Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Document-level Zugriffskontrollen
SharePoint Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base SharePoint bei jedem Crawl Zugriffskontrolllisten (ACLs) und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, auf die sie zugreifen dürfen. SharePoint Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten
ACL-Awareness ist keine Autorisierung
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.
Funktionsweise
Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled SharePoint Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:
-
Pre-retrieval Filterung — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die SharePoint beim letzten Crawl synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.
-
Real-time Überprüfung — Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers überprüft. SharePoint Nur Dokumente, für die der Benutzer derzeit berechtigt ist, sind in der Antwort enthalten.
Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die SharePoint Berechtigungen zwischen den Synchronisierungen ändern.
Was wird gecrawlt
Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base die folgenden Berechtigungsstrukturen von: SharePoint
Site-level Mitgliedschaften und Rollenzuweisungen
Berechtigungen auf Bibliotheksebene
Item-level (Datei- und Seiten-) Berechtigungen, einschließlich eindeutiger Berechtigungen, die die Vererbung unterbrechen
Sicherheitsgruppenmitgliedschaften, einschließlich Microsoft Entra ID (Azure AD) -Sicherheitsgruppen, E-Mail-aktivierte Sicherheitsgruppen und Verteilergruppen. Verschachtelte (transitive) Gruppenmitgliedschaften werden ebenfalls aufgelöst.
Bei der Abfrage übergeben Sie die E-Mail-Adresse des Benutzers (keine Gruppe). Bedrock Managed Knowledge Base löst die Gruppenmitgliedschaften dieses Benutzers anhand der gecrawlten Daten auf und wendet sie beim Filtern der Ergebnisse an. Weitere Informationen zum Identitätsmodell finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten
Aktivieren Sie ACL Awareness
Um ACL Awareness für eine SharePoint Datenquelle aclEnabled zu aktivieren, setzen Sie true in der auf connectorParameters und verwenden Sie den ENTRA_ID_APP_ONLY Authentifizierungstyp. Dieser Authentifizierungstyp verwendet zertifikatsbasierte Anwendungsberechtigungen, die es Bedrock Managed Knowledge Base ermöglichen, Identitätsinformationen zu crawlen und den Zugriff auf Dokumente zum Zeitpunkt der Abfrage zu überprüfen.
Wichtig
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.
Ihre Entra ID-App-Registrierung muss über die folgenden Anwendungsberechtigungen verfügen:
User.Read.AllundGroupMember.Read.Allauf Microsoft Graph (für Identity Crawling)Sites.FullControl.Allauf SharePoint oderSites.Selectedmit erteilten Berechtigungen pro Site (zur Überprüfung des Dokumentenzugriffs)
Das connectionConfiguration muss einen certificateS3Path Verweis auf eine PKCS #12 (.p12) -Zertifikatsdatei in Amazon S3 enthalten.
Anmerkung
Das certificatePassword Feld im Secret ist optional. Wenn Sie es weglassen, öffnet Bedrock Managed Knowledge Base die PKCS #12 (.p12) -Datei mit der Client-ID Ihrer Anwendung als Passwort, sodass das Zertifikat mit diesem Passwort erstellt worden sein muss. Wir empfehlen, immer eine explizite, hohe Entropie festzulegen, um den privaten Schlüssel des Zertifikats im Ruhezustand certificatePassword zu schützen.
"connectorParameters": { "type": "SHAREPOINT", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_ID_APP_ONLY", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "siteUrls": [ "https://contoso.sharepoint.com/sites/engineering" ], "crawlFiles": true, "crawlPages": true } }
Anmerkung
Der OAUTH2_APP Authentifizierungstyp wird für Datenquellen nicht unterstützt. ACL-enabled SharePoint Sie müssen ENTRA_ID_APP_ONLY verwenden.
Real-time Überprüfung des Zugriffs
Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument SharePoint bei der Abfrage anhand der zertifikatsbasierten Berechtigungen der Anwendung (die für das Crawlen konfigurierte ENTRA_ID_APP_ONLY App-Registrierung). Im Gegensatz zu einer delegierten Benutzeranmeldung ist keine interaktive Anmeldung oder Zustimmung pro Benutzer erforderlich. Bei der Überprüfung werden dieselbe App-Registrierung und dasselbe Zertifikat verwendet, und zwar über die Sites.FullControl.All Sites.Selected OR-Berechtigung, um zu bestätigen, dass der abfragende Benutzer weiterhin Zugriff auf jedes Dokument hat.
