Conector do Microsoft Graph do Catálogo do ServiceNow
Com o conector do Microsoft Graph para ServiceNow, sua organização pode listar itens do catálogo de serviços visíveis para todos os usuários ou restritos com permissões de critérios de usuário em sua organização. Depois de configurar o conector e o conteúdo de índice do ServiceNow, os usuários finais poderão pesquisar esses itens de catálogo de qualquer cliente da Microsoft Search.
Este artigo é para administradores do Microsoft 365 ou qualquer pessoa que configure, execute e monitore um conector do Microsoft Graph do Catálogo do ServiceNow. Ele complementa as instruções gerais fornecidas no artigo Configurar conectores do Microsoft Graph no artigo Centro de administração do Microsoft 365. Se você ainda não tiver feito isso, leia todo o artigo Configurar o conector do Microsoft Graph para entender o processo de instalação geral.
Cada etapa do processo de instalação é listada abaixo, juntamente com uma nota que indica que você deve seguir as instruções de instalação geral OU outras instruções que se aplicam apenas ao conector do ServiceNow, incluindo informações sobre solução de problemas e limitações.
Etapa 1: Adicionar um conector no Centro de administração do Microsoft 365
Adicionar conector do Catálogo do ServiceNow
Siga as instruções de configuração geral.
Etapa 2: nomear a conexão
Siga as instruções de configuração geral.
Etapa 3: Configurações de conexão
Para se conectar aos dados do ServiceNow, você precisa da URL da instância do ServiceNow da sua organização. A URL de instância do ServiceNow da sua organização normalmente se parece com esta: "https:// <your-organization-domain.service-now>.com".
Junto com essa URL, você precisará de uma conta de serviço para configurar a conexão com o ServiceNow e para permitir que o Microsoft Search atualize periodicamente os itens de catálogo com base na agenda de atualização. A conta de serviço precisará de acesso de leitura aos seguintes registros da tabela ServiceNow para rastrear com êxito várias entidades.
| Recurso | Ler tabelas necessárias de acesso | Descrição |
|---|---|---|
| Itens de catálogo de índice disponíveis para Todos | sc_cat_item | Para itens de catálogo de rastreamento |
| Indexar e dar suporte a permissões de critérios de usuário | sc_cat_item_user_criteria_mtom | Quem pode acessar este item de catálogo |
| sc_cat_item_user_criteria_no_mtom | Quem não pode acessar este item de catálogo | |
| sys_user | Ler tabela de usuário | |
| sys_user_has_role | Ler informações de função dos usuários | |
| sys_user_grmember | Ler associação de grupo de usuários | |
| user_criteria | Ler permissões de critérios de usuário | |
| sys_user_group | Ler segmentos de grupo de usuários | |
| sys_user_role | Ler funções de usuário | |
| cmn_location | Ler informações de local | |
| cmn_department | Ler informações do departamento | |
| core_company | Ler atributos da empresa |
Você pode criar e atribuir uma função para a conta de serviço que você usa para se conectar ao Microsoft Search. Saiba como atribuir função para contas do ServiceNow. O acesso de leitura às tabelas pode ser atribuído na função criada. Para saber mais sobre como definir o acesso de leitura aos registros de tabela, consulte Protegendo registros de tabela.
Observação
O conector do Catálogo do ServiceNow pode indexar itens de catálogo e permissões de critérios de usuário sem scripts avançados. Se um critério de usuário contiver script avançado, todos os itens de catálogo relacionados serão ocultos dos resultados da pesquisa.
Para autenticar e sincronizar o conteúdo do ServiceNow, escolha um dos três métodos com suporte:
- Autenticação básica
- ServiceNow OAuth (recomendado)
- Microsoft Entra ID OpenID Connect
Etapa 3.1: Autenticação básica
Insira o nome de usuário e a senha da conta ServiceNow com função de catálogo para autenticar em sua instância.
Etapa 3.2: ServiceNow OAuth
Para usar o ServiceNow OAuth para autenticação, um administrador do ServiceNow precisa provisionar um ponto de extremidade em sua instância do ServiceNow, para que o aplicativo Microsoft Search possa acessá-lo. Para saber mais, confira Criar um ponto de extremidade para os clientes acessarem a instância na documentação do ServiceNow.
