Conector de Microsoft Graph del catálogo de ServiceNow
Con el conector de Microsoft Graph para ServiceNow, su organización puede enumerar los elementos del catálogo de servicios que son visibles para todos los usuarios o restringidos con permisos de criterios de usuario dentro de la organización. Después de configurar el conector y el contenido de índice de ServiceNow, los usuarios finales pueden buscar esos elementos de catálogo desde cualquier cliente de Microsoft Search.
Este artículo está destinado a administradores de Microsoft 365 o a cualquier persona que configure, ejecute y supervise un conector de Microsoft Graph del catálogo de ServiceNow. Complementa las instrucciones generales que se proporcionan en el artículo Configuración de conectores de Microsoft Graph en el Centro de administración de Microsoft 365. Si aún no lo ha hecho, lea todo el artículo Configuración del conector de Microsoft Graph para comprender el proceso de instalación general.
Cada paso del proceso de instalación se muestra a continuación junto con una nota que indica que debe seguir las instrucciones de configuración general u otras instrucciones que se aplican solo al conector de ServiceNow, incluida la información sobre la solución de problemas y las limitaciones.
Paso 1: Agregar un conector en el Centro de administración de Microsoft 365
Incorporación del conector de catálogo de ServiceNow
Siga las instrucciones generales de configuración.
Paso 2: Asignar un nombre a la conexión
Siga las instrucciones generales de configuración.
Paso 3: Configuración de conexión
Para conectarse a los datos de ServiceNow, necesita la dirección URL de la instancia de ServiceNow de su organización. La dirección URL de la instancia de ServiceNow de su organización suele tener el siguiente aspecto: "https:// <your-organization-domain.service-now>.com".
Junto con esta dirección URL, necesitará una cuenta de servicio para configurar la conexión a ServiceNow y para permitir que Microsoft Search actualice periódicamente los elementos del catálogo en función de la programación de actualización. La cuenta de servicio necesitará acceso de lectura a los siguientes registros de tabla de ServiceNow para rastrear correctamente varias entidades.
| Característica | Tablas necesarias de acceso de lectura | Descripción |
|---|---|---|
| Indexación de elementos de catálogo disponibles para todos | sc_cat_item | Para rastrear elementos de catálogo |
| Indexación y compatibilidad con permisos de criterios de usuario | sc_cat_item_user_criteria_mtom | Quién puede acceder a este elemento de catálogo |
| sc_cat_item_user_criteria_no_mtom | Quién no puede acceder a este elemento de catálogo | |
| sys_user | Leer tabla de usuario | |
| sys_user_has_role | Leer la información de rol de los usuarios | |
| sys_user_grmember | Lectura de la pertenencia a grupos de usuarios | |
| user_criteria | Leer permisos de criterios de usuario | |
| sys_user_group | Leer segmentos de grupo de usuarios | |
| sys_user_role | Leer roles de usuario | |
| cmn_location | Leer información de ubicación | |
| cmn_department | Leer información del departamento | |
| core_company | Leer atributos de empresa |
Puede crear y asignar un rol para la cuenta de servicio que use para conectarse a Microsoft Search. Obtenga información sobre cómo asignar un rol para las cuentas de ServiceNow. El acceso de lectura a las tablas se puede asignar en el rol creado. Para obtener información sobre cómo establecer el acceso de lectura a los registros de tabla, consulte Protección de registros de tabla.
Nota:
El conector del catálogo de ServiceNow puede indexar elementos de catálogo y permisos de criterios de usuario sin scripts avanzados. Si un criterio de usuario contiene un script avanzado, todos los elementos de catálogo relacionados se ocultarán de los resultados de la búsqueda.
Para autenticar y sincronizar contenido desde ServiceNow, elija uno de los tres métodos admitidos:
- Autenticación básica
- OAuth de ServiceNow (recomendado)
- Microsoft Entra id. OpenID Connect
Paso 3.1: Autenticación básica
Escriba el nombre de usuario y la contraseña de la cuenta de ServiceNow con el rol de catálogo para autenticarse en la instancia.
