

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie die Microsoft Entra App-Only ID-Authentifizierung ein für SharePoint
<a name="kb-managed-sharepoint-entra-setup"></a>

Die Microsoft Entra App-Only ID-Authentifizierung (`ENTRA_ID_APP_ONLY`) ist die empfohlene Authentifizierungsmethode für eine SharePoint Datenquelle. Es verwendet den OAuth 2.0-Client-Anmeldedatenfluss (nur für Anwendungen): Eine Microsoft Entra-Anwendung authentifiziert sich mit einem Zertifikat, sodass beim Crawlen oder bei der Abfrage keine Benutzeranmeldung erforderlich ist. Dies ist die einzige Authentifizierungsmethode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt. Einen Vergleich mit der alternativen `OAUTH2_APP` Methode finden Sie unter. [Authentifizierungsmethoden](kb-managed-ds-sharepoint.md#kb-managed-sharepoint-auth-methods)

Dieses Setup umfasst zwei Systeme — Microsoft Entra ID und Ihr AWS Konto — und das Zertifikat ist der Berechtigungsnachweis, der sie miteinander verbindet. Der Connector speichert das Zertifikat (einschließlich des privaten Schlüssels) als PKCS \#12 (`.p12`) -Datei in Amazon S3 und verwendet es, um Authentifizierungsbestätigungen an Microsoft zu signieren. Das entsprechende öffentliche Zertifikat wird in die Entra-Anwendungsregistrierung hochgeladen, damit Microsoft diese Assertionen validieren kann.

**Administratorzugriff erforderlich**  
Für dieses Setup ist ein Microsoft Entra ID-Administrator (Global Administrator oder Privileged Role Administrator) erforderlich, um die Anwendung zu registrieren, Berechtigungen zu konfigurieren und die Zustimmung des Administrators zu erteilen. Wenn Sie den `Sites.Selected` Berechtigungsbereich verwenden, benötigen Sie außerdem einen SharePoint Administrator, der den Zugriff pro Site gewährt. In der Tabelle mit den **Installationsschritten und Rollen** unten wird der für jeden Schritt erforderliche Zugriff aufgeführt.

## Einrichtungsschritte und Rollen
<a name="kb-managed-sharepoint-entra-roles"></a>

An diesem Verfahren sind sowohl ein Microsoft Entra ID-Administrator als auch ein AWS Administrator beteiligt. Je nachdem, wie die Zuständigkeiten in Ihrer Organisation aufgeteilt sind, können eine oder mehrere Personen diese Schritte ausführen. Identifizieren Sie anhand der folgenden Tabelle, welche Zugriffsrechte für jeden Schritt erforderlich sind.


**Einrichtungsschritte und der jeweils erforderliche Zugriff**  

| Schritt | Was machst du | Zugriff erforderlich | 
| --- | --- | --- | 
| 1. Registrieren Sie die Anwendung | Erstellen Sie die Registrierung der Entra-App und notieren Sie die Kunden- und Mandanten-IDs. | Microsoft Entra ID-Administrator (globaler Administrator oder Administrator mit privilegierter Rolle) | 
| 2. Fügen Sie Berechtigungen hinzu und erteilen Sie die Zustimmung | Weisen Sie die Anwendungsberechtigungen für Ihre Konfiguration zu und erteilen Sie die Zustimmung des Administrators. | Microsoft Entra ID-Administrator | 
| 3. Generieren Sie das Zertifikat | Erstellen Sie ein selbstsigniertes Zertifikat und ein PKCS \#12 (.p12) -Bundle mit OpenSSL. | Jeder mit einem lokalen Terminal (OpenSSL erforderlich) | 
| 4. Laden Sie das öffentliche Zertifikat auf Entra hoch | Fügen Sie das öffentliche Zertifikat zu den Schlüsseln der App-Registrierung hinzu. | Microsoft Entra ID-Administrator | 
| 5. Gewähren Sie Zugriff pro Standort (nur) Sites.Selected | Gewähren Sie der App über die Microsoft Graph-API Zugriff auf jede SharePoint Site. | Microsoft Entra ID-Administrator | 
| 6. Laden Sie das Zertifikat auf Amazon S3 hoch | Speichern Sie das .p12 Paket in einem Amazon S3 S3-Bucket. | AWS Administrator (Amazon S3) | 
| 7. Erstellen des Geheimnisses | Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. | AWS Administrator (Secrets Manager) | 
| 8. Gewähren Sie der Servicerolle Zugriff auf das Zertifikat | Fügen Sie Amazon S3 S3-Leseberechtigungen zu Ihrer Wissensdatenbank-Servicerolle hinzu. | AWS Administrator (IAM) | 

