Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Document-level Zugriffskontrollen
OneDrive Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base OneDrive bei jedem Crawl Zugriffskontrolllisten (ACLs) und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, auf die sie zugreifen dürfen. OneDrive Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten
ACL-Awareness ist keine Autorisierung
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Die Bedrock Managed Knowledge Base kann die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen. Daher filtert diese Funktion Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.
Funktionsweise
Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled OneDrive Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:
-
Pre-retrieval Filterung — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die OneDrive beim letzten Crawl synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.
-
Real-time Überprüfung — Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers überprüft. OneDrive Nur Dokumente, für die der Benutzer derzeit berechtigt ist, sind in der Antwort enthalten.
Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die OneDrive Berechtigungen zwischen den Synchronisierungen ändern.
Was wird gecrawlt
Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base Freigabeberechtigungen auf Dateiebene und Sicherheitsgruppenzuweisungen von. OneDrive Verschachtelte (transitive) Gruppenmitgliedschaften werden ebenfalls aufgelöst.
Bei der Abfrage übergeben Sie die E-Mail-Adresse des Benutzers (keine Gruppe). Bedrock Managed Knowledge Base löst die Gruppenmitgliedschaften dieses Benutzers anhand der gecrawlten Daten auf und wendet sie beim Filtern der Ergebnisse an. Weitere Informationen zum Identitätsmodell finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten
Voraussetzungen für ACL Awareness
ACL-enabled OneDrive verwendet zwei verschiedene Microsoft-APIs, von denen jede ihren eigenen Anwendungsberechtigungssatz für Ihre Microsoft Entra-Anwendung hat: Der Crawl verwendet die Microsoft Graph-API und die Echtzeitüberprüfung verwendet die SharePoint REST-API (OneDrive for Business wird unterstützt von). SharePoint Konfigurieren Sie die Berechtigungen für beide APIs mit Zustimmung des Administrators, bevor Sie ACL Awareness aktivieren.
-
User.Read.AllundGroupMember.Read.Allauf Microsoft Graph (für Identity Crawling). -
Sites.FullControl.Allaktiviert SharePoint (für die Überprüfung des Zugriffs auf Dokumente).Sites.Read.Allist nicht ausreichend — der Nur-Lese-Zugriff kann nicht die effektive Berechtigungsprüfung durchführen, die für die Echtzeitverifizierung erforderlich ist.
Wichtig
Der Crawl verwendet die Microsoft Graph-API und die Echtzeitverifizierung verwendet die SharePoint REST-API — verschiedene Ressourcen mit unterschiedlichen Anwendungsberechtigungen. Die Microsoft Graph-Berechtigungen zum Crawlen von Identitäten sind erforderlich, reichen aber nicht aus: Für die Echtzeitverifizierung ist zusätzlich die SharePoint Sites.FullControl.All Genehmigung mit Zustimmung des Administrators erforderlich. Die ausschließliche Gewährung von Microsoft Graph-Berechtigungen ist die häufigste Ursache dafür, dass eine ACL-enabled OneDrive Datenquelle keine Ergebnisse zurückgibt, selbst wenn der Benutzer Zugriff hat.
Das vollständige Einrichtungsverfahren, einschließlich des Zertifikats, finden Sie unterRichten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive.
Aktivieren Sie ACL Awareness
Um ACL Awareness für eine OneDrive Datenquelle aclEnabled zu aktivieren, setzen Sie true in der auf connectorParameters und verwenden Sie den ENTRA_APP_ID Authentifizierungstyp. Dieser Authentifizierungstyp verwendet Anwendungsberechtigungen, die es Bedrock Managed Knowledge Base ermöglichen, Identitätsinformationen zu crawlen und den Zugriff auf Dokumente bei der Abfrage zu überprüfen.
Wichtig
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.