Paso 3.2: ServiceNow OAuth
Para usar OAuth de ServiceNow para la autenticación, un administrador de ServiceNow debe aprovisionar un punto de conexión en la instancia de ServiceNow para que la aplicación Microsoft Search pueda acceder a él. Para más información, consulte Creación de un punto de conexión para que los clientes accedan a la instancia en la documentación de ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de creación del punto de conexión:
| Campo | Descripción | Valor recomendado |
|---|---|---|
| Nombre | Valor único que identifica la aplicación para la que necesita acceso de OAuth. | Búsqueda de Microsoft |
| Id. de cliente | Identificador único generado automáticamente de solo lectura para la aplicación. La instancia usa el identificador de cliente cuando solicita un token de acceso. | N/D |
| Secreto de cliente | Con esta cadena secreta compartida, la instancia de ServiceNow y Microsoft Search autorizan las comunicaciones entre sí. | Siga los procedimientos recomendados de seguridad tratando el secreto como una contraseña. |
| Dirección URL de redireccionamiento | Dirección URL de devolución de llamada necesaria a la que redirige el servidor de autorización. | Para M365 Enterprise: https:// gcs.office.com/v1.0/admin/oauth/callback, Para M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback |
| Dirección URL del logotipo | Dirección URL que contiene la imagen del logotipo de la aplicación. | N/D |
| Activo | Active la casilla para activar el registro de la aplicación. | Establecer en activo |
| Duración del token de actualización | El número de segundos que un token de actualización es válido. De forma predeterminada, los tokens de actualización expiran en 100 días (8640 000 segundos). | 31 536 000 (un año) |
| Duración del token de acceso | Número de segundos que un token de acceso es válido. | 43 200 (12 horas) |
Escriba el identificador de cliente y el secreto de cliente para conectarse a la instancia. Después de conectarse, use una credencial de cuenta de ServiceNow para autenticar el permiso para rastrear. La cuenta debe tener al menos un rol de catálogo . Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y permisos de criterios de usuario de índice.
Paso 3.3: Microsoft Entra id. OpenID Connect
Para usar Microsoft Entra id. OpenID Connect para la autenticación, siga estos pasos.
Paso 3.3.1: Registro de una nueva aplicación en Microsoft Entra id.
Para obtener información sobre cómo registrar una nueva aplicación en Microsoft Entra identificador, consulte Registro de una aplicación. Seleccione directorio organizativo de inquilino único. No se necesita el URI de redireccionamiento. Después del registro, anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino).
Paso 3.3.2: Creación de un secreto de cliente
Para obtener información sobre cómo crear un secreto de cliente, consulte Creación de un secreto de cliente. Tome nota del secreto de cliente.
Paso 3.3.3: Recuperar identificador de objeto de entidad de servicio
Siga los pasos para recuperar el identificador de objeto de entidad de servicio.
Ejecute PowerShell.
Instale Azure PowerShell mediante el siguiente comando.
Install-Module -Name Az -AllowClobber -Scope CurrentUserConéctese a Azure.
Connect-AzAccountObtenga el identificador de objeto de entidad de servicio.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Reemplace "Application-ID" por el identificador de aplicación (cliente) (sin comillas) de la aplicación que registró en el paso 3.a. Tenga en cuenta el valor del objeto id. de la salida de PowerShell. Es el identificador de la entidad de servicio.
Ahora tiene toda la información necesaria de Azure Portal. En la tabla siguiente se ofrece un resumen rápido de la información.
| Propiedad | Descripción |
|---|---|
| Id. de directorio (id. de inquilino) | Identificador único del inquilino de Microsoft Entra, del paso 3.a. |
| Id. de aplicación (id. de cliente) | Identificador único de la aplicación registrada en el paso 3.a. |
| Secreto de cliente | Clave secreta de la aplicación (del paso 3.b). Trátelo como una contraseña. |
| Identificador de entidad de servicio | Identidad de la aplicación que se ejecuta como servicio. (del paso 3.c) |
Paso 3.3.4: Registro de la aplicación ServiceNow
La instancia de ServiceNow necesita la siguiente configuración:
Registre una nueva entidad OIDC de OAuth. Para obtener información, consulte Creación de un proveedor OIDC de OAuth.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de registro del proveedor OIDC.
Campo Descripción Valor recomendado Nombre Nombre único que identifica la entidad OIDC de OAuth. Microsoft Entra ID Id. de cliente Identificador de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. La instancia usa el identificador de cliente al solicitar un token de acceso. Identificador de aplicación (cliente) del paso 3.a Secreto de cliente Secreto de cliente de la aplicación registrada en el servidor OIDC de OAuth de terceros. Secreto de cliente del paso 3.b Todos los demás valores pueden ser predeterminados.
En el formulario de registro del proveedor OIDC, debe agregar una nueva configuración de proveedor de OIDC. Seleccione el icono de búsqueda en el campo Configuración del proveedor OIDC de OAuth para abrir los registros de las configuraciones de OIDC. Seleccione Nuevo.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el formulario de configuración del proveedor OIDC.
