Konfigurieren Sie den Microsoft SharePoint Online-Verbindungsdatensatz

Generieren Sie ein Zertifikat für Windows

Generieren Sie eine digitale Zertifikatdatei im .cer-Format, um sie in Microsoft Azure hochzuladen.

Vorbereitungen

Erforderliche Rolle: admin

Prozedur

Navigieren Sie zu https://learn.microsoft.com/en-us/sharepoint/dev/solution-guidance/security-apponly-azuread#setting-up-an-azure-ad-app-for-app-only-access.
1. Navigieren Sie zu https://learn.microsoft.com/en-us/sharepoint/dev/solution-guidance/security-apponly-azuread#setting-up-an-azure-ad-app-for-app-only-access.
2. Führen Sie das PowerShell-Skript aus.
  Das Skript generiert zwei Dateien mit den Erweiterungen .pfx und cer.
  Hinweis:
  Speichern oder merken Sie sich das Passwort, das zum Verschlüsseln des privaten Schlüssels zum Generieren der .pfx-Datei und der .cer-Dateien verwendet wird.
3. Verwenden Sie die PFX-Datei, um eine JKS-Datei (Java Key Store) zu erstellen.
  
  Hinweis:
  Speichern oder merken Sie sich das Passwort, das zum Generieren der JKS-Datei aus der PFX-Datei verwendet wird.
Führen Sie das PowerShell-Skript aus.
Das Skript generiert zwei Dateien mit den Erweiterungen .pfx und cer.
Hinweis:
Speichern oder merken Sie sich das Passwort, das zum Verschlüsseln des privaten Schlüssels zum Generieren der .pfx-Datei und der .cer-Dateien verwendet wird.
Verwenden Sie die PFX-Datei, um eine JKS-Datei (Java Key Store) zu erstellen.

Hinweis:
Speichern oder merken Sie sich das Passwort, das zum Generieren der JKS-Datei aus der PFX-Datei verwendet wird.

Generieren Sie ein selbstsigniertes Zertifikat für Mac

Generieren Sie eine digitale Zertifikatdatei im .cer-Format, um sie in Microsoft Azure hochzuladen.

Vorbereitungen

Erforderliche Rolle: admin

Prozedur

Öffnen Sie das Terminal auf Ihrem Mac-Computer.
Führen Sie das Skript keytool -genkey -keyalg RSA -alias selbstsigniert -keystore aus<filename> .jks – Storepass<enter password for keystore> -Gültigkeit 720 -Schlüsselgröße 2048 .

Hinweis:
Das Passwort für den Schlüsselspeicher muss mindestens sechs Zeichen enthalten.

Der Schlüsselspeicher fordert Sie auf, bestimmte Informationen einzugeben.
Geben Sie Ihre anwenderdefinierten Informationen ein, wie in der Abbildung dargestellt.
Drücken Sie die Eingabetaste.
Es wird empfohlen, zum PKCS12-Format zu migrieren.
Führen Sie das Skript keytool -importkeystore -srckeystore aus<filename> .jks – destkeystore .jks -deststoretype pkcs12 .
Geben Sie das Passwort des Quellschlüsselspeichers ein.
Die Migration zu PKCS12 war erfolgreich.
Führen Sie das Skript keytool -exportcert -keyalg RSA -alias selbstsigniert -keystore aus<filename> .jks – Storepass<password to the keystore> -rfc -Datei .cer .
Das Skript generiert die .cer-Datei.
Um die .cer-Datei zu finden, navigieren Sie zu dem Speicherort auf Ihrem lokalen Datenträger.

Konfigurieren Sie eine -Anwendung in Microsoft Azure

Erstellen Sie mithilfe des Azure-Portals eine anwenderdefinierte App, um Anforderungen zu authentifizieren.

