Connecteur Microsoft Graph du catalogue ServiceNow
Avec le connecteur Microsoft Graph pour ServiceNow, votre organization peut répertorier les éléments du catalogue de services qui sont visibles par tous les utilisateurs ou limités avec des autorisations de critères utilisateur dans votre organization. Après avoir configuré le connecteur et indexé le contenu à partir de ServiceNow, les utilisateurs finaux peuvent rechercher ces éléments de catalogue à partir de n’importe quel client Recherche Microsoft.
Cet article s’adresse aux administrateurs Microsoft 365 ou à toute personne qui configure, exécute et surveille un connecteur Microsoft Graph de catalogue ServiceNow. Il complète les instructions générales fournies dans l’article Configurer les connecteurs Microsoft Graph de la Centre d'administration Microsoft 365. Si vous ne l’avez pas déjà fait, lisez l’intégralité de l’article Configurer votre connecteur Microsoft Graph pour comprendre le processus de configuration générale.
Chaque étape du processus d’installation est répertoriée ci-dessous, ainsi qu’une note indiquant que vous devez suivre les instructions d’installation générales OU d’autres instructions qui s’appliquent uniquement au connecteur ServiceNow, y compris des informations sur la résolution des problèmes et les limitations.
Étape 1 : Ajouter un connecteur dans le Centre d'administration Microsoft 365
Ajouter un connecteur de catalogue ServiceNow
Suivez les instructions d’installation générales.
Étape 2 : Nommer la connexion
Suivez les instructions d’installation générales.
Étape 3 : Paramètres de connexion
Pour vous connecter à vos données ServiceNow, vous avez besoin de l’URL ServiceNow instance de votre organization. L’URL de instance ServiceNow de votre organization ressemble généralement à ceci : « https:// <votre-organization-domaine.service-now>.com ».
En plus de cette URL, vous aurez besoin d’un compte de service pour configurer la connexion à ServiceNow et permettre à Microsoft Search de mettre à jour régulièrement les éléments du catalogue en fonction de la planification de l’actualisation. Le compte de service a besoin d’un accès en lecture aux enregistrements de table ServiceNow suivants pour analyser correctement différentes entités.
| Fonctionnalité | Accès en lecture requis aux tables | Description |
|---|---|---|
| Indexer les éléments du catalogue disponibles pour tout le monde | sc_cat_item | Pour analyser les éléments du catalogue |
| Indexer et prendre en charge les autorisations des critères utilisateur | sc_cat_item_user_criteria_mtom | Qui peut accéder à cet élément de catalogue |
| sc_cat_item_user_criteria_no_mtom | Qui ne peut pas accéder à cet élément de catalogue | |
| sys_user | Lire la table utilisateur | |
| sys_user_has_role | Lire les informations de rôle des utilisateurs | |
| sys_user_grmember | Lire l’appartenance aux groupes des utilisateurs | |
| user_criteria | Lire les autorisations des critères utilisateur | |
| sys_user_group | Lire les segments de groupe d’utilisateurs | |
| sys_user_role | Lire les rôles d’utilisateur | |
| cmn_location | Lire les informations d’emplacement | |
| cmn_department | Lire les informations du service | |
| core_company | Lire les attributs de l’entreprise |
Vous pouvez créer et attribuer un rôle pour le compte de service que vous utilisez pour vous connecter à Recherche Microsoft. Découvrez comment attribuer un rôle pour les comptes ServiceNow. L’accès en lecture aux tables peut être attribué sur le rôle créé. Pour en savoir plus sur la définition de l’accès en lecture aux enregistrements de table, consultez Sécurisation des enregistrements de table.
Remarque
Le connecteur de catalogue ServiceNow peut indexer des éléments de catalogue et des autorisations de critères utilisateur sans scripts avancés. Si un critère utilisateur contient un script avancé, tous les éléments de catalogue associés sont masqués dans les résultats de la recherche.