A tabela a seguir fornece diretrizes sobre como preencher o formulário de criação do ponto de extremidade:
| Campo | Descrição | Valor recomendado |
|---|---|---|
| Nome | Valor exclusivo que identifica o aplicativo para o qual você precisa de acesso OAuth. | Pesquisa da Microsoft |
| ID do cliente | Uma ID exclusiva somente leitura e gerada automaticamente para o aplicativo. A instância usa a ID do cliente quando solicita um token de acesso. | N/D |
| Segredo do cliente | Com essa cadeia de caracteres de segredo compartilhada, a instância do ServiceNow e o Microsoft Search autorizam comunicações entre si. | Siga as práticas recomendadas de segurança tratando o segredo como uma senha. |
| URL de redirecionamento | Uma URL de retorno de chamada necessária para a qual o servidor de autorização redireciona. | Para M365 Enterprise: https:// gcs.office.com/v1.0/admin/oauth/callback, For M365 Government: https:// gcsgcc.office.com/v1.0/admin/oauth/callback |
| URL do logotipo | Uma URL que contém a imagem do logotipo do aplicativo. | N/D |
| Ativo | Selecione a caixa marcar para tornar o registro de aplicativo ativo. | Definido como ativo |
| Atualizar o tempo de vida do token | O número de segundos em que um token de atualização é válido. Por padrão, os tokens de atualização expiram em 100 dias (8.640.000 segundos). | 31.536.000 (um ano) |
| Tempo de vida do token de acesso | O número de segundos em que um token de acesso é válido. | 43.200 (12 horas) |
Insira a ID do cliente e o segredo do cliente para se conectar à sua instância. Depois de se conectar, use uma credencial de conta do ServiceNow para autenticar a permissão para rastreamento. A conta deve, pelo menos, ter função de catálogo . Consulte a tabela no início da etapa 3: configurações de conexão para fornecer acesso de leitura a mais registros de tabela do ServiceNow e permissões de critérios de usuário de índice.
Etapa 3.3: Microsoft Entra ID OpenID Connect
Para usar Microsoft Entra ID OpenID Connect para autenticação, siga as etapas abaixo.
Etapa 3.3.1: registrar um novo aplicativo no Microsoft Entra ID
Para saber mais sobre como registrar um novo aplicativo no Microsoft Entra ID, consulte Registrar um aplicativo. Selecione diretório organizacional de locatário único. O URI de redirecionamento não é necessário. Após o registro, observe a ID do Aplicativo (cliente) e a ID do Diretório (locatário).
Etapa 3.3.2: Criar um segredo do cliente
Para saber mais sobre como criar um segredo do cliente, consulte Criando um segredo do cliente. Anote o segredo do cliente.
Etapa 3.3.3: Recuperar identificador de objeto da entidade de serviço
Siga as etapas para recuperar o Identificador de Objeto da Entidade de Serviço
Execute o PowerShell.
Instale Azure PowerShell usando o comando a seguir.
Install-Module -Name Az -AllowClobber -Scope CurrentUserConecte-se ao Azure.
Connect-AzAccountObter o Identificador de Objeto da Entidade de Serviço.
Get-AzADServicePrincipal -ApplicationId "Application-ID"Substitua "ID do aplicativo" pela ID do aplicativo (cliente) (sem aspas) do aplicativo que você registrou na etapa 3.a. Observe o valor do objeto ID da saída do PowerShell. É a ID da Entidade de Serviço.
Agora você tem todas as informações necessárias de portal do Azure. Um resumo rápido das informações é dado na tabela abaixo.
| Propriedade | Descrição |
|---|---|
| ID do diretório (ID do locatário) | ID exclusiva do locatário Microsoft Entra, da etapa 3.a. |
| ID do aplicativo (ID do cliente) | ID exclusiva do aplicativo registrado na etapa 3.a. |
| Segredo de Cliente | A chave secreta do aplicativo (da etapa 3.b). Trate-a como uma senha. |
| ID da Entidade de Serviço | Uma identidade para o aplicativo em execução como um serviço. (da etapa 3.c) |
Etapa 3.3.4: Registrar aplicativo ServiceNow
A instância do ServiceNow precisa da seguinte configuração:
Registre uma nova entidade OIDC OAuth. Para saber, confira Criar um provedor OIDC OAuth.
A tabela a seguir fornece diretrizes sobre como preencher o formulário de registro do provedor OIDC
Campo Descrição Valor recomendado Nome Um nome exclusivo que identifica a entidade OIDC OAuth. Microsoft Entra ID ID do cliente A ID do cliente do aplicativo registrado no servidor OIDC OAuth de terceiros. A instância usa a ID do cliente ao solicitar um token de acesso. ID do aplicativo (cliente) da etapa 3.a Segredo de Cliente O segredo do cliente do aplicativo registrado no servidor OIDC OAuth de terceiros. Segredo do Cliente da etapa 3.b Todos os outros valores podem ser padrão.
No formulário de registro do provedor OIDC, você precisa adicionar uma nova configuração do provedor OIDC. Selecione o ícone de pesquisa no campo Configuração do Provedor OIDC OAuth para abrir os registros das configurações do OIDC. Selecione Novo.
