet sich an Microsoft 365-Administratoren oder alle, die einen ServiceNow Tickets Graph-Connector konfigurieren, ausführen und überwachen. Sie ergänzt die allgemeinen Anweisungen im Artikel Einrichten von Microsoft Graph-Connectors im Microsoft 365 Admin Center. Wenn Sie dies noch nicht getan haben, lesen Sie den gesamten Artikel "Einrichten Ihres Graph-Connectors", um den allgemeinen Einrichtungsprozess zu verstehen.
Jeder Schritt im Setupprozess ist unten aufgeführt, zusammen mit einem Hinweis, der angibt, dass Sie die allgemeinen Setupanweisungen befolgen sollten, oder andere Anweisungen, die nur für ServiceNow-Connector gelten, einschließlich Informationen zur Problembehandlung und Einschränkungen.
Schritt 1: Hinzufügen eines Connectors im Microsoft 365 Admin Center.
Hinzufügen des ServiceNow Tickets-Connectors
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 2: Benennen Sie die Verbindung.
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 3: Verbindungseinstellungen
Um eine Verbindung mit Ihren ServiceNow-Daten herzustellen, benötigen Sie die ServiceNow-instance-URL Ihres organization. Die ServiceNow-instance-URL Ihres organization sieht in der Regel wie https://< ihre-organization-domain.service-now.com> aus.
Zusammen mit dieser URL benötigen Sie ein Dienstkonto , um die Verbindung mit ServiceNow einzurichten und Microsoft Search das regelmäßige Aktualisieren der Ticketdetails basierend auf dem Aktualisierungszeitplan zu ermöglichen.
In ServiceNow ist die Tasktabelle die Basisklasse für die Ticketverwaltung. Sie kann erweitert werden, um Ticketanwendungen wie Incident-, Problem- und Change Management zu erstellen. Erfahren Sie mehr über ServiceNow-Aufgabentabellen.
Das Dienstkonto, das Sie zum Konfigurieren einer Verbindung verwenden, muss über Lesezugriff auf die folgenden ServiceNow-Tabellendatensätze verfügen , um Standardticketfelder erfolgreich durchforsten zu können.
| Feature | Erforderliche Tabellen für Lesezugriff | Beschreibung |
|---|---|---|
| IndexbasisFelder der Tasktabelle | task |
Zum Durchforsten von Standardfeldern aus standardmäßigen Tasktabellen |
| Synchronisieren von Benutzertabellen | sys_user |
So indizieren Sie Benutzerzugriffsdetails für Tickets |
Wenn Sie benutzerdefinierte Eigenschaften aus erweiterten Aufgabentabellen indizieren möchten, gewähren Sie Lesezugriff auf sys_dictionary und sys_db_object. Es ist ein optionales Feature. Sie können Aufgabentabelleneigenschaften ohne Zugriff auf die beiden zusätzlichen Tabellen indizieren.
| Feature | Erforderliche Tabellen für Lesezugriff | Beschreibung |
|---|---|---|
| Auswählen einer benutzerdefinierten Tabelle aus Ihrem organization | sys_db_object |
Suchen der Liste der erweiterten Aufgabentabellen einschließlich benutzerdefinierter Tabellen |
| Indizieren von benutzerdefinierten Feldern aus einem bestimmten <table_name> | sys_dictionary |
Durchforsten benutzerdefinierter Felder aus einer bestimmten Tabelle wie Incident, Problem oder change_management |
Sie können eine Rolle für das Dienstkonto erstellen und zuweisen , das Sie für die Verbindung mit Microsoft Search verwenden. Erfahren Sie, wie Sie Eine Rolle für ServiceNow-Konten zuweisen. Lesezugriff auf die Tabellen kann für die erstellte Rolle bereitgestellt werden. Informationen zum Festlegen des Lesezugriffs auf Tabellendatensätze finden Sie unter Sichern von Tabellendatensätzen.
Um Inhalte von ServiceNow zu authentifizieren und zu synchronisieren, wählen Sie eine von drei unterstützten Methoden aus:
- Standardauthentifizierung
- ServiceNow OAuth (empfohlen)
- Microsoft Entra ID OpenID Connect
Schritt 3.1: Standardauthentifizierung
Geben Sie den Benutzernamen und das Kennwort des ServiceNow-Kontos mit Lesezugriff task auf und sys_user tabellen ein, um sich bei Ihrem instance zu authentifizieren.
