Configuration de ServiceNow

Cette page explique comment configurer une configuration tierce avant de créer le data store ServiceNow.

Sites ServiceNow

ServiceNow propose deux sites principaux :

  1. Site pour les développeurs :

    • Configure la base de connaissances, met en place des workflows et développe des applications personnalisées.
    • URL : https://developer.servicenow.com.
    • Connectez-vous avec votre ID ServiceNow.

  2. Site ServiceNow principal [site ServiceNow pour l'instance de développement personnel (PDI)] : site de votre instance ServiceNow.

    • Gère les utilisateurs, les groupes et les tâches d'administration système.
    • URL : URL de votre instance ServiceNow.
    • Connectez-vous à l'aide de vos identifiants administrateur.

Créer un compte ServiceNow

Pour créer un compte ServiceNow sur le site des développeurs et une instance PDI :

  1. Accédez à developer.servicenow.com, puis cliquez sur "Sign in" (Se connecter).

  2. Sélectionnez Nouvel utilisateur ? Obtenez un ID ServiceNow.

  3. Saisissez les informations nécessaires, puis cliquez sur S'inscrire. Utilisez votre adresse e-mail et validez-la à l'aide du lien de confirmation envoyé dans votre boîte de réception.

Pour créer une instance de développement personnelle (PDI) :

  1. Connectez-vous au site pour les développeurs à l'aide des identifiants de votre compte et acceptez les conditions d'utilisation.
  2. Cliquez sur Demander une instance. Une fois le provisionnement effectué, une boîte de dialogue de confirmation s'affiche : "Votre instance est prête !".
  3. Enregistrez l'URL de l'instance affichée, un nom d'utilisateur administrateur et un mot de passe.
  4. Pour accéder à votre nouvel environnement, cliquez sur le bouton Start Building (Commencer à créer) dans l'en-tête du site pour les développeurs. Votre instance s'ouvre dans un nouvel onglet.
Interface de l'instance ServiceNow pour les développeurs
Instance de développeur

Obtenir les identifiants d'authentification

Pour créer un point de terminaison OAuth et obtenir les identifiants d'authentification, procédez comme suit :

  1. Connectez-vous à l'instance ServiceNow PDI à l'aide des identifiants d'administrateur que vous avez obtenus dans la section Créer un compte ServiceNow.

  2. Accédez à All > System OAuth > Application registry (Tous > OAuth système > Registre des applications).

  3. Sur la page Registres d'applications, cliquez sur Nouveau.

  4. Sur la page Application OAuth, cliquez sur Créer un point de terminaison d'API OAuth pour les clients externes.

  5. Sur la page Nouvel enregistrement, saisissez les champs obligatoires suivants :

    1. Name (Nom) : saisissez un nom unique.
    2. Redirect URL (URL de redirection) : saisissez l'URL de redirection : https://vertexaisearch.cloud.google.com/console/oauth/servicenow_oauth.html

  6. Cliquez sur Submit (Envoyer) pour créer l'identifiant.

  7. Une fois la demande envoyée, cliquez sur le nom pour afficher l'ID client.

  8. Le code secret est masqué. Cliquez sur l'icône en forme de cadenas située à côté du code secret du client pour l'afficher.

  9. Enregistrez l'ID client et le code secret du client pour une utilisation ultérieure.

Configurer un rôle d'administrateur

Pour passer au rôle security_admin, procédez comme suit :

  1. Connectez-vous à votre compte ServiceNow.

  2. Cliquez sur l'icône de votre profil, puis sélectionnez Elevate role (Élever le rôle).

  3. Sélectionnez security_admin, puis cliquez sur Update (Mettre à jour). Le rôle security_admin permet de créer des rôles et de gérer des utilisateurs.

Pour accorder le rôle security_admin à un autre utilisateur :

  1. Sélectionnez Tous, puis Utilisateurs sous Administration des utilisateurs.

  2. Recherchez et sélectionnez l'utilisateur dont vous devez modifier le rôle.

  3. Dans l'onglet Rôles, cliquez sur Modifier.

  4. Sélectionnez le rôle security_admin dans Collection et ajoutez-le à la liste des rôles.

Configurer des rôles et des autorisations utilisateur

Pour créer un datastore ServiceNow dans Gemini Enterprise, vous devez accorder les rôles et autorisations appropriés aux utilisateurs.

Voici les options permettant de définir les rôles et autorisations utilisateur pour vos instances ServiceNow :

Pour en savoir plus sur la visibilité et le contrôle des accès, consultez Visibilité des incidents et contrôle des accès.