Vorbereitungen

Zugriff auf das Microsoft Azure-Portal
Erforderliche Rolle: admin

Prozedur

Laden Sie das Zertifikat in das Portal Microsoft Azure hoch.
1. Melden Sie sich bei https://portal.azure.com/ an.
2. Wählen Sie App-Registrierungen aus.
3. Wählen Sie Alle Anwendungen oder Eigene Anwendungen.
4. Geben Sie im Suchfeld den Namen der von Ihnen erstellten OAuth-Anwendung ein.
  Informationen zum Konfigurieren einer OAuth-Anwendung finden Sie unter Konfigurieren Sie die OAuth-Anwendung in Microsoft Azure.
5. Wählen Sie im linken Bereich unter der Überschrift Verwalten die Option Zertifikate und Geheimnisse aus.
6. Wählen Sie unter Zertifikate und Geheimnisse die Option Zertifikate aus.
7. Wählen Sie Zertifikat hochladen aus.
8. Wählen Sie im Fenster „Zertifikat hochladen“ das Ordnersymbol ( Ordnersymbol), um zu der von Ihnen generierten -Datei zu navigieren.
9. Geben Sie im Feld Beschreibung eine Beschreibung des Zertifikats ein.
10. Wählen Sie Hinzufügen.
  Das Zertifikat wird hochgeladen.
11. Kopieren Sie den Fingerabdruckwert aus der Spalte „Fingerabdruck“, und speichern Sie ihn an einem sicheren Ort.
  Hinweis:
  Achten Sie darauf, den gesamten Wert von Fingerabdruck zu kopieren.
  Alternativ können Sie den Fingerabdruck kopieren, indem Sie auf Manifestklicken.
12. Codieren Sie den Fingerabdruckwert in einen Base64-Wert, und zeichnen Sie den Wert zur späteren Verwendung auf.
Hinweis:
Sie können ein Hexadezimal-zu-Base64-Konvertierungstool (Hex-zu-Base64) verwenden, um den Fingerabdruckwert in einen Base64-Wert zu codieren.
Rufen Sie Berechtigungen für den Zugriff auf die REST APIs ab, die die Spoke zur Automatisierung von Aktionen benötigt.
1. Wählen Sie im linken Bereich unter der Überschrift Verwalten die Option API-Berechtigungen aus.
2. Wählen Sie unter der Überschrift Konfigurierte Berechtigungen die Option + Berechtigung hinzufügenaus.
3. Wählen Sie im Fenster „API-Berechtigungen anfordern“ die Option SharePointaus.
4. Klicken Sie auf Application permissions (Anwendungsberechtigungen).
5. Erweitern Sie die Sites-Liste.
6. Wählen Sie Sites.VollständigeSteuerung.Alle aus.
  Ihre ServiceNow-Instanz hat jetzt vollständige Kontrolle über alle Websites in Microsoft SharePoint Online.
7. Wählen Sie Berechtigungen hinzufügen.
  Die Berechtigungen werden hinzugefügt.
8. Um die Administratorzustimmung zu erteilen, wählen Sie Administratorzustimmung für ServiceNowgewähren aus.
9. Wählen Sie im Bestätigungsfenster Administratorzustimmung erteilen die Option Jaaus.
  Die Administratorzustimmung wird erteilt.

Hängen Sie ein Java Key Store-Zertifikat an

Aktivieren Sie die JWT-Bearer-Grant-Token-Authentifizierung, indem Sie ein gültiges JKS-Zertifikat (Java Key Store) anfügen.

Vorbereitungen

Gültiges Java Key Store-Zertifikat
Erforderliche Rolle: admin

Prozedur

Navigieren zu Systemdefinition > Zertifikate.
Öffnen Sie den Datensatz Microsoft SharePoint Online Certificate.

Hinweis:
Stellen Sie sicher, dass Sie nur den Standarddatensatz Microsoft SharePoint Online Certificate verwenden.
Geben Sie unter Schlüsselspeicher-Passwortdas Passwort ein, das der JKS-Datei zugeordnet ist.
Klicken Sie auf das Anhangsymbol ( ), und hängen Sie das generierte JKS-Zertifikat an.
Weitere Informationen finden Sie unter Konfigurieren Sie die OAuth-Anwendung in Microsoft Azure.
Klicken Sie auf Speicher/Zertifikate validieren.
Klicken Sie auf Aktualisieren.

Konfigurieren Sie den JWT-Signaturschlüssel

Erstellen Sie einen JSON Web Token (JWT)-Signaturschlüssel, um ihn Ihrem Java Key Store-Zertifikat zuzuweisen.

Vorbereitungen

Erforderliche Rolle: admin

Prozedur

Navigieren zu System-OAuth > JWT-Schlüssel.
Öffnen Sie den Datensatz Microsoft SharePoint Online JWT Keys.
Geben Sie im Feld Signaturschlüssel-Passwort das Passwort ein, das zum Verschlüsseln des privaten Schlüssels zum Generieren der PFX-Datei und der .cer-Datei verwendet wird.
Klicken Sie auf Aktualisieren.

Konfigurieren Sie den JWT-Provider

Fügen Sie Ihrer -Instanz ServiceNow einen JSON-Web-Token-Provider (JWT) hinzu.