Pour authentifier et synchroniser le contenu de ServiceNow, choisissez l’une des trois méthodes prises en charge :
- Authentification de base
- ServiceNow OAuth (recommandé)
- Microsoft Entra ID OpenID Connect
Étape 3.1 : Authentification de base
Entrez le nom d’utilisateur et le mot de passe du compte ServiceNow avec le rôle de catalogue pour vous authentifier auprès de votre instance.
Étape 3.2 : OAuth ServiceNow
Pour utiliser ServiceNow OAuth pour l’authentification, un administrateur ServiceNow doit provisionner un point de terminaison dans votre instance ServiceNow, afin que l’application Recherche Microsoft puisse y accéder. Pour plus d’informations, consultez Créer un point de terminaison pour que les clients accèdent au instance dans la documentation ServiceNow.
Le tableau suivant fournit des conseils sur la façon de remplir le formulaire de création de point de terminaison :
| Field | Description | Valeur recommandée |
|---|---|---|
| Nom | Valeur unique qui identifie l’application pour laquelle vous avez besoin d’un accès OAuth. | Recherche Microsoft |
| ID du client | ID unique généré automatiquement en lecture seule pour l’application. Le instance utilise l’ID client lorsqu’il demande un jeton d’accès. | S/O |
| Clé secrète client | Avec cette chaîne secrète partagée, serviceNow instance et Recherche Microsoft autorisent les communications entre elles. | Suivez les bonnes pratiques en matière de sécurité en traitant le secret comme un mot de passe. |
| URL de redirection | URL de rappel obligatoire vers laquelle le serveur d’autorisation redirige. | Pour M365 Enterprise : https:// gcs.office.com/v1.0/admin/oauth/callback, For M365 Government : https:// gcsgcc.office.com/v1.0/admin/oauth/callback |
| Logo URL | URL qui contient l’image du logo de l’application. | S/O |
| Actif | Cochez la case case activée pour activer le registre d’applications. | Définir sur actif |
| Durée de vie du jeton d’actualisation | Nombre de secondes pendant lesquelles un jeton d’actualisation est valide. Par défaut, les jetons d’actualisation expirent dans 100 jours (8 640 000 secondes). | 31 536 000 (un an) |
| Durée de vie du jeton d’accès | Nombre de secondes pendant lesquelles un jeton d’accès est valide. | 43 200 (12 heures) |
Entrez l’ID client et la clé secrète client pour vous connecter à votre instance. Après la connexion, utilisez les informations d’identification d’un compte ServiceNow pour authentifier l’autorisation d’analyse. Le compte doit au moins avoir un rôle de catalogue . Reportez-vous au tableau au début de l’étape 3 : paramètres de connexion pour fournir un accès en lecture à d’autres enregistrements de table ServiceNow et des autorisations de critères utilisateur d’index.
Étape 3.3 : Microsoft Entra ID OpenID Connect
Pour utiliser Microsoft Entra ID OpenID Connect pour l’authentification, suivez les étapes ci-dessous.
Étape 3.3.1 : Inscrire une nouvelle application dans Microsoft Entra ID
Pour en savoir plus sur l’inscription d’une nouvelle application dans Microsoft Entra ID, consultez Inscrire une application. Sélectionnez annuaire organisationnel monolocataire. L’URI de redirection n’est pas nécessaire. Après l’inscription, notez l’ID d’application (client) et l’ID d’annuaire (locataire).
Étape 3.3.2 : Créer une clé secrète client
Pour en savoir plus sur la création d’une clé secrète client, consultez Création d’une clé secrète client. Notez la clé secrète client.
Étape 3.3.3 : Récupérer l’identificateur d’objet du principal de service
Suivez les étapes pour récupérer l’identificateur d’objet du principal de service
Exécutez PowerShell.
Installez Azure PowerShell à l’aide de la commande suivante.
Install-Module -Name Az -AllowClobber -Scope CurrentUserConnectez-vous à Azure.
Connect-AzAccountObtenir l’identificateur d’objet du principal de service.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Remplacez « Application-ID » par l’ID d’application (client) (sans guillemets) de l’application que vous avez inscrite à l’étape 3.a. Notez la valeur de l’objet ID à partir de la sortie PowerShell. Il s’agit de l’ID du principal du service.