Créer un rôle personnalisé avec des règles LCA (recommandé)

Créez un rôle personnalisé avec l'ensemble minimal d'autorisations.

  1. Accédez à All > User administration > Roles (Tous > Administration des utilisateurs > Rôles).

  2. Cliquez sur New (Nouveau).

  3. Saisissez un nom, puis cliquez sur Envoyer.

  4. Accédez à System security > Access control (ACL) (Sécurité système > Contrôle des accès [LCA]).

  5. Cliquez sur New (Nouveau) pour créer une règle LCA.

  6. Répétez les deux étapes suivantes jusqu'à ce que vous accordiez l'accès à toutes les tables requises.

    1. Utilisez sys_user_role comme exemple pour voir comment l'accès aux tables est accordé.

    2. Cliquez sur Submit (Envoyer), puis sélectionnez le rôle.

Accès aux tables requis

Le connecteur a besoin d'accéder aux tables suivantes pour que chaque entité s'exécute.

Nom du tableau Description

incident

Affichez les incidents dans les résultats de recherche.

sc_cat_item

Affichez les éléments du catalogue dans les résultats de recherche.

sc_cat_item_user_criteria_mtom

Affichez les utilisateurs qui peuvent accéder aux éléments du catalogue en fonction de critères les concernant.

sc_cat_item_user_criteria_no_mtom

Affichez les utilisateurs qui n'ont pas accès aux éléments du catalogue en fonction de critères les concernant.

sc_cat_item_user_mtom

Indiquez les utilisateurs qui peuvent accéder aux éléments du catalogue.

sc_cat_item_user_no_mtom

Affichez les utilisateurs qui n'ont pas accès aux éléments du catalogue.

kb_knowledge

Liste des articles de connaissances pouvant s'afficher dans les résultats de recherche.

kb_knowledge_base

Liste des bases de connaissances pouvant s'afficher dans les résultats de recherche.

kb_uc_can_contribute_mtom

Affichez qui peut contribuer aux bases de connaissances en fonction des critères utilisateur.

kb_uc_can_read_mtom

Indiquez qui peut lire les bases de connaissances en fonction des critères utilisateur.

kb_uc_cannot_read_mtom

Affichez les utilisateurs qui ne peuvent pas lire les bases de connaissances en fonction des critères utilisateur.

sys_user_role

Liste des rôles pouvant être attribués aux utilisateurs.

sys_user_has_role

Liste des rôles attribués aux utilisateurs.

sys_user_group

Liste des segments de groupes d'utilisateurs.

sys_user_grmember

Liste des membres pour les groupes.

sys_user

Liste de tous les utilisateurs.

core_company

Liste de tous les attributs de l'entreprise.

cmn_location

Liste de tous les attributs de lieu.

cmn_department

Liste de tous les attributs de service.

user_criteria

Liste des enregistrements de critères utilisateur.

sp_portal

URI du portail de liens dans les résultats de recherche.

m2m_sp_portal_knowledge_base

URI du portail de liens pour les articles de connaissances dans les résultats de recherche.

m2m_sp_portal_catalog

URI du portail de liens pour les éléments du catalogue dans les résultats de recherche.

Accorder et vérifier l'accès aux LCA

Le connecteur nécessite un accès LCA aux champs d'éléments du catalogue de la table sc_cat_item.

Pour accorder et vérifier l'accès, procédez comme suit :

  1. Accordez un accès explicite en créant une règle LCA et en saisissant manuellement sc_cat_item.* dans le champ Name (Nom) du formulaire.

    select
    Saisissez `sc_cat_item.*`

  2. Vérifiez que les LCA sont à jour.

  3. Accédez à sys_security_acl_role_list.do dans la barre de recherche.

  4. Définissez Role (Rôle) sur le rôle que vous souhaitez vérifier.

    select
    Sélectionnez le rôle à valider.

  5. Vérifiez que les LCA requises sont attribuées au rôle.

Utiliser un rôle personnalisé avec des administrateurs d'entité

Le rôle d'administrateur ne convient pas forcément aux équipes ou aux organisations qui souhaitent éviter d'attribuer des autorisations trop importantes. Cette option fournit un rôle avec trois autorisations spécifiques qui accordent l'accès requis.

  1. Accédez à All > System security > Users and groups > Roles (Tous > Sécurité système > Utilisateurs et groupes > Rôles).

  2. Sélectionnez New (Nouveau), puis saisissez un nom.

  3. Cliquez sur Envoyer.

  4. Recherchez le rôle créé dans la liste.

  5. Accédez à Contains roles > Edit (Contient les rôles > Modifier).

  6. Ajoutez les rôles suivants au rôle que vous venez de créer, puis cliquez sur Save (Enregistrer).

    • catalog_admin
    • knowledge_admin
    • incident_manager
    select
    Ajoutez des rôles, puis cliquez sur le bouton "Enregistrer".

