Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive
Die Microsoft Entra App ID-Authentifizierung (ENTRA_APP_ID) ist die empfohlene Authentifizierungsmethode für eine OneDrive Datenquelle. Der Connector durchforstet Inhalte mit den OAuth 2.0-Client-Anmeldeinformationen (nur für Anwendungen) und verwendet dabei die Client-ID und den geheimen Schlüssel Ihrer Anwendung — es ist keine Benutzeranmeldung erforderlich. Dies ist die einzige Authentifizierungsmethode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt. Einen Vergleich mit der alternativen OAUTH2 Methode finden Sie unter. Authentifizierungsmethoden
Anmerkung
Ein Zertifikat ist nur erforderlich, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Beim reinen Inhalts-Crawling sind die Client-ID und der geheime Schlüssel die einzigen Anmeldeinformationen, die der Connector benötigt. Dies unterscheidet sich von einer SharePoint Datenquelle, bei der die Microsoft Entra App-Only ID-Authentifizierung immer ein Zertifikat erfordert.
Administratorzugriff erforderlich
Für dieses Setup ist ein Microsoft Entra ID-Administrator (Global Administrator oder Privileged Role Administrator) erforderlich, um die Anwendung zu registrieren, Berechtigungen zu konfigurieren und die Zustimmung des Administrators zu erteilen. In der folgenden Tabelle mit den Einrichtungsschritten und Rollen sind die für jeden Schritt erforderlichen Zugriffsrechte aufgeführt.
Einrichtungsschritte und Rollen
An diesem Verfahren sind sowohl ein Microsoft Entra ID-Administrator als auch ein AWS Administrator beteiligt. Je nachdem, wie die Zuständigkeiten in Ihrer Organisation aufgeteilt sind, können eine oder mehrere Personen diese Schritte ausführen. Die Schritte für das Zertifikat (Schritte 4—6 und 8) gelten nur, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Identifizieren Sie anhand der folgenden Tabelle, welcher Zugriff für jeden Schritt erforderlich ist.
| Schritt | Was machst du | Zugriff erforderlich |
|---|---|---|
| 1. Registrieren Sie die Anwendung | Erstellen Sie die Registrierung der Entra-App und notieren Sie die Kunden- und Mandanten-IDs. | Microsoft Entra ID-Administrator (globaler Administrator oder Administrator mit privilegierter Rolle) |
| 2. Fügen Sie Berechtigungen hinzu und erteilen Sie die Zustimmung | Weisen Sie die Anwendungsberechtigungen für Ihre Konfiguration zu und erteilen Sie die Zustimmung des Administrators. | Microsoft Entra ID-Administrator |
| 3. Erstellen Sie einen geheimen Client-Schlüssel | Erstellen Sie einen geheimen Clientschlüssel für die Anwendung und notieren Sie seinen Wert. | Microsoft Entra ID-Administrator |
| 4. Generieren Sie das Zertifikat (nur ACLs) | Erstellen Sie ein selbstsigniertes Zertifikat und ein PKCS #12 (.p12) -Bundle mit OpenSSL. |
Jeder mit einem lokalen Terminal (OpenSSL erforderlich) |
| 5. Laden Sie das öffentliche Zertifikat auf Entra hoch (nur ACLs) | Fügen Sie das öffentliche Zertifikat zu den Schlüsseln der App-Registrierung hinzu. | Microsoft Entra ID-Administrator |
| 6. Laden Sie das Zertifikat auf Amazon S3 hoch (nur ACLs) | Speichern Sie das .p12 Paket in einem Amazon S3 S3-Bucket. |
AWS Administrator (Amazon S3) |
| 7. Erstellen des Geheimnisses | Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. | AWS Administrator (Secrets Manager) |
| 8. Gewähren Sie der Servicerolle Zugriff auf das Zertifikat (nur ACLs) | Fügen Sie Amazon S3 S3-Leseberechtigungen zu Ihrer Wissensdatenbank-Servicerolle hinzu. | AWS Administrator (IAM) |
Berechtigungsreferenz
Weisen Sie die Anwendungsberechtigungen zu, die Ihrer Konfiguration entsprechen. Bei allen Berechtigungen handelt es sich um Anwendungsberechtigungen (nicht delegiert), und für jede Genehmigung ist die Zustimmung des Administrators erforderlich. Beim reinen Inhalts-Crawling authentifiziert sich der Connector nur bei Microsoft Graph. Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, authentifiziert sich der Connector zusätzlich bei der SharePointREST-API, um den Zugriff bei der Abfrage zu überprüfen, da for Business von unterstützt wird. OneDrive SharePoint
Wichtig
Wenn Sie diese Berechtigungen im Entra-Portal hinzufügen, wählen Sie die Registerkarte Anwendungsberechtigungen und nicht Delegierte Berechtigungen. Application-only Die Authentifizierung verwendet Anwendungsberechtigungen.