Schritt 3.2: ServiceNow OAuth
Um ServiceNow OAuth verwenden zu können, muss ein ServiceNow-Administrator einen Endpunkt in Ihrer ServiceNow-instance bereitstellen. Danach kann die Microsoft Search-App darauf zugreifen. Weitere Informationen finden Sie unter Erstellen eines Endpunkts für Clients für den Zugriff auf die instance in der ServiceNow-Dokumentation.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Formulars für die Endpunkterstellung:
| Feld | Beschreibung | Empfohlener Wert |
|---|---|---|
| Name | Eindeutiger Wert, der die Anwendung identifiziert, für die Sie OAuth-Zugriff benötigen. | Microsoft Search |
| Client-ID | Eine schreibgeschützte, automatisch generierte eindeutige ID für die Anwendung. Die instance verwendet die Client-ID, wenn sie ein Zugriffstoken anfordert. | – |
| Geheimer Clientschlüssel | Mit dieser gemeinsam genutzten geheimnisigen Zeichenfolge autorisieren die ServiceNow-instance und Microsoft Search die Kommunikation miteinander. | Befolgen Sie bewährte Sicherheitsmethoden, indem Sie das Geheimnis als Kennwort behandeln. |
| Umleitungs-URL | Eine erforderliche Rückruf-URL, an die der Autorisierungsserver umleitet. | https://gcs.office.com/v1.0/admin/oauth/callback |
| Logo-URL | Eine URL, die das Bild für das Anwendungslogo enthält. | – |
| Aktiv | Aktivieren Sie das Kontrollkästchen, um die Anwendungsregistrierung zu aktivieren. | Auf aktiv festlegen |
| Lebensdauer des Aktualisierungstokens | Die Anzahl der Sekunden, für die ein Aktualisierungstoken gültig ist. Aktualisierungstoken laufen standardmäßig in 100 Tagen (8.640.000 Sekunden) ab. | 31.536.000 (ein Jahr) |
| Lebensdauer des Zugriffstokens | Die Anzahl der Sekunden, für die ein Zugriffstoken gültig ist. | 43.200 (12 Stunden) |
Geben Sie die Client-ID und den geheimen Clientschlüssel ein, um eine Verbindung mit Ihrem instance herzustellen. Verwenden Sie nach dem Herstellen der Verbindung anmeldeinformationen eines ServiceNow-Kontos, um die Berechtigung zum Durchforsten zu authentifizieren. Das Konto sollte mindestens über Lesezugriff auf task die Tabellen und sys_user verfügen. Informationen zum Bereitstellen von Lesezugriff auf weitere ServiceNow-Tabellendatensätze und Benutzerkriterienberechtigungen finden Sie in der Tabelle zu Beginn von Schritt 3: Verbindungseinstellungen .
Schritt 3.3: Microsoft Entra ID OpenID Connect
Führen Sie die folgenden Schritte aus, um Microsoft Entra ID OpenID Connect für die Authentifizierung zu verwenden.
Schritt 3.3.1: Registrieren einer neuen Anwendung in Microsoft Entra ID
Informationen zum Registrieren einer neuen Anwendung in Microsoft Entra ID finden Sie unter Registrieren einer Anwendung. Wählen Sie organisationsverzeichnis für einen einzelnen Mandanten aus. Der Umleitungs-URI ist nicht erforderlich. Notieren Sie sich nach der Registrierung die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID).
Schritt 3.3.2: Erstellen eines geheimen Clientschlüssels
Weitere Informationen zum Erstellen eines geheimen Clientschlüssels finden Sie unter Erstellen eines geheimen Clientschlüssels. Notieren Sie sich den geheimen Clientschlüssel.
Schritt 3.3.3: Abrufen des Dienstprinzipalobjektbezeichners
Führen Sie die Schritte zum Abrufen des Dienstprinzipalobjektbezeichners aus.
Führen Sie PowerShell aus.
Installieren Sie Azure PowerShell mithilfe des folgenden Befehls.
Install-Module -Name Az -AllowClobber -Scope CurrentUserStellen Sie eine Verbindung mit Azure her.