  7. Vérifiez les rôles mis à jour.

    select
    Confirmer les rôles

Utiliser un rôle d'administrateur

Vous pouvez utiliser un rôle d'administrateur pour extraire des données. Utilisez le rôle d'administrateur par défaut configuré avec l'instance ou créez un utilisateur avec un rôle d'administrateur en procédant comme suit :

  1. Accédez à All > User administration > Users (Tous > Administration des utilisateurs > Utilisateurs).

  2. Créez un utilisateur.

  3. Activez l'option Web service access only (Accès au service Web uniquement). Lorsque vous sélectionnez Web service access only (Accès au service Web uniquement), vous créez un utilisateur non interactif.

    • Les utilisateurs interactifs peuvent se connecter à l'UI et au portail du service ServiceNow à l'aide d'identifiants standards ou de l'authentification unique (SSO), avec un accès complet aux pages de l'UI et aux points de terminaison de l'API.
    • Les utilisateurs non interactifs ont un accès limité à l'UI et ne peuvent autoriser que les connexions d'API par programmation pour l'intégration de service à service.

  4. Une fois l'utilisateur créé, sélectionnez-le dans la liste des utilisateurs.

  5. Cliquez sur Roles > Edit (Rôles > Modifier).

  6. Ajoutez un Admin (Administrateur).

  7. Cliquez sur Save (Enregistrer) pour ajouter une liste de rôles à l'utilisateur.

  8. Cliquez sur Set password (Définir un mot de passe), générez-le automatiquement, puis enregistrez-le.

Attribuer un rôle à un utilisateur

  1. Accédez à All > User administration > Users (Tous > Administration des utilisateurs > Utilisateurs).

  2. Recherchez ou créez un utilisateur.

  3. Si aucun utilisateur n'est disponible, accédez à System security > Users and groups > Users (Sécurité système > Utilisateurs et groupes > Utilisateurs).

  4. Cliquez sur Nouveau.

  5. Créez un compte de service dans la table des utilisateurs. Veillez à cliquer sur Web service access only (Accès au service Web uniquement).

  6. Faites défiler la page jusqu'à Roles (Rôles).

  7. Cliquez sur Modifier.

  8. Accordez le rôle que vous avez créé et attribuez-le à l'utilisateur. En fonction du type de rôle que vous avez créé à l'étape précédente, sélectionnez celui qui convient et attribuez-le à l'utilisateur. Cliquez sur Enregistrer.

  9. Affichez le rôle personnalisé avec la LCA.

  10. Obtenez le nom d'utilisateur et le mot de passe de l'utilisateur, puis cliquez sur Set password (Définir le mot de passe).

  11. Générez automatiquement un mot de passe et conservez-le pour une utilisation ultérieure.

Visibilité des incidents et contrôle des accès

Pour renforcer la sécurité et éviter l'exposition involontaire des données, le connecteur ServiceNow utilise un contrôle d'accès restrictif pour l'entité incident. Cela permet de s'assurer que les utilisateurs finaux ne peuvent consulter que les incidents auxquels ils sont directement associés.

Dans cette approche restrictive, le connecteur ne respecte pas les autorisations générales basées sur les rôles pour la visibilité des incidents. Les rôles ServiceNow standards tels que itil et sn_incident_read, qui peuvent donner à un utilisateur une visibilité sur tous les incidents dans l'UI ServiceNow, n'accordent pas le même niveau d'accès dans Gemini Enterprise.

Les utilisateurs disposant de l'un des rôles suivants ont une visibilité globale sur les incidents et peuvent tous les consulter :

  • admin
  • incident_manager
  • change_manager

Tous les autres utilisateurs ne peuvent consulter un incident que s'ils l'ont ouvert, rouvert, résolu ou fermé. Ils peuvent également consulter un incident s'ils sont :

  • membres du groupe d'attribution de l'incident ;
  • un appelant associé à l'incident ;
  • une personne responsable ;
  • inclus dans une liste de surveillance ;
  • inclus dans une liste de notes de travail ;
  • inclus dans une liste de personnes responsables supplémentaires.

Ce comportement empêche un utilisateur de Gemini Enterprise de consulter un incident auquel il n'a pas accès. En raison des restrictions supplémentaires par rapport aux autorisations ServiceNow plus générales, ce comportement peut parfois empêcher un utilisateur de consulter un incident dans Gemini Enterprise auquel il a accès dans ServiceNow.