## Wählen Sie Ihre Konfiguration
<a name="kb-managed-sharepoint-entra-choose"></a>

Bevor Sie beginnen, treffen Sie zwei Entscheidungen. Sie legen fest, welche Berechtigungen Sie in Schritt 2 zuweisen und wie Sie den Zugriff auf die Website gewähren.
+ **Document-level Zugriffskontrolle (ACLs)** — Entscheiden Sie, ob die Datenquelle die Abfrageergebnisse anhand der SharePoint Berechtigungen der einzelnen Benutzer filtert. Für ACL-Crawling sind zusätzliche Microsoft Graph und SharePoint Berechtigungen erforderlich. Sie können diese Einstellung nicht ändern, nachdem Sie die Datenquelle erstellt haben. Details hierzu finden Sie unter [Document-level Zugriffskontrollen](kb-managed-ds-sharepoint-acl.md).
+ **Umfang der Berechtigungen** — Entscheiden Sie, ob die Anwendung alle SharePoint Websites in Ihrem Mandanten lesen kann (**alle Websites**, die einfachste Option) oder nur Websites, die Sie explizit gewähren (**`Sites.Selected`**, die Option mit den geringsten Rechten). `Sites.Selected`Wenn Sie in Schritt 5 eine zusätzliche Erteilung pro Site abgeschlossen haben, benötigen alle Websites, die Sie später hinzufügen, eine eigene Erteilung.

Durch die Kombination dieser beiden Optionen wird einer der Berechtigungssätze im folgenden Abschnitt ausgewählt.

## Berechtigungsreferenz
<a name="kb-managed-sharepoint-entra-permissions"></a>

Weisen Sie die Anwendungsberechtigungen zu, die Ihrer Konfiguration entsprechen. Bei allen Berechtigungen handelt es sich um **Anwendungsberechtigungen** (nicht delegiert), und für jede Genehmigung ist die Zustimmung des Administrators erforderlich. Der Connector authentifiziert sich bei zwei Microsoft-Ressourcen: **Microsoft Graph** (zum Auflisten von Websites und für ACLs zum Auflösen von Benutzern und Gruppen) und der **SharePoint**REST-API (zum Lesen von Seiteninhalten und, für ACLs, Berechtigungen auf Elementebene).

**Wichtig**  
****Wenn Sie diese Berechtigungen im Entra-Portal hinzufügen, wählen Sie die Registerkarte Anwendungsberechtigungen und nicht Delegierte Berechtigungen.**** App-only Die Authentifizierung verwendet Anwendungsberechtigungen.

Wählen Sie die Registerkarte für Ihre Konfiguration aus, um den genauen Microsoft Graph und die zuzuweisenden SharePoint Berechtigungen anzuzeigen.