Vorbereitungen

Kopieren Sie den Wert der Anwendungs-ID (Client) und der Verzeichnis -ID (Mandant) der Anwendung, die Sie im Azure-Portal registriert haben, und notieren Sie sie.
Erforderliche Rolle: admin

Prozedur

Navigieren zu System-OAuth > JWT-Anbieter.
Öffnen Sie den Datensatz Microsoft SharePoint Online JWT Provider.

Geben Sie in der zugehörigen Liste „Standardansprüche“ Werte für „iss“, „ sub“ und „aud“ ein.


Feld	Wert
aud	Microsoft Online-URL in diesem Format: `https://login.microsoftonline.com/`<tenant-id> /oauth2/token . Ersetzen<tenant-id> mit dem Wert der `Verzeichnis-ID (Mandant)` Ihrer Anwendung wurde im Azure-Portal registriert.
iss	Anwendungs-ID (Client) der Anwendung, die Sie im Azure-Portal registriert haben.
sub	Anwendungs-ID (Client) der Anwendung, die Sie im Azure-Portal registriert haben.

Klicken Sie auf Aktualisieren.

Registrieren Sie Microsoft SharePoint Online als OAuth-Anbieter

Verwenden Sie die Informationen, die während der Konfiguration des Accounts für [ Microsoft SharePoint Online generiert wurden, um Microsoft SharePoint Online als OAuth-Anbieter zu registrieren und der Instanz die Anforderung von OAuth 2.0-Token zu gestatten.

Vorbereitungen

Erforderliche Rolle: admin.

Prozedur

Navigieren zu System-OAuth > Applikationsregistrierung.
Klicken Sie auf Neu.
Das System zeigt die Meldung Welche Art von OAuth-Anwendung?
Wählen Sie Verbindung zu einem fremden OAuth-Provider herstellen aus.
Das System zeigt ein leeres Anwendungsregistrierungsformular an.

Geben Sie die folgenden Werte ein.


Feld	Wert erforderlich
Name	Name zur eindeutigen Identifizierung des Datensatzes. Geben Sie beispielsweise `SharePoint OAuth Profile`ein.
Client-ID	Client-ID in diesem Format:<ClientID> .
Geheimer Clientschlüssel	Geheimer Clientschlüssel, den Sie während der Konfiguration des Accounts Microsoft SharePoint Online erstellt haben.
OAuth-API-Skript	Wählen Sie OAuthUtilSPJWTOnline aus.
Standardgewährungstyp	Wählen Sie Client-Anmeldeinformationen aus.
Token-URL	Token-URL in diesem Format: `https://login.microsoftonline.com/`<tenant-id> /oauth2/token . Ersetzen<tenant-id> mit dem Wert der `Verzeichnis-ID (Mandant)` Ihrer Anwendung wurde im Azure-Portal registriert.

Fügen Sie in der zugehörigen Liste „OAuth-Entitätsbereiche“ einen Datensatz mit diesen Werten ein.


Name	OAuth-Anwendungsbereich
scope	`https://<MS-SharePoint-tenant-name>.sharepoint.com/.default`

Fügen Sie den OAuth-Entitätsumfangsdatensatz ein.

Klicken Sie mit der rechten Maustaste auf den Formularheader und wählen Sie Speichern aus.
Das System validiert die OAuth-Anmeldeinformationen und erstellt die zugehörige Liste OAuth-Entitätsprofile.

Ergebnisse

Die Instanz kann OAuth 2.0-Token für die Spoke anfordern.

Erstellen Sie Anmeldeinformationsdatensätze für die Microsoft SharePoint Online-Spoke

Erstellen Sie Datensätze für Anmeldeinformationen in der anwenderdefinierten OAuth-Anwendung [ Microsoft SharePoint Online, die Sie während der Konfiguration des Accounts Microsoft SharePoint Online erstellt haben. Die Aliasse für Verbindungen und Anmeldeinformationen Microsoft SharePoint Online-Spoke verwenden diese Anmeldeinformationen zum Autorisieren von Aktionen.

Vorbereitungen

Erforderliche Rolle: admin.

Prozedur

Navigieren zu Verbindungen und Anmeldeinformationen > Akadem. Grade.
Klicken Sie auf Neu.
Das System zeigt die Meldung Welche Art von Anmeldeinformationen möchten Sie erstellen? an..
Wählen Sie OAuth 2.0-Anmeldeinformationen aus.
Das Pop-up-Fenster zeigt ein leeres Formular für die OAuth 2.0-Anmeldeinformationen an.

Geben Sie die folgenden Werte ein.