Wählen Sie die Registerkarte für Ihre Konfiguration aus, um die genauen Berechtigungen zu sehen, die zugewiesen werden müssen.
Anmerkung
Die SharePoint Sites.FullControl.All Berechtigung gewährt der Connector-Anwendung umfassenden Zugriff auf alle Standorte in Ihrem Mandanten. Gewähren Sie sie nur dieser Anwendung und schützen Sie die Anmeldeinformationen der Anwendung entsprechend.
Werte, die Sie während der Installation sammeln
Sie erstellen oder sammeln die folgenden Werte, während Sie die Schritte durcharbeiten. Sie verwenden sie, wenn Sie die Datenquelle erstellen. Details hierzu finden Sie unter Eine OneDrive Datenquelle Connect.
| Wert | Erstellt in | Wird verwendet für |
|---|---|---|
| Anwendungs-(Client-)ID | Schritt 1 | Das Geheimnis (clientId). |
| Verzeichnis-ID (Mandanten-ID) | Schritt 1 | Die DatenquelletenantId. |
| Geheimer Wert des Kunden | Schritt 3 | Das Geheimnis (clientSecret). |
Zertifikat — PKCS #12 -Bundle (.p12) und das zugehörige Passwort (nur ACLs) |
Schritt 4 | Das Paket (Zertifikat plus privater Schlüssel) wird auf Amazon S3 hochgeladen (Schritt 6); das Passwort wird im Secret (certificatePassword) gespeichert. |
Zertifikat — öffentliches Zertifikat (.cer) (nur ACLs) |
Schritt 4 | Die öffentliche Hälfte desselben Zertifikats, hochgeladen in die Registrierung der Entra-App (Schritt 5). |
| Name und Schlüssel des Amazon S3 S3-Buckets (nur ACLs) | Schritt 6 | Die DatenquellecertificateS3Path. |
| ARN des Geheimnisses | Schritt 7 | Die DatenquellesecretArn. |
Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID
-
Melden Sie sich im Microsoft Entra Admin Center
an. -
Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.
-
Wählen Sie Neue Registrierung.
-
Geben Sie unter Name einen aussagekräftigen Namen ein, z. B.
bedrock-onedrive-connector -
Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.
-
Lassen Sie das Feld Umleitungs-URI leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen verwendet, keinen interaktiven Anmeldefluss.
-
Wählen Sie Registrieren aus.
-
Notieren Sie sich auf der Seite mit der Anwendungsübersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen beide später.
Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators
Fügen Sie die Berechtigungen für Ihre Konfiguration von hinzuBerechtigungsreferenz.
-
Wählen Sie in Ihrer App-Registrierung API-Berechtigungen und dann Berechtigung hinzufügen aus.
-
Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nach jeder Microsoft Graph-Berechtigung für Ihre Konfiguration, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.
-
Wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren, wählen Sie erneut Berechtigung hinzufügen aus. Wählen Sie SharePoint(unter Microsoft-APIs) dann Anwendungsberechtigungen aus. Wählen Sie
Sites.FullControl.Allund anschließend Berechtigungen hinzufügen aus. -
Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie. Ohne Zustimmung des Administrators kann die Anwendung nicht auf OneDrive Daten zugreifen.