------
#### [ All sites, no ACLs ]


**Alle Websites, nur Inhalt**  

| API | Berechtigung | Zweck | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Read.All | Zählen Sie alle SharePoint Websites auf und lesen Sie sie. | 
| SharePoint | Sites.Read.All | Lesen Sie den Inhalt der Website über die SharePoint REST-API. | 

------
#### [ All sites, with ACLs ]


**Alle Websites, mit ACLs**  

| API | Berechtigung | Zweck | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Read.All | Zählen Sie alle Websites auf und lesen Sie sie. SharePoint  | 
| Microsoft Graph | User.Read.All | Benutzer für ACLs auf Dokumentebene auflösen | 
| Microsoft Graph | GroupMember.Read.All | Lösen Sie die Gruppenmitgliedschaft für ACLs auf Dokumentebene auf. | 
| SharePoint | Sites.FullControl.All | Lesen Sie die Berechtigungen auf Elementebene für das ACL-Crawling und überprüfen Sie den Zugriff bei der Abfrage. Sites.Read.Allist für diese Prüfung nicht ausreichend. | 

------
#### [ Sites.Selected, no ACLs ]


**Sites.Selected, nur Inhalt**  

| API | Berechtigung | Zweck | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Selected | Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (Microsoft Graph). | 
| SharePoint | Sites.Selected | Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (SharePoint REST). Gewähren Sie die read Rolle pro Site in Schritt 5. | 

------
#### [ Sites.Selected, with ACLs ]


**Sites.Selected, mit ACLs**  

| API | Berechtigung | Zweck | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Selected | Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (Microsoft Graph). | 
| Microsoft Graph | User.Read.All | Geben Sie Benutzern ACLs auf Dokumentebene an. | 
| Microsoft Graph | GroupMember.Read.All | Lösen Sie die Gruppenmitgliedschaft für ACLs auf Dokumentebene auf. | 
| SharePoint | Sites.Selected | Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren. Gewähren Sie die fullcontrol Rolle pro Site in Schritt 5 (erforderlich, um Zugriffsberechtigungen auf Elementebene für ACLs zu lesen). | 

------

**Anmerkung**  
`Sites.FullControl.All`gewährt umfassenden Zugriff auf alle Sites im Mandanten. Wenn Ihre Organisation die geringsten Rechte benötigt, verwenden Sie in Schritt 5 den Zugriff pro Standort `Sites.Selected` und gewähren Sie diesen.

## Werte, die Sie während der Einrichtung sammeln
<a name="kb-managed-sharepoint-entra-values"></a>

Sie erstellen oder sammeln die folgenden Werte, während Sie die Schritte durcharbeiten. Sie verwenden sie, wenn Sie die Datenquelle erstellen. Details hierzu finden Sie unter [Eine SharePoint Datenquelle Connect](kb-managed-ds-sharepoint-connect.md).


**Referenz auf Werte**  

| Wert | Erstellt in | Wird verwendet für | 
| --- | --- | --- | 
| Anwendungs-(Client-)ID | Schritt 1 | Das Geheimnis (clientId). | 
| Verzeichnis-ID (Mandanten-ID) | Schritt 1 | Die DatenquelletenantId. | 
| Zertifikat — PKCS \#12 -Bundle (.p12) und das zugehörige Passwort | Schritt 3 | Das Paket (Zertifikat plus privater Schlüssel) wird auf Amazon S3 hochgeladen (Schritt 6); das Passwort wird im Secret (certificatePassword) gespeichert. | 
| Zertifikat — öffentliches Zertifikat (.cer) | Schritt 3 | Die öffentliche Hälfte desselben Zertifikats, die in die Registrierung der Entra-App hochgeladen wurde (Schritt 4). | 
| Name und Schlüssel des Amazon S3 S3-Buckets | Schritt 6 | Die DatenquellecertificateS3Path. | 
| ARN des Geheimnisses | Schritt 7 | Die DatenquellesecretArn. | 

## Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID
<a name="kb-managed-sharepoint-entra-step1"></a>

1. Melden Sie sich im [Microsoft Entra Admin Center](https://entra.microsoft.com/) an.

1. Erweitern Sie in der linken Navigationsleiste **Entra ID** und wählen Sie **App-Registrierungen** aus.

1. Wählen Sie **Neue Registrierung**.

1. Geben Sie unter **Name** einen aussagekräftigen Namen ein, z. B. `bedrock-sharepoint-connector`

1. Wählen Sie **unter Unterstützte Kontotypen** die Option **Nur Konten in diesem Organisationsverzeichnis (Einzelmandant)** aus.

