Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie die Microsoft Entra App-Only ID-Authentifizierung ein für SharePoint
Die Microsoft Entra App-Only ID-Authentifizierung (ENTRA_ID_APP_ONLY) ist die empfohlene Authentifizierungsmethode für eine SharePoint Datenquelle. Es verwendet den OAuth 2.0-Client-Anmeldedatenfluss (nur für Anwendungen): Eine Microsoft Entra-Anwendung authentifiziert sich mit einem Zertifikat, sodass beim Crawlen oder bei der Abfrage keine Benutzeranmeldung erforderlich ist. Dies ist die einzige Authentifizierungsmethode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt. Einen Vergleich mit der alternativen OAUTH2_APP Methode finden Sie unter. Authentifizierungsmethoden
Dieses Setup umfasst zwei Systeme — Microsoft Entra ID und Ihr AWS Konto — und das Zertifikat ist der Berechtigungsnachweis, der sie miteinander verbindet. Der Connector speichert das Zertifikat (einschließlich des privaten Schlüssels) als PKCS #12 (.p12) -Datei in Amazon S3 und verwendet es, um Authentifizierungsbestätigungen an Microsoft zu signieren. Das entsprechende öffentliche Zertifikat wird in die Entra-Anwendungsregistrierung hochgeladen, damit Microsoft diese Assertionen validieren kann.
Administratorzugriff erforderlich
Für dieses Setup ist ein Microsoft Entra ID-Administrator (Global Administrator oder Privileged Role Administrator) erforderlich, um die Anwendung zu registrieren, Berechtigungen zu konfigurieren und die Zustimmung des Administrators zu erteilen. Wenn Sie den Sites.Selected Berechtigungsbereich verwenden, benötigen Sie außerdem einen SharePoint Administrator, der den Zugriff pro Site gewährt. In der Tabelle mit den Installationsschritten und Rollen unten wird der für jeden Schritt erforderliche Zugriff aufgeführt.
Einrichtungsschritte und Rollen
An diesem Verfahren sind sowohl ein Microsoft Entra ID-Administrator als auch ein AWS Administrator beteiligt. Je nachdem, wie die Zuständigkeiten in Ihrer Organisation aufgeteilt sind, können eine oder mehrere Personen diese Schritte ausführen. Identifizieren Sie anhand der folgenden Tabelle, welche Zugriffsrechte für jeden Schritt erforderlich sind.
| Schritt | Was machst du | Zugriff erforderlich |
|---|---|---|
| 1. Registrieren Sie die Anwendung | Erstellen Sie die Registrierung der Entra-App und notieren Sie die Kunden- und Mandanten-IDs. | Microsoft Entra ID-Administrator (globaler Administrator oder Administrator mit privilegierter Rolle) |
| 2. Fügen Sie Berechtigungen hinzu und erteilen Sie die Zustimmung | Weisen Sie die Anwendungsberechtigungen für Ihre Konfiguration zu und erteilen Sie die Zustimmung des Administrators. | Microsoft Entra ID-Administrator |
| 3. Generieren Sie das Zertifikat | Erstellen Sie ein selbstsigniertes Zertifikat und ein PKCS #12 (.p12) -Bundle mit OpenSSL. |
Jeder mit einem lokalen Terminal (OpenSSL erforderlich) |
| 4. Laden Sie das öffentliche Zertifikat auf Entra hoch | Fügen Sie das öffentliche Zertifikat zu den Schlüsseln der App-Registrierung hinzu. | Microsoft Entra ID-Administrator |
5. Gewähren Sie Zugriff pro Standort (nur) Sites.Selected |
Gewähren Sie der App über die Microsoft Graph-API Zugriff auf jede SharePoint Site. | Microsoft Entra ID-Administrator |
| 6. Laden Sie das Zertifikat auf Amazon S3 hoch | Speichern Sie das .p12 Paket in einem Amazon S3 S3-Bucket. |
AWS Administrator (Amazon S3) |
| 7. Erstellen des Geheimnisses | Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. | AWS Administrator (Secrets Manager) |
| 8. Gewähren Sie der Servicerolle Zugriff auf das Zertifikat | Fügen Sie Amazon S3 S3-Leseberechtigungen zu Ihrer Wissensdatenbank-Servicerolle hinzu. | AWS Administrator (IAM) |
Wählen Sie Ihre Konfiguration
Bevor Sie beginnen, treffen Sie zwei Entscheidungen. Sie legen fest, welche Berechtigungen Sie in Schritt 2 zuweisen und wie Sie den Zugriff auf die Website gewähren.