A tabela a seguir fornece diretrizes sobre como preencher o formulário de configuração do provedor OIDC
Campo Valor recomendado Provedor OIDC Microsoft Entra ID URL de Metadados OIDC A URL deve estar no formulário https://login.microsoftonline.com/<tenandId">/.bem conhecido/openid-configuration
Substitua "tenantID" pela ID do Diretório (locatário) da etapa 3.a.Intervalo de vida do cache de configuração OIDC 120 Application Global Declaração de Usuário Sub Campo de Usuário ID do Usuário Habilitar a verificação de declaração JTI Desabilitado Selecione Enviar e Atualizar o formulário de entidade OIDC OAuth.
Etapa 3.3.5: Criar uma conta do ServiceNow
Consulte as instruções para criar uma conta do ServiceNow, crie um usuário no ServiceNow.
A tabela a seguir fornece diretrizes sobre como preencher o registro da conta de usuário do ServiceNow
| Campo | Valor recomendado |
|---|---|
| ID do Usuário | ID da Entidade de Serviço da etapa 3.c |
| Somente acesso ao serviço Web | Marcado |
Todos os outros valores podem ser deixados como padrão.
Etapa 3.3.6: Habilitar a função de catálogo para a conta ServiceNow
Acesse a conta ServiceNow que você criou com a ID da entidade servicenow como ID do usuário e atribua a função de catálogo. Instruções para atribuir uma função a uma conta do ServiceNow podem ser encontradas aqui, atribuir uma função a um usuário. Consulte a tabela no início da etapa 3: configurações de conexão para fornecer acesso de leitura a mais registros de tabela do ServiceNow e permissões de critérios de usuário de índice.
Use a ID do Aplicativo como ID do Cliente (da etapa 3.a) e o segredo do cliente (da etapa 3.b) na configuração do centro de administração assistente para autenticar a instância do ServiceNow usando Microsoft Entra ID OpenID Connect.
Etapa 4: selecionar propriedades e filtrar dados
Nesta etapa, você pode adicionar ou remover propriedades disponíveis da fonte de dados do ServiceNow. O Microsoft 365 já selecionou algumas propriedades por padrão.
Com uma cadeia de caracteres de consulta ServiceNow, você pode especificar condições para sincronizar artigos. É como uma cláusula Where em uma instrução SQL Select . Por exemplo, você pode optar por indexar apenas itens que estão ativos. Para saber mais sobre como criar sua própria cadeia de caracteres de consulta, consulte Gerar uma cadeia de caracteres de consulta codificada usando um filtro.
Use o botão de resultados de visualização para verificar os valores de exemplo das propriedades selecionadas e do filtro de consulta.
Etapa 5: Gerenciar permissões de pesquisa
O conector do ServiceNow dá suporte a permissões de pesquisa visíveis para todas ou somente pessoas com acesso a essa fonte de dados. Os dados indexados aparecem nos resultados da pesquisa e são visíveis para todos os usuários da organização ou usuários que têm acesso a eles por meio da permissão de critérios de usuário, respectivamente. Se um item de catálogo não estiver habilitado com um critério de usuário, ele aparecerá nos resultados de pesquisa de todos na organização.
O conector dá suporte a permissões de critérios de usuário padrão sem scripts avançados. Quando o conector encontrar um critério de usuário com script avançado, todos os dados que usam esses critérios de usuário não aparecerão nos resultados da pesquisa.
Se você escolher Somente pessoas com acesso a essa fonte de dados, você precisará escolher se sua instância do ServiceNow tem usuários provisionados de ID Microsoft Entra ou usuários não Azure AD.
Para identificar qual opção é adequada para sua organização:
- Escolha a opção Microsoft Entra ID se a ID Email dos usuários do ServiceNow for igual à UPN (UserPrincipalName) dos usuários em Microsoft Entra ID.
- Escolha a opção Não Azure AD se a ID de email dos usuários do ServiceNow for diferente da UPN (UserPrincipalName) dos usuários em Microsoft Entra ID.
Observação
- Se você escolher Microsoft Entra ID como o tipo de fonte de identidade, o conector mapeará as IDs Email de usuários obtidas do ServiceNow diretamente para a propriedade UPN de Microsoft Entra ID.
- Se você escolheu "Não Azure AD" para o tipo de identidade, consulte Mapear suas identidades não Azure AD para obter instruções sobre como mapear as identidades. Você pode usar essa opção para fornecer a expressão regular de mapeamento de Email ID para UPN.
Etapa 6: Atribuir rótulos de propriedade
Siga as instruções de configuração geral.
Etapa 7: Gerenciar esquema
Siga as instruções de configuração geral.
Etapa 8: escolher configurações de atualização
Siga as instruções de configuração geral.
Observação
Para identidades, somente o rastreamento completo agendado será aplicado.