1. Lassen Sie das Feld **Umleitungs-URI** leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen verwendet, keinen interaktiven Anmeldefluss.

1. Wählen Sie **Registrieren** aus.

1. Notieren Sie sich auf der Seite mit der **Anwendungsübersicht** die **Anwendungs-ID (Client) und die Verzeichnis-ID** **(Mandanten-ID**). Sie benötigen beide später.

## Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators
<a name="kb-managed-sharepoint-entra-step2"></a>

Fügen Sie die Berechtigungen für Ihre Konfiguration von hinzu[Berechtigungsreferenz](#kb-managed-sharepoint-entra-permissions).

1. Wählen Sie in Ihrer App-Registrierung **API-Berechtigungen** und dann **Berechtigung hinzufügen** aus.

1. Wählen Sie **Microsoft Graph** und dann **Anwendungsberechtigungen**. Suchen Sie nach jeder Microsoft Graph-Berechtigung für Ihre Konfiguration, wählen Sie sie aus und wählen Sie dann **Berechtigungen hinzufügen** aus.

1. Wählen Sie erneut „**Berechtigung hinzufügen**“ aus. Wählen Sie **SharePoint**(unter **Microsoft-APIs**) dann **Anwendungsberechtigungen** aus. Wählen Sie jede SharePoint Berechtigung für Ihre Konfiguration aus und wählen Sie dann **Berechtigungen hinzufügen** aus.

1. Wählen Sie auf der Seite mit den **API-Berechtigungen** die Option **Administratorzustimmung für [Ihre Organisation] gewähren** aus und bestätigen Sie. Ohne Zustimmung des Administrators kann die Anwendung nicht auf SharePoint Daten zugreifen.

**Anmerkung**  
Die Microsoft Entra App-Only ID-Authentifizierung verwendet das Zertifikat (aus Schritt 3) als Anmeldeinformationen, sodass Sie kein Client-Geheimnis für diese Anwendung erstellen.

## Schritt 3: Generieren Sie das Authentifizierungszertifikat
<a name="kb-managed-sharepoint-entra-step3"></a>

Generieren Sie ein selbstsigniertes Zertifikat und verpacken Sie es als PKCS \#12 (`.p12`) -Paket. Das Paket enthält sowohl das Zertifikat als auch seinen privaten Schlüssel, die durch ein Passwort geschützt sind. Sie laden das öffentliche Zertifikat auf Entra (Schritt 4) und das `.p12` Paket auf Amazon S3 (Schritt 6) hoch. Wählen Sie die Registerkarte für Ihr Betriebssystem aus, um die Befehle zu sehen.

**Anmerkung**  
Amazon Bedrock liest den privaten Schlüssel aus dem `.p12` Paket, um Authentifizierungsbestätigungen zu signieren. Daher muss das Paket kennwortgeschützt und sicher aufbewahrt werden. Wählen Sie ein sicheres, zufälliges Passwort — Sie speichern es geheim, wie in Schritt 7 beschrieben. `certificatePassword`

------
#### [ Linux or macOS (OpenSSL) ]

**Generieren Sie einen privaten Schlüssel und ein selbstsigniertes Zertifikat**

```
openssl req -x509 -newkey rsa:2048 -keyout private_key.pem -out certificate.cer \
    -days 365 -nodes \
    -subj "/CN={{bedrock-sharepoint-connector}}"
```

**Package Sie das Zertifikat und den Schlüssel als PKCS \#12 (`.p12`) -Paket**

Geben Sie ein sicheres Exportkennwort ein, wenn Sie dazu aufgefordert werden. Notieren Sie es für Schritt 7.

```
openssl pkcs12 -export -out certificate.p12 \
    -inkey private_key.pem -in certificate.cer
```

Sie haben jetzt drei Dateien: den privaten Schlüssel (`private_key.pem`), das öffentliche Zertifikat (`certificate.cer`) und das Paket (`certificate.p12`). Sie laden das öffentliche Zertifikat in Schritt 4 auf Entra und das `.p12` Paket in Schritt 6 auf Amazon S3 hoch.