Campo Valor recomendado Proveedor OIDC Microsoft Entra ID Dirección URL de metadatos de OIDC La dirección URL debe tener el formato https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration
Reemplace "tenantID" por el identificador de directorio (inquilino) del paso 3.a.Período de vida de la caché de configuración de OIDC 120 Aplicación Global Notificación de usuario Sub Campo de usuario Id. de usuario Habilitación de la comprobación de notificaciones de JTI Deshabilitada Seleccione Enviar y actualizar el formulario de entidad OIDC de OAuth.
Paso 3.3.5: Creación de una cuenta de ServiceNow
Consulte las instrucciones para crear una cuenta de ServiceNow y crear un usuario en ServiceNow.
En la tabla siguiente se proporcionan instrucciones sobre cómo rellenar el registro de la cuenta de usuario de ServiceNow.
| Campo | Valor recomendado |
|---|---|
| Id. de usuario | Identificador de entidad de servicio del paso 3.c |
| Solo acceso al servicio web | Checked |
Todos los demás valores se pueden dejar en el valor predeterminado.
Paso 3.3.6: Habilitación del rol de catálogo para la cuenta de ServiceNow
Acceda a la cuenta de ServiceNow que creó con el identificador de entidad de seguridad de ServiceNow como Id. de usuario y asigne el rol de catálogo. Aquí puede encontrar instrucciones para asignar un rol a una cuenta de ServiceNow y asignar un rol a un usuario. Consulte la tabla al principio del paso 3: configuración de conexión para proporcionar acceso de lectura a más registros de tabla de ServiceNow y permisos de criterios de usuario de índice.
Use id. de aplicación como id. de cliente (del paso 3.a) y secreto de cliente (del paso 3.b) en la configuración del Centro de administración asistente para autenticarse en la instancia de ServiceNow mediante Microsoft Entra id. OpenID Connect.
Paso 4: Seleccionar propiedades y filtrar datos
En este paso, puede agregar o quitar las propiedades disponibles del origen de datos de ServiceNow. Microsoft 365 ya ha seleccionado algunas propiedades de forma predeterminada.
Con una cadena de consulta de ServiceNow, puede especificar condiciones para sincronizar artículos. Es como una cláusula Where en una instrucción SELECT de SQL . Por ejemplo, puede optar por indexar solo los elementos que están activos. Para obtener información sobre cómo crear su propia cadena de consulta, consulte Generación de una cadena de consulta codificada mediante un filtro.
Use el botón vista previa de los resultados para comprobar los valores de ejemplo de las propiedades seleccionadas y el filtro de consulta.
Paso 5: Administrar permisos de búsqueda
El conector de ServiceNow admite permisos de búsqueda visibles para todos o solo personas con acceso a este origen de datos. Los datos indexados aparecen en los resultados de la búsqueda y son visibles para todos los usuarios de la organización o los usuarios que tienen acceso a ellos a través del permiso de criterios de usuario, respectivamente. Si un elemento de catálogo no está habilitado con criterios de usuario, aparecerá en los resultados de búsqueda de todos los usuarios de la organización.
El conector admite permisos predeterminados de criterios de usuario sin scripts avanzados. Cuando el conector encuentra un criterio de usuario con script avanzado, todos los datos que usan esos criterios de usuario no aparecerán en los resultados de la búsqueda.
Si elige Solo las personas con acceso a este origen de datos, debe elegir aún más si la instancia de ServiceNow tiene Microsoft Entra identificador aprovisionado de usuarios o usuarios que no son de Azure AD.
Para identificar qué opción es adecuada para su organización:
- Elija la opción Microsoft Entra id. si el identificador de Email de los usuarios de ServiceNow es el mismo que el userprincipalName (UPN) de los usuarios en Microsoft Entra id.
- Elija la opción No azure AD si el identificador de correo electrónico de los usuarios de ServiceNow es diferente del userprincipalName (UPN) de los usuarios en Microsoft Entra ID.
Nota:
- Si elige Microsoft Entra id. como el tipo de origen de identidad, el conector asigna los identificadores de Email de los usuarios obtenidos de ServiceNow directamente a la propiedad UPN de Microsoft Entra id.
- Si eligió "No azure AD" para el tipo de identidad, consulte Asignación de identidades que no son de Azure AD para obtener instrucciones sobre cómo asignar las identidades. Puede usar esta opción para proporcionar la expresión regular de asignación de Email id. a UPN.
Paso 6: Asignar etiquetas de propiedad
Siga las instrucciones generales de configuración.
Paso 7: Administrar esquema
Siga las instrucciones generales de configuración.
Paso 8: Elegir la configuración de actualización
Siga las instrucciones generales de configuración.
Nota:
En el caso de las identidades, solo se aplicará el rastreo completo programado.
Paso 9: Revisión de la conexión
Siga las instrucciones generales de configuración.