-
Document-level Zugriffskontrolle (ACLs) — Entscheiden Sie, ob die Datenquelle die Abfrageergebnisse anhand der SharePoint Berechtigungen der einzelnen Benutzer filtert. Für ACL-Crawling sind zusätzliche Microsoft Graph und SharePoint Berechtigungen erforderlich. Sie können diese Einstellung nicht ändern, nachdem Sie die Datenquelle erstellt haben. Details hierzu finden Sie unter Document-level Zugriffskontrollen.
-
Umfang der Berechtigungen — Entscheiden Sie, ob die Anwendung alle SharePoint Websites in Ihrem Mandanten lesen kann (alle Websites, die einfachste Option) oder nur Websites, die Sie explizit gewähren (
Sites.Selected, die Option mit den geringsten Rechten).Sites.SelectedWenn Sie in Schritt 5 eine zusätzliche Erteilung pro Site abgeschlossen haben, benötigen alle Websites, die Sie später hinzufügen, eine eigene Erteilung.
Durch die Kombination dieser beiden Optionen wird einer der Berechtigungssätze im folgenden Abschnitt ausgewählt.
Berechtigungsreferenz
Weisen Sie die Anwendungsberechtigungen zu, die Ihrer Konfiguration entsprechen. Bei allen Berechtigungen handelt es sich um Anwendungsberechtigungen (nicht delegiert), und für jede Genehmigung ist die Zustimmung des Administrators erforderlich. Der Connector authentifiziert sich bei zwei Microsoft-Ressourcen: Microsoft Graph (zum Auflisten von Websites und für ACLs zum Auflösen von Benutzern und Gruppen) und der SharePointREST-API (zum Lesen von Seiteninhalten und, für ACLs, Berechtigungen auf Elementebene).
Wichtig
Wenn Sie diese Berechtigungen im Entra-Portal hinzufügen, wählen Sie die Registerkarte Anwendungsberechtigungen und nicht Delegierte Berechtigungen. App-only Die Authentifizierung verwendet Anwendungsberechtigungen.
Wählen Sie die Registerkarte für Ihre Konfiguration aus, um den genauen Microsoft Graph und die zuzuweisenden SharePoint Berechtigungen anzuzeigen.
Anmerkung
Sites.FullControl.Allgewährt umfassenden Zugriff auf alle Sites im Mandanten. Wenn Ihre Organisation die geringsten Rechte benötigt, verwenden Sie in Schritt 5 den Zugriff pro Standort Sites.Selected und gewähren Sie diesen.
Werte, die Sie während der Einrichtung sammeln
Sie erstellen oder sammeln die folgenden Werte, während Sie die Schritte durcharbeiten. Sie verwenden sie, wenn Sie die Datenquelle erstellen. Details hierzu finden Sie unter Eine SharePoint Datenquelle Connect.
| Wert | Erstellt in | Wird verwendet für |
|---|---|---|
| Anwendungs-(Client-)ID | Schritt 1 | Das Geheimnis (clientId). |
| Verzeichnis-ID (Mandanten-ID) | Schritt 1 | Die DatenquelletenantId. |
Zertifikat — PKCS #12 -Bundle (.p12) und das zugehörige Passwort |
Schritt 3 | Das Paket (Zertifikat plus privater Schlüssel) wird auf Amazon S3 hochgeladen (Schritt 6); das Passwort wird im Secret (certificatePassword) gespeichert. |
Zertifikat — öffentliches Zertifikat (.cer) |
Schritt 3 | Die öffentliche Hälfte desselben Zertifikats, die in die Registrierung der Entra-App hochgeladen wurde (Schritt 4). |
| Name und Schlüssel des Amazon S3 S3-Buckets | Schritt 6 | Die DatenquellecertificateS3Path. |
| ARN des Geheimnisses | Schritt 7 | Die DatenquellesecretArn. |
Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID
-
Melden Sie sich im Microsoft Entra Admin Center
an. -
Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.
-
Wählen Sie Neue Registrierung.
-
Geben Sie unter Name einen aussagekräftigen Namen ein, z. B.
bedrock-sharepoint-connector -
Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.
