

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Document-level Zugriffskontrollen
<a name="kb-managed-ds-confluence-acl"></a>

**ACL-Awareness ist keine Autorisierung**  
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.

Confluence-Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentenebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base bei jedem Crawl die Zugriffskontrolllisten (ACLs) von Confluence und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, für deren Zugriff sie in Confluence berechtigt sind. Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. [Aktivierung des Bewusstseins für Zugriffskontrolllisten](kb-managed-acl.md)

## Funktionsweise
<a name="kb-managed-ds-confluence-acl-how"></a>

Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled Confluence-Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:
+ **Pre-retrieval Filterung** — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die während des letzten Crawls von Confluence aus synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.
+ **Real-time Überprüfung** — Die Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers in Confluence überprüft. Nur Dokumente, auf die der Benutzer derzeit zugreifen darf, sind in der Antwort enthalten.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die Confluence-Berechtigungen zwischen den Synchronisierungen ändern.

## Was wird gecrawlt
<a name="kb-managed-ds-confluence-acl-crawl"></a>

Wenn ACLs aktiviert sind, crawlt Bedrock Managed Knowledge Base die folgenden Berechtigungsstrukturen von Confluence aus:
+ **Bereiche** — Bereichsberechtigungen gelten standardmäßig für alle Dokumente im Bereich.
+ **Seiten** — Seiten können auf bestimmte Benutzer und Gruppen beschränkt werden. Verschachtelte Seiten übernehmen Einschränkungen von der übergeordneten Seite.
+ **Blogs** — Blogbeiträge können auf bestimmte Benutzer und Gruppen beschränkt werden.
+ **Anlagen** — Dateien, die an Seiten oder Blogbeiträge angehängt sind, übernehmen die Zugriffskontrollen des übergeordneten Dokuments.

## Aktivieren Sie ACL Awareness
<a name="kb-managed-ds-confluence-acl-enable"></a>

Um ACL Awareness für eine Confluence-Datenquelle zu aktivieren, setzen Sie `true` in der `aclEnabled` auf `connectorParameters` und verwenden Sie den `BASIC` Authentifizierungstyp. Der geheime Schlüssel muss neben der Standard-E-Mail und dem API-Token auch die Administratoranmeldedaten der Atlassian-Organisation enthalten. Diese Administratoranmeldedaten sind für das Identitäts-Crawling erforderlich.

**Wichtig**  
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.

Zusätzlich zum Standard `username` `password` (API-Token) und den `hostUrl` Feldern muss das AWS Secrets Manager Geheimnis die folgenden Administratorfelder der Organisation enthalten. Eine schrittweise Anleitung zum Abrufen dieser Werte finden Sie unter[Standardauthentifizierung für Confluence einrichten](kb-managed-confluence-basic-setup.md).
+ `adminApiKey`— Ein API-Schlüssel für eine Organisation von Atlassian mit den Bereichen `read:directories:admin` und`read:workspaces:admin`.
+ `organizationId`— Die UUID deiner Atlassian-Organisation.
+ `directoryId`— Die UUID des Benutzerverzeichnisses für deinen Confluence-Workspace.

**Anmerkung**  
Der `OAUTH2` Authentifizierungstyp wird für Confluence-Datenquellen nicht unterstützt. ACL-enabled Du musst die `BASIC` Administratoranmeldedaten der Atlassian-Organisation in The Secret verwenden.

## Real-time Verifizierung des Zugriffs
<a name="kb-managed-ds-confluence-acl-realtime"></a>

Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument bei der Abfrage vollständig serverseitig anhand von Confluence. Dabei wird das im Secret konfigurierte Atlassian Admin-API-Token verwendet — es gibt keine Endbenutzer-Anmeldung. Das Admin-Token überprüft die aktuellen Speicherplatz-, Seiten- und Blog-Einschränkungen des anfragenden Benutzers, sodass Zugriffsänderungen, die seit dem letzten Crawl vorgenommen wurden, berücksichtigt werden.

## Überprüfen Ihrer Konfiguration
<a name="kb-managed-ds-confluence-acl-verify"></a>

Sie können Ihre Anmeldeinformationen unabhängig von einer Abrufanforderung überprüfen. Führen Sie jede der folgenden Prüfungen durch:

1. **Zugriff auf Confluence-Inhalte (Crawl)**:
   + Rufen Sie mit dem `username` und API-Token (`password`) aus dem Secret die Confluence-REST-API auf (z. B. Listspaces) und bestätigen Sie, dass sie HTTP 200 zurückgibt.

1. **Atlassian Admin-API (Identitäts-Crawling** und Überprüfung in Echtzeit):
   + Vergewissere dich, dass der den Geltungsbereich und den `adminApiKey` `read:directories:admin` Geltungsbereich hat. `read:workspaces:admin`
   + Rufe mit dem die `adminApiKey` Atlassian Admin-Verzeichnis-API für dein `organizationId` und auf `directoryId` und bestätige, dass sie die Benutzer und Gruppen deiner Organisation zurückgibt.

## Fehlerbehebung
<a name="kb-managed-ds-confluence-acl-troubleshooting"></a>

**Anmerkung**  
ACL-Fehlkonfigurationen führen nicht zu expliziten Fehlern beim Abrufen. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.


**ACL-enabled Symptome, Ursachen und Lösungen von Confluence**  

| Symptom | Wahrscheinliche Ursache | Reparieren | 
| --- | --- | --- | 
| Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff in Confluence. | Im Atlassian Admin-API-Schlüssel fehlen Bereiche oder dasorganizationId/directoryIdist falsch, sodass Benutzer- und Gruppeneinschränkungen nicht aufgehoben werden können. | Bestätigeread:workspaces:admin, dass „adminApiKeyhat“ read:directories:admin und „und“ und „und“ richtig organizationId sind. directoryId | 
| Das Crawlen oder Synchronisieren schlägt fehl. | Das username oder API-Token (password) ist ungültig. | Überprüfen Sie den BASIC Benutzernamen und das API-Token im Secret. | 
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Das API-Token oder der Admin-API-Schlüssel ist abgelaufen oder wurde gesperrt. | Wechseln Sie die betroffenen Anmeldeinformationen im Secret ab. | 