Wenn ACLs für aktiviert sind OneDrive, müssen Sie eine certificateS3Path in die Referenzdatei mit dem connectionConfiguration Verweis auf eine PKCS #12 (.p12) -Zertifikatsdatei in Amazon S3 aufnehmen. Dieses Zertifikat wird für die ACL-Verifizierung in Echtzeit anhand der SharePoint REST-API verwendet. Das certificateS3Path ist nicht erforderlich, wenn ACLs deaktiviert sind.
"connectorParameters": { "type": "ONEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_APP_ID", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "crawlPersonalDrives": true } }
Anmerkung
Das certificatePassword Feld im Secret ist optional. Wenn Sie es weglassen, öffnet Bedrock Managed Knowledge Base die PKCS #12 (.p12) -Datei mit der Client-ID Ihrer Anwendung als Passwort, sodass das Zertifikat mit diesem Passwort erstellt worden sein muss. Wir empfehlen, immer eine explizite, hohe Entropie festzulegen, um den privaten Schlüssel des Zertifikats im certificatePassword Ruhezustand zu schützen.
Anmerkung
Der OAUTH2 Authentifizierungstyp wird für Datenquellen nicht unterstützt. ACL-enabled OneDrive Sie müssen ENTRA_APP_ID verwenden.
Real-time Überprüfung des Zugriffs
Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument in Echtzeit vollständig serverseitig unter Verwendung von Anmeldedaten — es gibt weder eine Anmeldung durch den Endbenutzer noch eine delegierte Zustimmung. Da OneDrive for Business unterstützt wird SharePoint, überprüft Bedrock Managed Knowledge Base die effektiven Berechtigungen des abfragenden Benutzers anhand der REST-API für den SharePoint Host Ihres Mandanten. OneDrive
OneDrive Die Echtzeitverifizierung verwendet ein Modell mit zwei Anmeldeinformationen, und beide Anmeldeinformationen sind erforderlich:
Die Client-ID und das Client-Geheimnis in Ihrem AWS Secrets Manager Secret bilden ein Microsoft Graph-Token, das verwendet wird, um den OneDrive Host Ihres Mandanten (den
-my.sharepoint.comHost) aufzulösen.Das Zertifikat von
certificateS3Pathmintet das SharePoint REST-Token, das für die Berechtigungsprüfung selbst verwendet wurde. Das Zertifikat ist der maßgebliche Berechtigungsnachweis für die Überprüfung in Echtzeit — ein geheimes Client-Token allein kann die Prüfung nicht durchführen.
Wichtig
Die Anwendung muss über die SharePoint Sites.FullControl.All entsprechende Genehmigung mit Zustimmung des Administrators verfügen. Das Sites.Read.All ist nicht ausreichend, da für die Prüfung der effektiven Berechtigungen Kontrollrechte erforderlich sind. manage/full Ohne die richtige Berechtigung kann die Echtzeitüberprüfung die effektiven Berechtigungen nicht auswerten und schlägt beim Schließen fehl, sodass jedes Dokument für jede Abfrage verweigert wird — selbst wenn der Benutzer Zugriff hat und der Crawl und die Filterung vor dem Abruf erfolgreich waren. Weitere Informationen finden Sie unter Voraussetzungen für ACL Awareness.
Anmerkung
Nachdem Sie die SharePoint Anwendungsberechtigung erteilt haben oder ihr zugestimmt haben, kann es bis zu einer Stunde dauern, bis die Änderung für Benutzer wirksam wird, die vor der Änderung geprüft wurden, da die Anmeldeinformationen für den Anwendungszugriff zwischengespeichert werden. Um die Änderung früher zu bestätigen, testen Sie es mit einem anderen Benutzer, der noch nicht abgefragt wurde.
Überprüfen Ihrer Konfiguration
Sie können Ihre Entra-Anwendungsberechtigungen unabhängig von einer Abrufanforderung validieren. Führen Sie jede der folgenden Prüfungen durch:
-
Microsoft Graph (Crawl):
Erwerben Sie ein Anwendungstoken mit Gültigkeitsbereich
https://graph.microsoft.com/.default.Dekodieren Sie das Token und bestätigen Sie, dass der
rolesAnspruch die erforderlichen Microsoft Graph-Berechtigungen (User.Read.AllGroupMember.Read.All, undFiles.Read.All) enthält.Rufen Sie an
GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/childrenund bestätigen Sie, dass die Laufwerkselemente des Benutzers aufgelistet sind.