Schritt 3: Erstellen Sie einen geheimen Clientschlüssel
OneDrive Beim Crawlen werden die Client-ID und der geheime Schlüssel der Anwendung verwendet, sodass ein geheimer Clientschlüssel sowohl für reine Inhalte als auch für Datenquellen erforderlich ist. ACL-enabled Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, verwendet der Connector den geheimen Clientschlüssel, um ein Microsoft Graph-Token abzurufen, das den OneDrive Host Ihres Mandanten auflöst, und das Zertifikat (aus Schritt 4), um das für die Zugriffsprüfung verwendete SharePoint Token abzurufen.
-
Wählen Sie in Ihrer App-Registrierung Certificates & Secrets, dann Client Secrets und dann New Client Secret aus.
-
Geben Sie eine Beschreibung ein, wählen Sie ein Ablaufdatum und klicken Sie auf Hinzufügen.
-
Notieren Sie den geheimen Wert sofort — er wird nur einmal angezeigt. Notieren Sie den Wert, nicht die geheime ID.
Schritt 4 (nur ACLs): Generieren Sie das Authentifizierungszertifikat
Anmerkung
Dieser Schritt und die Schritte 5, 6 und 8 gelten nur, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Wenn Sie nur Inhalte durchsuchen möchten, fahren Sie mit fort. Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
Generieren Sie ein selbstsigniertes Zertifikat und verpacken Sie es als PKCS #12 () -Paket. .p12 Das Paket enthält sowohl das Zertifikat als auch seinen privaten Schlüssel, die durch ein Passwort geschützt sind. Sie laden das öffentliche Zertifikat auf Entra (Schritt 5) und das .p12 Paket auf Amazon S3 (Schritt 6) hoch. Wählen Sie die Registerkarte für Ihr Betriebssystem aus, um die Befehle zu sehen.
Anmerkung
Amazon Bedrock liest den privaten Schlüssel aus dem .p12 Paket, um Authentifizierungsbestätigungen zu signieren. Daher muss das Paket kennwortgeschützt sein. Wählen Sie ein sicheres, zufälliges Passwort — Sie speichern es wie in Schritt 7 geheim. certificatePassword
Wichtig
Speichern Sie das .p12 Paket in Amazon S3 (nicht in der .pem .cer OR-Datei). Das Paket enthält den privaten Schlüssel, mit dem Amazon Bedrock sich SharePoint für die Zugriffsprüfung authentifiziert. Bewahren Sie ihn daher sicher auf. Document-level Für die Zugriffskontrolle ist das .p12 Format erforderlich.
Anmerkung
Das Zertifikat ist standardmäßig für ein Jahr gültig. Ein abgelaufenes Zertifikat führt dazu, dass alle Synchronisierungen fehlschlagen. Wechseln Sie das Zertifikat daher, bevor es abläuft. Um den Gültigkeitszeitraum zu ändern, passen Sie die -days Option (OpenSSL) oder das -NotAfter Argument (PowerShell) an. Informationen zu den Rotationsschritten finden Sie unterDas Zertifikat rotieren.
Schritt 5 (nur ACLs): Laden Sie das öffentliche Zertifikat auf Entra hoch
-
Wählen Sie in Ihrer App-Registrierung Certificates & Secrets und dann den Tab Certificates aus.
-
Wählen Sie Zertifikat hochladen und wählen Sie die
certificate.cerDatei aus, die Sie in Schritt 4 generiert haben (nur das öffentliche Zertifikat — laden Sie niemals das.p12Paket oder den privaten Schlüssel auf Entra hoch). -
Wählen Sie Hinzufügen aus.
Schritt 6 (nur ACLs): Laden Sie das Zertifikat auf Amazon S3 hoch
Laden Sie das .p12 Paket aus Schritt 4 in einen Amazon S3 S3-Bucket in derselben AWS Region wie Ihre Wissensdatenbank hoch. Notieren Sie sich den Bucket-Namen und den Schlüssel — Sie verwenden sie als DatenquellecertificateS3Path.
aws s3api put-object \ --bucketyour-certificate-bucket\ --keycerts/certificate.p12\ --body certificate.p12 \ --server-side-encryption AES256
Anmerkung
Wir empfehlen, die serverseitige Verschlüsselung für das Zertifikatsobjekt zu aktivieren und den Bucket auf die Prinzipale zu beschränken, die ihn benötigen. Das Paket enthält den privaten Schlüssel.
Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. Schließen Sie für die Microsoft Entra App ID-Authentifizierung die folgenden Schlüssel-Wert-Paare ein:
clientId(erforderlich) — die Anwendungs-ID (Client) aus Schritt 1.clientSecret(erforderlich) — der geheime Client-Wert aus Schritt 3.certificatePassword(Nur Zugriffskontrolle auf Dokumentebene, empfohlen) — das Passwort, das Sie in Schritt 4 für das.p12Bundle festgelegt haben. Lesen Sie den folgenden Hinweis.
Nur Inhalt (keine Zugriffskontrolle auf Dokumentebene)
{ "clientId": "your-client-id", "clientSecret": "your-client-secret" }
Mit Zugriffskontrolle auf Dokumentenebene
{ "clientId": "your-client-id", "clientSecret": "your-client-secret", "certificatePassword": "your-certificate-password" }
Erstellen Sie das Geheimnis mit: AWS Command Line Interface
aws secretsmanager create-secret \ --namebedrock-onedrive-creds\ --secret-string file://secret.json
Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.
Anmerkung
Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, geben Sie das Passwort ein, das Sie bei der Erstellung des .p12 Bundles in Schritt 4 verwendet haben. certificatePassword Wenn Sie dieses Feld weglassen, öffnet Amazon Bedrock das Bundle mit der Client-ID Ihrer Anwendung als Passwort. Das Bundle muss also mit der Client-ID als Passwort erstellt worden sein. Wir empfehlen, stattdessen immer ein explizites Passwort mit hoher Entropie festzulegen.
Schritt 8 (nur ACLs): Gewähren Sie der Servicerolle Zugriff auf das Zertifikat
Ihre Wissensdatenbank-Servicerolle muss in der Lage sein, das Zertifikatsobjekt aus Amazon S3 zu lesen. Fügen Sie der Berechtigungsrichtlinie der Rolle die folgende Anweisung hinzu und ersetzen Sie den Bucket-Namen und den Schlüssel durch Ihre Werte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ListCertificateBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::your-certificate-bucket"], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } }, { "Sid": "S3GetCertificate", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12", "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } } ] }
Anmerkung
Die Richtlinie ermöglicht neben dem Zertifikat auch den Lesezugriff auf eine optionale .metadata.json Datei. Amazon Bedrock benötigt diese Datei nicht; einschließlich der Berechtigung verhindert Zugriffsfehler, falls eine vorhanden ist.
Wenn das Zertifikatsobjekt mit einem AWS KMS-Schlüssel verschlüsselt ist
Der Upload-Befehl in Schritt 6 (nur ACLs): Laden Sie das Zertifikat auf Amazon S3 hoch verwendet S3-managed Amazon-Verschlüsselung (AES256), für die keine zusätzlichen Berechtigungen erforderlich sind. Wenn Sie stattdessen das Zertifikatsobjekt mit serverseitiger Amazon S3 S3-Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels (SSE-KMS) verschlüsseln, benötigt die Servicerolle auch eine kms:Decrypt Genehmigung für diesen Schlüssel, und die Richtlinie des Schlüssels muss es der Rolle ermöglichen, ihn zu verwenden. Für Objekte, die mit dem AWS verwalteten aws/s3 Schlüssel verschlüsselt wurden, ist diese zusätzliche Genehmigung nicht erforderlich.
{ "Sid": "KmsDecryptCertificate", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["arn:aws:kms:us-west-2:123456789012:key/your-key-id"] }
Den vollständigen Satz der Berechtigungen für Knowledge Base-Servicerollen finden Sie unterBerechtigungen für den Zugriff auf Ihre Datenquellen.
Nächste Schritte
Sie haben jetzt die Anmeldeinformationen, die Sie zum Erstellen der Datenquelle benötigen: den geheimen ARN, Ihre Mandanten-ID und (für die Zugriffskontrolle auf Dokumentebene) den Amazon S3 S3-Speicherort des Zertifikats. Informationen zum Erstellen der OneDrive Datenquelle mit der AWS-Managementkonsole oder der API finden Sie unter. Eine OneDrive Datenquelle Connect