Connect-AzAccountDient zum Abrufen des Dienstprinzipalobjektbezeichners.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Ersetzen Sie "Application-ID" durch application (client) ID (ohne Anführungszeichen) der Anwendung, die Sie in Schritt 3.a registriert haben. Beachten Sie den Wert des ID-Objekts aus der PowerShell-Ausgabe. Dies ist die Dienstprinzipal-ID.
Nun verfügen Sie über alle erforderlichen Informationen aus Azure-Portal. Eine kurze Zusammenfassung der Informationen finden Sie in der folgenden Tabelle.
| Eigenschaft | Beschreibung |
|---|---|
| Verzeichnis-ID (Mandanten-ID) | Eindeutige ID des Microsoft Entra Mandanten aus Schritt 3.a. |
| Anwendungs-ID (Client-ID) | Eindeutige ID der Anwendung, die in Schritt 3.a registriert wurde. |
| Geheimer Clientschlüssel | Der geheime Schlüssel der Anwendung (aus Schritt 3.b). Behandeln Sie es wie ein Kennwort. |
| Dienstprinzipal-ID | Eine Identität für die Anwendung, die als Dienst ausgeführt wird. (aus Schritt 3.c) |
Schritt 3.3.4: Registrieren der ServiceNow-Anwendung
Die ServiceNow-instance benötigt die folgende Konfiguration:
Registrieren Sie eine neue OAuth-OIDC-Entität. Weitere Informationen finden Sie unter Erstellen eines OAuth-OIDC-Anbieters.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Registrierungsformulars für OIDC-Anbieter.
Feld Beschreibung Empfohlener Wert Name Ein eindeutiger Name, der die OAuth-OIDC-Entität identifiziert. Microsoft Entra-ID Client-ID Die Client-ID der Anwendung, die auf dem OAuth-OIDC-Server eines Drittanbieters registriert ist. Die instance verwendet beim Anfordern eines Zugriffstokens die Client-ID. Anwendungs-ID (Client) aus Schritt 3.a Geheimer Clientschlüssel Der geheime Clientschlüssel der Anwendung, die auf dem OAuth-OIDC-Server eines Drittanbieters registriert ist. Geheimer Clientschlüssel aus Schritt 3.b Für alle anderen Werte kann der Standardwert verwendet werden.
Im Registrierungsformular für den OIDC-Anbieter müssen Sie eine neue OIDC-Anbieterkonfiguration hinzufügen. Wählen Sie das Suchsymbol im Feld OAuth OIDC Provider Configuration (OAuth-OIDC-Anbieterkonfiguration ) aus, um die Datensätze der OIDC-Konfigurationen zu öffnen. Wählen Sie Neu aus.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen des Konfigurationsformulars für den OIDC-Anbieter.
Feld Empfohlener Wert OIDC-Anbieter Microsoft Entra-ID OIDC-Metadaten-URL Die URL muss das Format https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration aufweisen.
Ersetzen Sie "tenantID" durch Verzeichnis-ID (Mandanten-ID) aus Schritt 3.a.Lebensdauer des OIDC-Konfigurationscaches 120 App Global Benutzeranspruch Sub Benutzerfeld Benutzer-ID Aktivieren der JTI-Anspruchsüberprüfung Deaktiviert Wählen Sie Senden und Aktualisieren des OAuth OIDC-Entitätsformulars aus.
Schritt 3.3.5: Erstellen eines ServiceNow-Kontos
Lesen Sie die Anweisungen zum Erstellen eines ServiceNow-Kontos und zum Erstellen eines Benutzers in ServiceNow.
Die folgende Tabelle enthält Anleitungen zum Ausfüllen der Registrierung des ServiceNow-Benutzerkontos.
| Feld | Empfohlener Wert |
|---|---|
| Benutzer-ID | Dienstprinzipal-ID aus Schritt 3.c |
| Nur Webdienstzugriff | Checked |
Für alle anderen Werte kann die Standardeinstellung beibehalten werden.
Schritt 3.3.6: Aktivieren der Aufgabe, Benutzertabellenzugriff für das ServiceNow-Konto
Greifen Sie auf das von Ihnen erstellte ServiceNow-Konto mit der ServiceNow-Prinzipal-ID als Benutzer-ID zu, und weisen Sie den Lesezugriff auf und sys_user die Tabelle zutask. Informationen zum Bereitstellen des Lesezugriffs auf weitere ServiceNow-Tabellendatensätze und benutzerdefinierte Indexfelder finden Sie in der Tabelle zu Beginn von Schritt 3: Verbindungseinstellungen .