-
Lassen Sie das Feld Umleitungs-URI leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen verwendet, keinen interaktiven Anmeldefluss.
-
Wählen Sie Registrieren aus.
-
Notieren Sie sich auf der Seite mit der Anwendungsübersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen beide später.
Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators
Fügen Sie die Berechtigungen für Ihre Konfiguration von hinzuBerechtigungsreferenz.
-
Wählen Sie in Ihrer App-Registrierung API-Berechtigungen und dann Berechtigung hinzufügen aus.
-
Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nach jeder Microsoft Graph-Berechtigung für Ihre Konfiguration, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.
-
Wählen Sie erneut „Berechtigung hinzufügen“ aus. Wählen Sie SharePoint(unter Microsoft-APIs) dann Anwendungsberechtigungen aus. Wählen Sie jede SharePoint Berechtigung für Ihre Konfiguration aus und wählen Sie dann Berechtigungen hinzufügen aus.
-
Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie. Ohne Zustimmung des Administrators kann die Anwendung nicht auf SharePoint Daten zugreifen.
Anmerkung
Die Microsoft Entra App-Only ID-Authentifizierung verwendet das Zertifikat (aus Schritt 3) als Anmeldeinformationen, sodass Sie kein Client-Geheimnis für diese Anwendung erstellen.
Schritt 3: Generieren Sie das Authentifizierungszertifikat
Generieren Sie ein selbstsigniertes Zertifikat und verpacken Sie es als PKCS #12 (.p12) -Paket. Das Paket enthält sowohl das Zertifikat als auch seinen privaten Schlüssel, die durch ein Passwort geschützt sind. Sie laden das öffentliche Zertifikat auf Entra (Schritt 4) und das .p12 Paket auf Amazon S3 (Schritt 6) hoch. Wählen Sie die Registerkarte für Ihr Betriebssystem aus, um die Befehle zu sehen.
Anmerkung
Amazon Bedrock liest den privaten Schlüssel aus dem .p12 Paket, um Authentifizierungsbestätigungen zu signieren. Daher muss das Paket kennwortgeschützt und sicher aufbewahrt werden. Wählen Sie ein sicheres, zufälliges Passwort — Sie speichern es geheim, wie in Schritt 7 beschrieben. certificatePassword
Wichtig
Speichern Sie das .p12 Paket in Amazon S3 (nicht in der .pem .cer OR-Datei). Das Paket enthält den privaten Schlüssel, den Amazon Bedrock zur Authentifizierung verwendet. Document-level Für die Zugriffskontrolle (ACLs) ist das Format erforderlich. .p12 Für reines Content-Crawling ohne ACLs können Sie stattdessen ein PEM-encoded Zertifikat speichern, da es für jede Konfiguration .p12 funktioniert, die in diesem Handbuch durchgehend verwendet wird. .p12
Anmerkung
Das Zertifikat ist standardmäßig für ein Jahr gültig. Ein abgelaufenes Zertifikat führt dazu, dass alle Synchronisierungen fehlschlagen. Wechseln Sie das Zertifikat daher, bevor es abläuft. Um den Gültigkeitszeitraum zu ändern, passen Sie die -days Option (OpenSSL) oder das -NotAfter Argument (PowerShell) an. Informationen zu den Rotationsschritten finden Sie unterDas Zertifikat rotieren.
Schritt 4: Laden Sie das öffentliche Zertifikat auf Entra hoch
-
Wählen Sie in Ihrer App-Registrierung Certificates & Secrets und dann den Tab Certificates aus.
-
Wählen Sie Zertifikat hochladen und wählen Sie die
certificate.cerDatei aus, die Sie in Schritt 3 generiert haben (nur das öffentliche Zertifikat — laden Sie niemals das.p12Paket oder den privaten Schlüssel auf Entra hoch). -
Wählen Sie Hinzufügen aus.
Schritt 5 (Sites.Selected nur): Zugriff pro Site gewähren
Anmerkung
Dieser Schritt gilt nur, wenn Sie in Schritt 2 den Sites.Selected Berechtigungsbereich ausgewählt haben. Wenn Sie den Geltungsbereich für alle Websites (Sites.Read.AlloderSites.FullControl.All) verwendet haben, fahren Sie mit Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch fort.