Überprüfen Ihrer Konfiguration
Sie können Ihre Entra-Anwendungsberechtigungen unabhängig von einer Abrufanforderung überprüfen. Führen Sie jede der folgenden Prüfungen durch:
-
Microsoft Graph (Crawl):
Besorgen Sie sich ein Anwendungstoken mit Gültigkeitsbereich
https://graph.microsoft.com/.defaultund bestätigen Sie, dass derrolesAnspruchUser.Read.AllundGroupMember.Read.Allbeinhaltet.Rufen Sie einen Microsoft Graph-Site-Endpunkt auf (z. B.
GET https://graph.microsoft.com/v1.0/sites/{site}) und vergewissern Sie sich, dass er die Site zurückgibt.
-
SharePoint REST (Überprüfung in Echtzeit):
Erwerben Sie ein Token mithilfe der Zertifikatsclient-Assertion mit Gültigkeitsbereich
https://{tenant}.sharepoint.com/.default.Bestätigen Sie, dass der
rolesAnspruch des Tokens die Erlaubnis SharePointSites.FullControl.All(oderSites.Selected) beinhaltet. Einroles: nullWert bedeutet, dass die Erlaubnis oder die Zustimmung des Administrators fehlt.Rufen Sie an
GET https://{tenant}.sharepoint.com/_api/webund bestätigen Sie, dass es erfolgreich ist (HTTP 200). Eine fehlgeschlagene oder nicht autorisierte Antwort bedeutet, dass die SharePoint Genehmigung oder die Zustimmung des Administrators fehlt, wodurch alle Dokumente verweigert werden.
Fehlerbehebung
Anmerkung
ACL-Fehlkonfigurationen führen nicht zu expliziten Fehlern beim Abrufen. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die vorherigen Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.
| Symptom | Wahrscheinliche Ursache | Reparieren |
|---|---|---|
| Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff auf SharePoint. | Die SharePoint Sites.FullControl.All (oderSites.Selected) Erlaubnis oder die Zustimmung des Administrators fehlt, sodass der SharePoint REST-Aufruf abgelehnt wird und jedes Dokument verweigert wird. |
Erteilen Sie die SharePoint Sites.FullControl.All Erlaubnis (oder Sites.Selected mit Zuweisungen pro Site) mit Zustimmung des Administrators. Da diese Anwendungsanmeldedaten zwischengespeichert werden, sollten Sie bis zu einer Stunde warten, bis die Änderung wirksam wird, oder testen Sie es mit einem Benutzer, der noch nicht abgefragt wurde, um dies früher zu bestätigen. |
| Der Zugriff eines Benutzers wurde geändert SharePoint, aber das neue Ergebnis wird nicht sofort übernommen. | Per-user Die Zugriffsergebnisse zwischen der Datenquelle und der Bedrock Managed Knowledge Base sind letztendlich konsistent (normalerweise innerhalb von etwa zwei Minuten), sodass eine kürzlich erfolgte Zugriffsänderung möglicherweise nicht sofort widergespiegelt wird. | Warten Sie etwa zwei Minuten, nachdem die Datenquelle die Änderung übernommen hat, und versuchen Sie es erneut. |
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Das Zertifikat ist abgelaufen oder die Zustimmung des Administrators wurde widerrufen. | Erneuern Sie das Zertifikat in der Entra-App-Registrierung und in Amazon S3 und erteilen Sie erneut die Zustimmung des Administrators. |
| Das Crawlen oder Synchronisieren schlägt fehl, obwohl die Konfiguration korrekt aussieht. | Eine erforderliche Microsoft Graph-Anwendungsberechtigung fehlt. | Grant User.Read.All undGroupMember.Read.All. |
| Fehler bei der Zertifikatskennwort- oder Tokenprägung. | Das .p12 Passwort stimmt nicht überein. certificatePassword |
Stellen Sie certificatePassword das Passwort ein, mit dem die .p12 Datei erstellt wurde. |