Vous disposez maintenant de toutes les informations requises à partir de Portail Azure. Un résumé rapide des informations est fourni dans le tableau ci-dessous.
| Propriété | Description |
|---|---|
| ID d’annuaire (ID de locataire) | ID unique du locataire Microsoft Entra, à l’étape 3.a. |
| ID d’application (ID client) | ID unique de l’application inscrite à l’étape 3.a. |
| Clé secrète client | Clé secrète de l’application (à partir de l’étape 3.b). Traitez-le comme un mot de passe. |
| Service Principal ID | Identité de l’application s’exécutant en tant que service. (à partir de l’étape 3.c) |
Étape 3.3.4 : Inscrire l’application ServiceNow
Le instance ServiceNow a besoin de la configuration suivante :
Inscrivez une nouvelle entité OAuth OIDC. Pour en savoir plus, consultez Créer un fournisseur OIDC OAuth.
Le tableau suivant fournit des conseils sur la façon de remplir le formulaire d’inscription du fournisseur OIDC
Field Description Valeur recommandée Nom Nom unique qui identifie l’entité OAuth OIDC. Identifiant Microsoft Entra ID du client ID client de l’application inscrite sur le serveur OAuth OIDC tiers. Le instance utilise l’ID client lors de la demande d’un jeton d’accès. ID d’application (client) de l’étape 3.a Clé secrète client Clé secrète client de l’application inscrite sur le serveur OAuth OIDC tiers. Clé secrète client de l’étape 3.b Toutes les autres valeurs peuvent être par défaut.
Dans le formulaire d’inscription du fournisseur OIDC, vous devez ajouter une nouvelle configuration de fournisseur OIDC. Sélectionnez l’icône de recherche par rapport au champ Configuration du fournisseur OAuth OIDC pour ouvrir les enregistrements des configurations OIDC. Sélectionnez Nouveau.
Le tableau suivant fournit des conseils sur la façon de remplir le formulaire de configuration du fournisseur OIDC
Field Valeur recommandée Fournisseur OIDC Identifiant Microsoft Entra URL des métadonnées OIDC L’URL doit être au format https://login.microsoftonline.com/<tenandId">/.well-known/openid-configuration
Remplacez « tenantID » par l’ID d’annuaire (locataire) de l’étape 3.a.Durée de vie du cache de configuration OIDC 120 Application Global Revendication de l’utilisateur sub Champ utilisateur ID utilisateur Activer la vérification des revendications JTI Désactivé Sélectionnez Envoyer et mettre à jour le formulaire d’entité OAuth OIDC.
Étape 3.3.5 : Créer un compte ServiceNow
Reportez-vous aux instructions pour créer un compte ServiceNow et créer un utilisateur dans ServiceNow.
Le tableau suivant fournit des conseils sur la façon de remplir l’inscription du compte d’utilisateur ServiceNow
| Field | Valeur recommandée |
|---|---|
| ID utilisateur | ID du principal de service de l’étape 3.c |
| Accès au service web uniquement | Checked |
Toutes les autres valeurs peuvent être conservées par défaut.
Étape 3.3.6 : Activer le rôle de catalogue pour le compte ServiceNow
Accédez au compte ServiceNow que vous avez créé avec l’ID de principal ServiceNow comme ID d’utilisateur et attribuez le rôle de catalogue. Vous trouverez des instructions pour attribuer un rôle à un compte ServiceNow ici, attribuer un rôle à un utilisateur. Reportez-vous au tableau au début de l’étape 3 : paramètres de connexion pour fournir un accès en lecture à d’autres enregistrements de table ServiceNow et des autorisations de critères utilisateur d’index.
Utilisez l’ID d’application comme ID client (de l’étape 3.a) et clé secrète client (à partir de l’étape 3.b) dans la configuration du centre d’administration assistant pour vous authentifier auprès de votre instance ServiceNow à l’aide de Microsoft Entra ID OpenID Connect.
Étape 4 : Sélectionner les propriétés et filtrer les données
Dans cette étape, vous pouvez ajouter ou supprimer des propriétés disponibles de votre source de données ServiceNow. Microsoft 365 a déjà sélectionné quelques propriétés par défaut.