Feld	Wert erforderlich
Name	Geben Sie einen eindeutigen Namen ein, um den Datensatz zu identifizieren. Geben Sie beispielsweise `SharePoint-Anmeldeinformationen`ein.
Aktiv	Aktivieren
OAuth-Einheitenprofil	Wählen Sie das OAuth-Profil aus, das Sie bei der Registrierung der anwenderdefinierten Anwendung Microsoft SharePoint Online als OAuth-Anbieter erstellt haben. Wählen Sie beispielsweise SharePoint-OAuth-Profilaus.
Betrifft	Wählen Sie die MID Server aus, die diese Anmeldeinformationen verwenden können. Wählen Sie beispielsweise Alle MID Server aus.
Bestellung	Wählen Sie die Reihenfolge aus, in der diese Anmeldeinformationen angewendet werden. Geben Sie z. B. `100` ein.

Speichern Sie den Datensatz.

Erstellen Sie Verbindungsdatensätze für die Microsoft SharePoint Online-Spoke

Erstellen Sie Verbindungsdatensätze für Ihren Account Microsoft SharePoint Online. Der Alias für Verbindungen und Anmeldeinformationen Microsoft SharePoint Online-Spoke verwendet diese Verbindungen, um Aktionen für Microsoft SharePoint Onlineauszuführen.

Vorbereitungen

Erforderliche Rolle: admin.

Prozedur

Navigieren zu Verbindungen und Anmeldeinformationen > Aliasse für Verbindungen und Anmeldeinformationen.
Öffnen Sie den Aliasdatensatz für Verbindungen und Anmeldeinformationen für MicrosoftSharePointOnline.
Klicken Sie auf der Registerkarte Verbindungen auf Neu.
Das System zeigt ein leeres HTTP(s)-Verbindungsformular an.

Füllen Sie die Felder des Formulars aus.


Feld	Wert erforderlich
Name	Geben Sie einen eindeutigen Namen ein, um den Verbindungsdatensatz zu identifizieren. Geben Sie beispielsweise `SharePoint-Verbindung`ein.
Anmeldeinformationen	Wählen Sie den Anmeldeinformationsdatensatz aus, den Sie für Microsoft SharePoint Onlineerstellt haben. Wählen Sie beispielsweise SharePoint-Anmeldeinformationenaus.
Verbindungsalias	Wählen Sie den Verbindungsalias-Datensatz aus, den Sie für Microsoft SharePoint Onlineerstellt haben.
Aktiv	Aktivieren
Verbindungs-URL	Geben Sie die SharePoint-Stamm-URL ein. Beispiel: `https://`<SiteName> .sharepoint.com .

Geben Sie auf der Registerkarte Attribute den Base64-codierten Wert Fingerabdruck ein.

Hinweis:
Der Fingerabdruckwert ist ein hexadezimaler Wert. Sie können ein Hexadezimal-zu-Base64-Konvertierungstool (Hex-zu-Base64) verwenden, um den Fingerabdruckwert in einen Base64-Wert zu codieren.
Klicken Sie auf Absenden.
Der Account Microsoft SharePoint Online wird in Ihre Instanz ServiceNow ] integriert, und die Spoke kann verwendet werden.
Hinweis:
Wenn Single Sign-on eingerichtet ist, konfigurieren Sie Ihre Flows so, dass die Benutzerdetails von Microsoft SharePoint Online mithilfe der Spoke-Aktion Benutzerinformationen nach Anmeldename suchen abgerufen werden, um zu überprüfen, ob der Benutzer zum Ausführen der erforderlichen Aktionen berechtigt ist.

Nächste Maßnahme

Navigieren zu Verbindungen und Anmeldeinformationen > Akadem. Grade.
Öffnen Sie den von Ihnen erstellten Anmeldeinformationsdatensatz. Beispiel: SharePoint-Anmeldeinformationen.
Klicken Sie unter Zugehörige Links auf OAuth-Token abrufen.
Das System zeigt eine Bestätigungsmeldung an, dass der OAuth-Token-Flow erfolgreich abgeschlossen wurde. Überprüfen Sie die Details, wenn der Flow nicht erfolgreich abgeschlossen wird.
Hinweis:
Stellen Sie sicher, dass Sie Popup-Fenster in Ihrem Browser zulassen.
Das Spoke-Setup ist abgeschlossen, und Sie können die Flows gemäß Ihren Anforderungen verwenden.
Hinweis:
Wenn das generierte Token nach dem Spoke-Setup nicht funktioniert, öffnen Sie Ihre OAuth-Anwendung im Azure-Portal, und aktivieren Sie die beiden Kontrollkästchen unter Implizite Gewährung und Hybrid-Flows.