Verwenden Sie die Anwendungs-ID als Client-ID (aus Schritt 3.a) und den geheimen Clientschlüssel (aus Schritt 3.b) im Konfigurationsfenster des M365 Admin Centers, um sich mit Microsoft Entra ID OpenID Connect bei Ihrem ServiceNow-instance zu authentifizieren.
Schritt 4: Auswählen von Tabellen, Eigenschaften und Filtern von Daten
In diesem Schritt können Sie ihrer ServiceNow-Datenquelle verfügbare Tabellen und Eigenschaften hinzufügen oder daraus entfernen. Microsoft 365 hat bereits standardmäßig einige Tabellen und Eigenschaften ausgewählt.
Mit einer ServiceNow-Abfragezeichenfolge können Sie Bedingungen für die Synchronisierung von Tickets angeben. Sie ähnelt einer Where-Klausel in einer SQL Select-Anweisung . Sie können beispielsweise auswählen, dass nur Tickets indiziert werden sollen, die in den letzten sechs Monaten erstellt wurden und sich im geöffneten Zustand befinden. Informationen zum Erstellen einer eigenen Abfragezeichenfolge finden Sie unter Generieren einer codierten Abfragezeichenfolge mithilfe eines Filters.
Verwenden Sie die Schaltfläche "Vorschauergebnisse", um die Beispielwerte der ausgewählten Eigenschaften und des Abfragefilters zu überprüfen.
Schritt 5: Verwalten von Suchberechtigungen
Der ServiceNow Tickets Graph-Connector unterstützt Suchberechtigungen, die nur für Personen mit Zugriff auf diese Datenquelle sichtbar sind. Indizierte Tickets werden in den Suchergebnissen angezeigt und sind für Benutzer sichtbar, die über assigned_to die Felder und opened_by darauf zugreifen können.
Wenn Sie Nur Personen mit Zugriff auf diese Datenquelle auswählen, müssen Sie weiter auswählen, ob Ihr ServiceNow-instance über Microsoft Entra ID bereitgestellte Benutzer oder Nicht-Azure AD-Benutzer verfügt.
So ermitteln Sie, welche Option für Ihre organization geeignet ist:
- Wählen Sie die Option Microsoft Entra ID aus, wenn die Email-ID der ServiceNow-Benutzer mit dem UserPrincipalName (UPN) von Benutzern in Microsoft Entra ID identisch ist.
- Wählen Sie die Option Nicht-Azure AD aus, wenn sich die E-Mail-ID der ServiceNow-Benutzer von der UserPrincipalName (UPN) der Benutzer in Microsoft Entra ID unterscheidet.
Hinweis
- Wenn Sie Microsoft Entra ID als Typ der Identitätsquelle auswählen, ordnet der Connector die Email IDs von Benutzern, die von ServiceNow direkt abgerufen wurden, der UPN-Eigenschaft aus Microsoft Entra ID zu.
- Wenn Sie für den Identitätstyp "Non-Azure AD" (Nicht-Azure AD) ausgewählt haben, finden Sie anweisungen zum Zuordnen der Identitäten unter Zuordnen Ihrer Nicht-Azure AD-Identitäten . Sie können diese Option verwenden, um den regulären Zuordnungsausdruck von Email-ID zum UPN bereitzustellen.
- Updates für Benutzer oder Gruppen, die Zugriffsberechtigungen steuern, werden nur in vollständigen Durchforstungen synchronisiert. Inkrementelle Durchforstungen unterstützen derzeit keine Verarbeitung von Updates für Berechtigungen.
Schritt 6: Zuweisen von Eigenschaftenbezeichnungen
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 7: Verwalten des Schemas
Befolgen Sie die allgemeinen Setupanweisungen.
Schritt 8: Auswählen der Aktualisierungseinstellungen
Befolgen Sie die allgemeinen Setupanweisungen.
Hinweis
Für Identitäten wird nur die geplante vollständige Durchforstung angewendet.
Schritt 9: Überprüfen der Verbindung
Befolgen Sie die allgemeinen Setupanweisungen.