-
SharePoint REST (Überprüfung in Echtzeit):
Erwerben Sie ein Token mithilfe der Zertifikatsclient-Assertion mit Gültigkeitsbereich
https://{tenant}-my.sharepoint.com/.default.Bestätigen Sie, dass der
rolesAnspruch des Tokens die SharePointSites.FullControl.AllGenehmigung beinhaltet. Einroles: nullWert bedeutet, dass die Erlaubnis oder die Zustimmung des Administrators fehlt.Rufen Sie an
GET https://{tenant}-my.sharepoint.com/_api/webund bestätigen Sie, dass es erfolgreich ist (HTTP 200). Eine fehlgeschlagene oder nicht autorisierte Antwort bedeutet, dass die SharePoint Genehmigung oder die Zustimmung des Administrators fehlt, wodurch alle Dokumente verweigert werden.
Anmerkung
Nachdem Sie die Berechtigung korrigiert haben, ist der SharePoint Aufruf auf Token-Ebene sofort erfolgreich, aber ein vollständiger Abruf für einen bereits getesteten Benutzer kann immer noch um die in der Zugriffsüberprüfung beschriebene Cache-TTL verzögert werden. Real-time Gehen Sie nicht davon aus, dass der Fix fehlgeschlagen ist, wenn ein Benutzer im Cache liegt.
Fehlerbehebung
Anmerkung
ACL-Fehlkonfigurationen führen beim Abrufen nicht zu expliziten Fehlern. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.
| Symptom | Wahrscheinliche Ursache | Reparieren |
|---|---|---|
| Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff auf OneDrive. | Microsoft Graph-Berechtigungen sind vorhanden, aber die SharePoint Anwendungsberechtigung oder die Zustimmung des Administrators fehlt, sodass der SharePoint REST-Aufruf abgelehnt und jedes Dokument verweigert wird. | Erteilen Sie die SharePoint Sites.FullControl.All Erlaubnis mit Zustimmung des Administrators. Da diese Anwendungsanmeldedaten zwischengespeichert werden, sollten Sie bis zu einer Stunde warten, bis die Änderung wirksam wird, oder testen Sie sie mit einem Benutzer, der noch nicht abgefragt wurde, um dies früher zu bestätigen. |
| Der Zugriff eines Benutzers wurde geändert OneDrive, aber das neue Ergebnis wird nicht sofort übernommen. | Per-user Die Zugriffsergebnisse zwischen der Datenquelle und der Bedrock Managed Knowledge Base sind letztendlich konsistent (normalerweise innerhalb von etwa zwei Minuten), sodass eine kürzlich erfolgte Zugriffsänderung möglicherweise nicht sofort widergespiegelt wird. | Warten Sie etwa zwei Minuten, nachdem die Datenquelle die Änderung übernommen hat, und versuchen Sie es erneut. |
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Das Zertifikat ist abgelaufen oder die Zustimmung des Administrators wurde widerrufen. | Erneuern Sie das Zertifikat in der Entra-App-Registrierung und in Amazon S3 und erteilen Sie erneut die Zustimmung des Administrators. |
| Das Crawlen oder Synchronisieren schlägt fehl, obwohl die Konfiguration korrekt aussieht. | Eine erforderliche Microsoft Graph-Anwendungsberechtigung fehlt. | Grant Files.Read.AllSites.Read.All,User.Read.All, undGroupMember.Read.All. |
| Fehler bei der Erstellung von Zertifikatskennwörtern oder Tokens. | Das .p12 Passwort stimmt nicht überein. certificatePassword |
Stellen Sie certificatePassword das Passwort ein, mit dem die .p12 Datei erstellt wurde. |