Mit Sites.Selected gewähren Sie Ihrer Connector-Anwendung über die Microsoft Graph-API Zugriff auf jede SharePoint Site einzeln. Dazu ist eine separate, temporäre Anwendung erforderlich, die die Zuschüsse enthält Sites.FullControl.All und nur für deren Durchführung verwendet wird. Amazon Bedrock sieht diese temporäre Anwendung oder ihre Anmeldeinformationen niemals.
-
Erstellen Sie einen temporären Förderantrag. Registrieren Sie im Entra Admin Center eine zweite Anwendung (z. B.
bedrock-sharepoint-granter) als Einzelmandantenanwendung ohne Umleitungs-URI. Fügen Sie die MicrosoftSites.FullControl.AllGraph-Anwendungsberechtigung hinzu, erteilen Sie die Zustimmung des Administrators und erstellen Sie ein Client-Geheimnis. Notieren Sie die Client-ID und den geheimen Wert. -
Besorgen Sie sich ein Zugriffstoken für den Granter-Antrag. Ersetzen Sie die Platzhalter durch die Client-ID und den geheimen Schlüssel der Granter-Anwendung sowie durch Ihre Mandanten-ID.
curl -s -X POST \ "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=client_credentials" \ -d "client_id=GRANTER_CLIENT_ID" \ -d "client_secret=GRANTER_CLIENT_SECRET" \ -d "scope=https://graph.microsoft.com/.default"Die Antwort enthält eine.
access_tokenVerwenden Sie es in den nächsten Befehlen als Bearer-Token. -
Löse jede Site-URL in eine Site-ID auf. Verwenden Sie den Hostnamen und den serverrelativen Pfad der Site.
curl -s \ "https://graph.microsoft.com/v1.0/sites/contoso.sharepoint.com:/sites/engineering" \ -H "Authorization: BearerACCESS_TOKEN"Das
idFeld in der Antwort ist die Site-ID. -
Gewähren Sie der Connector-Anwendung Zugriff auf die Site. Wird
readfür reines Inhalts-Crawling oderfullcontrolfür ACL-Crawling verwendet.CONNECTOR_CLIENT_IDErsetzen Sie es durch die Anwendungs-ID (Client) aus Schritt 1.curl -s -X POST \ "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \ -H "Authorization: BearerACCESS_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "roles": ["fullcontrol"], "grantedToIdentities": [{ "application": { "id": "CONNECTOR_CLIENT_ID", "displayName": "bedrock-sharepoint-connector" } }] }' -
Wiederholen Sie die Befehle resolve-and-grant für jede Site, die Sie in die Datenquelle aufnehmen. Wenn Sie fertig sind, können Sie den Antrag auf temporäre Zuschüsse löschen. Die Zuschüsse pro Standort bleiben gültig.
Wichtig
Per-site Zuschüsse gelten nicht rückwirkend. Wenn Sie der Datenquelle später eine Site hinzufügen, gewähren Sie der Connector-Anwendung vor der nächsten Synchronisierung Zugriff auf diese Site. Andernfalls wird ihr Inhalt nicht gecrawlt.
Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch
Laden Sie das .p12 Paket aus Schritt 3 in einen Amazon S3 S3-Bucket in derselben AWS Region wie Ihre Wissensdatenbank hoch. Notieren Sie sich den Bucket-Namen und den Schlüssel — Sie verwenden sie als DatenquellecertificateS3Path.
aws s3api put-object \ --bucketyour-certificate-bucket\ --keycerts/certificate.p12\ --body certificate.p12 \ --server-side-encryption AES256
Anmerkung
Wir empfehlen, die serverseitige Verschlüsselung für das Zertifikatsobjekt zu aktivieren und den Bucket auf die Prinzipale zu beschränken, die ihn benötigen. Das Paket enthält den privaten Schlüssel.
Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. Geben Sie für die App-Only Entra-ID-Authentifizierung die folgenden Schlüssel-Wert-Paare an:
clientId(erforderlich) — die Anwendungs-ID (Client) aus Schritt 1.certificatePassword(empfohlen) — das Passwort, das Sie in Schritt 3 für das.p12Bundle festgelegt haben. Lesen Sie den folgenden Hinweis.