Nachdem Sie die Verbindung veröffentlicht haben, müssen Sie die Suchergebnisseite anpassen. Informationen zum Anpassen von Suchergebnissen finden Sie unter Anpassen der Suchergebnisseite.
Begrenzungen
Der Microsoft Graph-Connector serviceNow Tickets weist in seiner neuesten Version die folgenden Einschränkungen auf:
- Das Feature "Jeder " im Schritt "Suchberechtigungen verwalten" verarbeitet keine Berechtigungen. Wählen Sie diese Option nur dann aus, wenn Sie die Verbindung zwischen ausgewählten Teammitgliedern in einer isolierten Umgebung testen möchten.
Problembehandlung
Nachdem Sie Ihre Verbindung veröffentlicht haben und die Ergebnisseite angepasst haben, können Sie die status auf der Registerkarte Datenquellen im Admin Center überprüfen. Informationen zum Durchführen von Updates und Löschungen finden Sie unter Verwalten ihres Connectors. Unten finden Sie Schritte zur Problembehandlung für häufig auftretende Probleme.
1. Anmeldung nicht möglich, da ServiceNow instance für einmaliges Anmelden aktiviert ist
Wenn Ihr organization das einmalige Anmelden (Single Sign-On, SSO) bei ServiceNow aktiviert hat, haben Sie möglicherweise Probleme bei der Anmeldung mit dem Dienstkonto. Sie können benutzernamen- und kennwortbasierte Anmeldungen aufrufen, indem Sie der ServiceNow-instance-URL hinzufügen login.do. Beispiel. https://<your-organization-domain>.service-now.com./login.do
2. Nicht autorisierte oder verbotene Antwort auf API-Anforderung
2.1. Überprüfen der Zugriffsberechtigungen für Tabellen
Wenn in verbindung status eine unzulässige oder nicht autorisierte Antwort angezeigt wird, überprüfen Sie, ob das Dienstkonto Zugriff auf die in Schritt 3: Verbindungseinstellungen erwähnten Tabellen benötigt. Überprüfen Sie, ob alle Spalten in den Tabellen Lesezugriff haben.
2.2. Ändern des Kontokennworts
Der Microsoft Graph-Connector verwendet zugriffstoken, das im Auftrag des Dienstkontos für die Durchforstung abgerufen wird. Das Zugriffstoken wird alle 12 Stunden aktualisiert. Stellen Sie sicher, dass das Kennwort des Dienstkontos nach dem Veröffentlichen der Verbindung nicht geändert wird. Möglicherweise müssen Sie die Verbindung erneut authentifizieren, wenn das Kennwort geändert wird.
2.3. Überprüfen Sie, ob ServiceNow instance hinter einer Firewall liegt.
Der Microsoft Graph-Connector kann Ihre ServiceNow-instance möglicherweise nicht erreichen, wenn er sich hinter einer Netzwerkfirewall befindet. Sie müssen den Zugriff auf den Connectordienst explizit zulassen. In der folgenden Tabelle finden Sie den öffentlichen IP-Adressbereich des Connectordiensts. Fügen Sie sie basierend auf Ihrer Mandantenregion ihrer ServiceNow-instance-Netzwerk-Positivliste hinzu.
| Umgebung | Region | Range |
|---|---|---|
| PROD | Nordamerika | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asiatisch-pazifischer Raum | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Zugriffsberechtigungen funktionieren nicht wie erwartet
Wenn Sie Abweichungen bei den Zugriffsberechtigungen feststellen, die auf Suchergebnisse angewendet werden, überprüfen Sie, ob der Suchbenutzer Teil der assigned_to Felder und opened_by ist.
3. Probleme mit Nur Personen mit Zugriff auf diese Datenquellenberechtigung
3.1 Fehler bei der Benutzerzuordnung
ServiceNow-Benutzerkonten ohne Microsoft 365-Benutzer in Microsoft Entra ID werden nicht zugeordnet. Es wird erwartet, dass die Benutzerzuordnung bei Dienstkonten fehlschlägt, die nicht von Benutzern stammen. Die Anzahl der Benutzerzuordnungsfehler, auf die im Bereich "Identitätsstatistiken" im Verbindungsdetailsfenster zugegriffen werden kann. Das Protokoll fehlerhafter Benutzerzuordnungen kann von der Registerkarte Fehler heruntergeladen werden.