Avec une chaîne de requête ServiceNow, vous pouvez spécifier des conditions pour la synchronisation des articles. C’est comme une clause Where dans une instruction SQL Select . Par exemple, vous pouvez choisir d’indexer uniquement les éléments actifs. Pour en savoir plus sur la création de votre propre chaîne de requête, consultez Générer une chaîne de requête encodée à l’aide d’un filtre.
Utilisez le bouton d’aperçu des résultats pour vérifier les exemples de valeurs des propriétés sélectionnées et du filtre de requête.
Étape 5 : Gérer les autorisations de recherche
Le connecteur ServiceNow prend en charge les autorisations de recherche visibles pour tout le monde ou uniquement pour les personnes ayant accès à cette source de données. Les données indexées apparaissent dans les résultats de la recherche et sont visibles par tous les utilisateurs du organization ou les utilisateurs qui y ont accès via l’autorisation des critères utilisateur, respectivement. Si un élément de catalogue n’est pas activé avec des critères utilisateur, il apparaît dans les résultats de recherche de tous les organization.
Le connecteur prend en charge les autorisations par défaut des critères utilisateur sans scripts avancés. Lorsque le connecteur rencontre un critère utilisateur avec un script avancé, toutes les données utilisant ces critères utilisateur n’apparaissent pas dans les résultats de la recherche.
Si vous choisissez Uniquement les personnes ayant accès à cette source de données, vous devez choisir davantage si votre instance ServiceNow dispose d’utilisateurs approvisionnés d’ID Microsoft Entra ou d’utilisateurs non-Azure AD.
Pour identifier l’option qui convient à votre organization :
- Choisissez l’option ID de Microsoft Entra si l’ID de Email des utilisateurs ServiceNow est identique à l’UTILISATEURPrincipalName (UPN) des utilisateurs dans Microsoft Entra ID.
- Choisissez l’option Non-Azure AD si l’ID de messagerie des utilisateurs ServiceNow est différent de l’UTILISATEURPrincipalName (UPN) des utilisateurs dans Microsoft Entra ID.
Remarque
- Si vous choisissez Microsoft Entra ID comme type de source d’identité, le connecteur mappe les ID de Email des utilisateurs obtenus à partir de ServiceNow directement à la propriété UPN à partir de l’ID de Microsoft Entra.
- Si vous avez choisi « Non-Azure AD » pour le type d’identité, consultez Mapper vos identités non Azure AD pour obtenir des instructions sur le mappage des identités. Vous pouvez utiliser cette option pour fournir l’expression régulière de mappage de l’ID Email à l’UPN.
Étape 6 : Attribuer des étiquettes de propriété
Suivez les instructions d’installation générales.
Étape 7 : Gérer le schéma
Suivez les instructions d’installation générales.
Étape 8 : Choisir les paramètres d’actualisation
Suivez les instructions d’installation générales.
Remarque
Pour les identités, seule l’analyse complète planifiée est appliquée.
Étape 9 : Vérifier la connexion
Suivez les instructions d’installation générales.
Après avoir publié la connexion, vous devez personnaliser la page des résultats de la recherche. Pour en savoir plus sur la personnalisation des résultats de recherche, consultez Personnaliser la page des résultats de recherche.
Limitations
Le connecteur Microsoft Graph du catalogue ServiceNow présente les limitations suivantes dans sa dernière version :
- Seules les personnes ayant accès à cette fonctionnalité de source de données sous l’étape Gérer les autorisations de recherche traitent uniquement les autorisations des critères utilisateur . Aucun autre type d’autorisations d’accès ne sera appliqué dans les résultats de la recherche.
- Les autorisations de critères utilisateur configurées dans la catégorie de catalogue ne sont pas prises en charge.
- Les critères utilisateur avec des scripts avancés ne sont pas pris en charge dans la version actuelle. Tous les éléments de catalogue avec une telle restriction d’accès seront indexés avec refuser l’accès à tout le monde, c’est-à-dire qu’ils n’apparaîtront dans les résultats de la recherche pour aucun utilisateur tant que nous ne les prenons pas en charge.