Después de publicar la conexión, debe personalizar la página de resultados de búsqueda. Para obtener información sobre cómo personalizar los resultados de la búsqueda, vea Personalizar la página de resultados de búsqueda.
Limitaciones
El conector de Microsoft Graph del catálogo de ServiceNow tiene las siguientes limitaciones en su versión más reciente:
- Solo las personas con acceso a esta característica de origen de datos en el paso Administrar permisos de búsqueda procesan solo los permisos de criterios de usuario . Cualquier otro tipo de permisos de acceso no se aplicará en los resultados de la búsqueda.
- No se admiten los permisos de criterios de usuario configurados en la categoría de catálogo.
- Los criterios de usuario con scripts avanzados no se admiten en la versión actual. Los elementos de catálogo con dicha restricción de acceso se indexarán con denegación de acceso a todos, es decir, no aparecerán en los resultados de búsqueda para ningún usuario hasta que se admitan.
Solución de problemas
Después de publicar la conexión, personalizar la página de resultados, puede revisar el estado en la pestaña Orígenes de datos del Centro de administración. Para obtener información sobre cómo realizar actualizaciones y eliminaciones, consulte Administración del conector. Puede encontrar los pasos de solución de problemas para los problemas más comunes que se ven a continuación.
1. No se puede iniciar sesión debido a la instancia de ServiceNow habilitada para el inicio de sesión único
Si su organización ha habilitado el inicio de sesión único (SSO) en ServiceNow, es posible que tenga problemas para iniciar sesión con la cuenta de servicio. Para abrir el inicio de sesión basado en nombre de usuario y contraseña, agregue login.do a la dirección URL de la instancia de ServiceNow. Ejemplo: https://<your-organization-domain>.service-now.com./login.do.
2. Respuesta no autorizada o prohibida a la solicitud de API
2.1. Comprobación de permisos de acceso a tablas
Si ve una respuesta prohibida o no autorizada en el estado de conexión, compruebe si la cuenta de servicio tiene acceso necesario a las tablas mencionadas en el paso 3: configuración de conexión. Compruebe si todas las columnas de las tablas tienen acceso de lectura.
2.2. Cambio en la contraseña de la cuenta
El conector usa el token de acceso capturado en nombre de la cuenta de servicio para el rastreo. El token de acceso se actualiza cada 12 horas. Asegúrese de que la contraseña de la cuenta de servicio no cambia después de publicar la conexión. Es posible que tenga que volver a autenticar la conexión si hay un cambio en la contraseña.
2.3. Comprobación de si la instancia de ServiceNow detrás del firewall
Es posible que el conector de Microsoft Graph no pueda acceder a la instancia de ServiceNow si está detrás de un firewall de red. Tendrá que permitir explícitamente el acceso al servicio del conector. Puede encontrar el intervalo de direcciones IP públicas del servicio del conector en la tabla siguiente. En función de la región del inquilino, agréguela a la lista de permitidos de la red de instancia de ServiceNow.
| Entorno | Región | Rango |
|---|---|---|
| PROD | Norteamérica | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asia Pacífico | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Permisos de acceso que no funcionan según lo esperado
Si observa discrepancias en los permisos de acceso aplicados a los resultados de búsqueda, compruebe la configuración de criterios de usuario al aplicar criterios de usuario a los elementos de catálogo.
3. Problemas con solo personas con acceso a este permiso de origen de datos
3.1 No se puede elegir solo las personas con acceso a este origen de datos
Es posible que no pueda elegir la opción Solo personas con acceso a este origen de datos si la cuenta de servicio no tiene permisos de lectura para las tablas necesarias en el paso 3: configuración de conexión. Compruebe si la cuenta de servicio puede leer las tablas mencionadas en Index y admitir la característica de permisos de criterios de usuario .
3.2 Errores de asignación de usuarios
Las cuentas de usuario de ServiceNow que no tienen un usuario de Microsoft 365 en Microsoft Entra id. no se asignarán. Se espera que las cuentas de servicio que no son de usuario no realicen la asignación de usuarios. Se puede acceder al número de errores de asignación de usuarios en el área de estadísticas de identidad en la ventana de detalles de la conexión. El registro de asignaciones de usuarios con errores se puede descargar desde la pestaña Error.
4. Problemas con el flujo de acceso de criterios de usuario
Si ve diferencias en la validación de criterios de usuario entre ServiceNow y Microsoft Search, establezca glide.knowman.block_access_with_no_user_criteria la propiedad del nosistema en .
Si tiene algún otro problema o desea proporcionar comentarios, escríbenos aka.ms/TalkToGraphConnectors