{ "clientId": "your-client-id", "certificatePassword": "your-certificate-password" }
Erstellen Sie das Geheimnis mit dem AWS Command Line Interface:
aws secretsmanager create-secret \ --namebedrock-sharepoint-creds\ --secret-string file://secret.json
Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.
Anmerkung
Geben Sie certificatePassword das Passwort ein, das Sie bei der Erstellung des .p12 Bundles in Schritt 3 verwendet haben. Wenn Sie dieses Feld weglassen, öffnet Amazon Bedrock das Bundle mit der Client-ID Ihrer Anwendung als Passwort. Das Bundle muss also mit der Client-ID als Passwort erstellt worden sein. Wir empfehlen, stattdessen immer ein explizites Passwort mit hoher Entropie festzulegen und den privaten Schlüssel sicher aufzubewahren.
Anmerkung
Verwenden Sie stattdessen ein PEM-Zertifikat. Dieses Handbuch verwendet ein .p12 Paket, das für jede Konfiguration funktioniert. Wenn Sie nur Inhalte crawlen (keine Zugriffskontrolle auf Dokumentebene), können Sie stattdessen ein PEM-Zertifikat verwenden. Laden Sie in diesem Fall nur das öffentliche Zertifikat auf Amazon S3 hoch (kein .p12 Paket) und speichern Sie den privaten Schlüssel im Secret als privateKey (unverschlüsseltes Base64-kodiertes PKCS #8, ohne Kopfzeilen) anstelle von: certificatePassword
{ "clientId": "your-client-id", "privateKey": "your-base64-pkcs8-private-key" }
Schritt 8: Gewähren Sie der Servicerolle Zugriff auf das Zertifikat
Ihre Wissensdatenbank-Servicerolle muss in der Lage sein, das Zertifikatsobjekt aus Amazon S3 zu lesen. Fügen Sie der Berechtigungsrichtlinie der Rolle die folgende Anweisung hinzu und ersetzen Sie den Bucket-Namen und den Schlüssel durch Ihre Werte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ListCertificateBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::your-certificate-bucket"], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } }, { "Sid": "S3GetCertificate", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12", "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } } ] }
Anmerkung
Die Richtlinie ermöglicht neben dem Zertifikat auch den Lesezugriff auf eine optionale .metadata.json Datei. Amazon Bedrock benötigt diese Datei nicht; einschließlich der Berechtigung verhindert Zugriffsfehler, falls eine vorhanden ist.
Wenn das Zertifikatsobjekt mit einem AWS KMS-Schlüssel verschlüsselt ist
Der Upload-Befehl in Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch verwendet S3-managed Amazon-Verschlüsselung (AES256), für die keine zusätzlichen Berechtigungen erforderlich sind. Wenn Sie stattdessen das Zertifikatsobjekt mit serverseitiger Amazon S3 S3-Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels (SSE-KMS) verschlüsseln, benötigt die Servicerolle auch eine kms:Decrypt Genehmigung für diesen Schlüssel, und die Richtlinie des Schlüssels muss es der Rolle ermöglichen, ihn zu verwenden. Für Objekte, die mit dem AWS verwalteten aws/s3 Schlüssel verschlüsselt wurden, ist diese zusätzliche Genehmigung nicht erforderlich.
{ "Sid": "KmsDecryptCertificate", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["arn:aws:kms:us-west-2:123456789012:key/your-key-id"] }
Lesezugriff erfordert nurkms:Decrypt. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS-Schlüsseln verwenden (SSE-KMS).
Den vollständigen Satz der Rollenberechtigungen für den Wissensdatenbankdienst finden Sie unterBerechtigungen für den Zugriff auf Ihre Datenquellen.
Nächste Schritte
Sie haben jetzt alles, was Sie zum Erstellen der Datenquelle benötigen: den geheimen ARN, Ihre Mandanten-ID und den Amazon S3 S3-Speicherort des Zertifikats. Informationen zum Erstellen der SharePoint Datenquelle mit der AWS-Managementkonsole oder der API finden Sie unterEine SharePoint Datenquelle Connect.
Wichtig
Für die ENTRA_ID_APP_ONLY Authentifizierung müssen Sie diese Daten angeben, certificateS3Path wenn Sie die Datenquelle erstellen, auch wenn ACLs deaktiviert sind. Eine SharePoint Datenquelle, die mit diesem Authentifizierungstyp und ohne Zertifikat erstellt wurde, schlägt fehl.