Résolution des problèmes
Après avoir publié votre connexion, en personnalisant la page de résultats, vous pouvez consulter la status sous l’onglet Sources de données dans le Centre d’administration. Pour savoir comment effectuer des mises à jour et des suppressions, consultez Gérer votre connecteur. Vous trouverez ci-dessous les étapes de résolution des problèmes courants.
1. Impossible de se connecter en raison de l’authentification unique activée par ServiceNow instance
Si votre organization a activé l’authentification unique (SSO) sur ServiceNow, vous risquez d’avoir des difficultés à vous connecter avec le compte de service. Vous pouvez afficher la connexion basée sur le nom d’utilisateur et le mot de passe en ajoutant login.do à l’URL instance ServiceNow. Exemple : https://<your-organization-domain>.service-now.com./login.do.
2. Réponse non autorisée ou interdite à la demande d’API
2.1. Vérifier les autorisations d’accès aux tables
Si vous voyez une réponse interdite ou non autorisée dans status de connexion, case activée si le compte de service a besoin d’un accès aux tables mentionnées à l’étape 3 : paramètres de connexion. Vérifiez si toutes les colonnes des tables disposent d’un accès en lecture.
2.2. Modification du mot de passe du compte
Le connecteur utilise le jeton d’accès extrait pour le compte de service pour l’analyse. Le jeton d’accès est actualisé toutes les 12 heures. Assurez-vous que le mot de passe du compte de service n’est pas modifié après la publication de la connexion. Vous devrez peut-être réauthentifier la connexion en cas de modification du mot de passe.
2.3. Vérifier si ServiceNow instance derrière le pare-feu
Votre connecteur Microsoft Graph peut ne pas être en mesure d’atteindre votre instance ServiceNow s’il se trouve derrière un pare-feu réseau. Vous devez autoriser explicitement l’accès au service de connecteur. Vous trouverez la plage d’adresses IP publiques du service de connecteur dans le tableau ci-dessous. En fonction de la région de votre locataire, ajoutez-la à votre liste d’autorisation réseau ServiceNow instance.
| Environnement | Région | Plage |
|---|---|---|
| PROD | Amérique du Nord | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europe | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Asie-Pacifique | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Les autorisations d’accès ne fonctionnent pas comme prévu
Si vous observez des différences dans les autorisations d’accès appliquées aux résultats de recherche, vérifiez la configuration des critères utilisateur dans l’application de critères utilisateur aux éléments du catalogue.
3. Problèmes liés uniquement aux personnes ayant accès à cette autorisation de source de données
3.1 Impossible de choisir uniquement les personnes ayant accès à cette source de données
Vous ne pourrez peut-être pas choisir uniquement les personnes ayant accès à cette source de données si le compte de service ne dispose pas des autorisations de lecture sur les tables requises à l’étape 3 : paramètres de connexion. Vérifiez si le compte de service peut lire les tables mentionnées sous Index et prendre en charge la fonctionnalité d’autorisations des critères utilisateur .
3.2 Échecs de mappage d’utilisateurs
Les comptes d’utilisateur ServiceNow qui n’ont pas d’utilisateur Microsoft 365 dans Microsoft Entra ID ne seront pas mappés. Les comptes de service non-utilisateur sont censés échouer le mappage des utilisateurs. Le nombre d’échecs de mappage d’utilisateurs est accessible dans la zone des statistiques d’identité dans la fenêtre détails de la connexion. Le journal des mappages d’utilisateurs ayant échoué peut être téléchargé à partir de l’onglet Erreur.
4. Problèmes liés au flux d’accès aux critères utilisateur
Si vous constatez des différences dans la validation des critères utilisateur entre ServiceNow et Recherche Microsoft, définissez glide.knowman.block_access_with_no_user_criteria la propriété système sur no.
Si vous rencontrez d’autres problèmes ou si vous souhaitez nous faire part de vos commentaires, écrivez-nous aka.ms/TalkToGraphConnectors