Etapa 9: Revisar conexão
Siga as instruções de configuração geral.
Depois de publicar a conexão, você precisa personalizar a página de resultados da pesquisa. Para saber mais sobre como personalizar os resultados da pesquisa, consulte Personalizar a página de resultados da pesquisa.
Limitações
O conector do Microsoft Graph do Catálogo do ServiceNow tem as seguintes limitações em sua versão mais recente:
- Somente pessoas com acesso a esse recurso de fonte de dados em Gerenciar permissões de pesquisa processam apenas permissões de critérios de usuário . Qualquer outro tipo de permissões de acesso não será aplicado nos resultados da pesquisa.
- Não há suporte para permissões de critérios de usuário configuradas na categoria de catálogo.
- Não há suporte para critérios de usuário com scripts avançados na versão atual. Todos os itens de catálogo com essa restrição de acesso serão indexados com negar acesso a todos, ou seja, eles não aparecerão nos resultados da pesquisa para nenhum usuário até darmos suporte a eles.
Solução de problemas
Depois de publicar sua conexão, personalizando a página de resultados, você pode examinar o status na guia Fontes de Dados no centro de administração. Para saber como fazer atualizações e exclusões, consulte Gerenciar seu conector. Você pode encontrar etapas de solução de problemas para problemas comumente vistos abaixo.
1. Não é possível entrar devido à instância do ServiceNow habilitada para logon único
Se sua organização tiver habilitado o SSO (Logon Único) para o ServiceNow, você poderá ter problemas para fazer logon com a conta de serviço. Você pode criar o nome de usuário e a entrada baseada em senha adicionando login.do à URL da instância do ServiceNow. Exemplo: https://<your-organization-domain>.service-now.com./login.do.
2. Resposta não autorizada ou proibida à solicitação de API
2.1. Verificar permissões de acesso à tabela
Se você vir uma resposta proibida ou não autorizada em status de conexão, marcar se a conta de serviço tiver necessário acesso às tabelas mencionadas na etapa 3: configurações de conexão. Verifique se todas as colunas nas tabelas têm acesso de leitura.
2.2. Alterar a senha da conta
O conector usa o token de acesso buscado em nome da conta de serviço para rastreamento. O token de acesso é atualizado a cada 12 horas. Verifique se a senha da conta de serviço não foi alterada após a publicação da conexão. Talvez seja necessário reauthenticar a conexão se houver uma alteração na senha.
2.3. Verificar se a instância do ServiceNow está atrás do firewall
O conector do Microsoft Graph pode não conseguir acessar a instância do ServiceNow se ele estiver por trás de um firewall de rede. Você precisará permitir explicitamente o acesso ao serviço do conector. Você pode encontrar o intervalo de endereços IP públicos do serviço do conector na tabela abaixo. Com base na sua região de locatário, adicione-a à lista de permissões de rede de instância do ServiceNow.
| Ambiente | Região | Intervalo |
|---|---|---|
| PROD | América do Norte | 52.250.92.252/30, 52.224.250.216/30 |
| PROD | Europa | 20.54.41.208/30, 51.105.159.88/30 |
| PROD | Pacífico Asiático | 52.139.188.212/30, 20.43.146.44/30 |
2.4. Permissões de acesso não funcionando conforme o esperado
Se você observar discrepâncias nas permissões de acesso aplicadas aos resultados da pesquisa, verifique a configuração de critérios do usuário na aplicação de critérios de usuário aos itens de catálogo.
3. Problemas com somente pessoas com acesso a essa permissão de fonte de dados
3.1 Não é possível escolher somente pessoas com acesso a essa fonte de dados
Talvez você não possa escolher somente pessoas com acesso a essa opção de fonte de dados se a conta de serviço não tiver permissões de leitura para as tabelas necessárias na etapa 3: configurações de conexão. Verifique se a conta de serviço pode ler tabelas mencionadas em Índice e dar suporte ao recurso de permissões de critérios do usuário .
3.2 Falhas de mapeamento de usuário
As contas de usuário do ServiceNow que não têm um usuário do Microsoft 365 no Microsoft Entra ID não serão mapeadas. Espera-se que contas de serviço não usuárias falhem no mapeamento do usuário. O número de falhas de mapeamento do usuário pode ser acessado na área de estatísticas de identidade na janela de detalhes da conexão. O log de mapeamentos de usuário com falha pode ser baixado na guia Erro.
4. Problemas com o fluxo de acesso de critérios de usuário
Se você vir diferenças na validação de critérios de usuário entre ServiceNow e Microsoft Search, defina glide.knowman.block_access_with_no_user_criteria a propriedade do sistema como no.
Se você tiver outros problemas ou quiser fornecer comentários, escreva para nós aka.ms/TalkToGraphConnectors