------
#### [ Windows (PowerShell) ]

**Generieren Sie ein selbstsigniertes Zertifikat**

Die folgenden PowerShell Befehle generieren ein selbstsigniertes 2048-Bit-RSA-Zertifikat mit einer Gültigkeitsdauer von einem Jahr und speichern es im Zertifikatsspeicher des aktuellen Benutzers. {{your-password}}Ersetzen Sie es durch ein sicheres, zufälliges Passwort — Sie speichern es wie in Schritt 7 geheim. `certificatePassword`

```
$cert = New-SelfSignedCertificate `
    -Subject "CN={{bedrock-sharepoint-connector}}" `
    -CertStoreLocation "Cert:\CurrentUser\My" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -KeyExportPolicy Exportable `
    -NotAfter (Get-Date).AddYears(1)
```

**Exportieren Sie das öffentliche Zertifikat**

```
Export-Certificate -Cert $cert -FilePath certificate.cer -Type CERT
```

**Exportieren Sie das PKCS \#12 (`.p12`) -Paket**

```
$password = ConvertTo-SecureString -String "{{your-password}}" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath certificate.p12 -Password $password
```

Sie haben jetzt zwei Dateien: das öffentliche Zertifikat (`certificate.cer`) und das Bundle (`certificate.p12`). Sie laden das öffentliche Zertifikat in Schritt 4 auf Entra und das `.p12` Paket in Schritt 6 auf Amazon S3 hoch.

------

**Wichtig**  
Speichern Sie das `.p12` Paket in Amazon S3 (nicht in der `.pem` `.cer` OR-Datei). Das Paket enthält den privaten Schlüssel, den Amazon Bedrock zur Authentifizierung verwendet. Document-level Für die Zugriffskontrolle (ACLs) ist das Format erforderlich. `.p12` Für reines Content-Crawling ohne ACLs können Sie stattdessen ein PEM-encoded Zertifikat speichern, da es für jede Konfiguration `.p12` funktioniert, die in diesem Handbuch durchgehend verwendet wird. `.p12`

**Anmerkung**  
Das Zertifikat ist standardmäßig für ein Jahr gültig. Ein abgelaufenes Zertifikat führt dazu, dass alle Synchronisierungen fehlschlagen. Wechseln Sie das Zertifikat daher, bevor es abläuft. Um den Gültigkeitszeitraum zu ändern, passen Sie die `-days` Option (OpenSSL) oder das `-NotAfter` Argument (PowerShell) an. Informationen zu den Rotationsschritten finden Sie unter[Das Zertifikat rotieren](kb-managed-ds-sharepoint-troubleshooting.md#kb-managed-ds-sharepoint-rotate-cert).

## Schritt 4: Laden Sie das öffentliche Zertifikat auf Entra hoch
<a name="kb-managed-sharepoint-entra-step4"></a>

1. Wählen Sie in Ihrer App-Registrierung **Certificates & Secrets und** dann den Tab **Certificates** aus.

1. Wählen Sie **Zertifikat hochladen** und wählen Sie die `certificate.cer` Datei aus, die Sie in Schritt 3 generiert haben (nur das öffentliche Zertifikat — laden Sie niemals das `.p12` Paket oder den privaten Schlüssel auf Entra hoch).

1. Wählen Sie **Hinzufügen** aus.

## Schritt 5 (Sites.Selected nur): Zugriff pro Site gewähren
<a name="kb-managed-sharepoint-entra-step5"></a>

**Anmerkung**  
Dieser Schritt gilt nur, wenn Sie in Schritt 2 den `Sites.Selected` Berechtigungsbereich ausgewählt haben. Wenn Sie den Geltungsbereich für alle Websites (`Sites.Read.All`oder`Sites.FullControl.All`) verwendet haben, fahren Sie mit [Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch](#kb-managed-sharepoint-entra-step6) fort.

Mit `Sites.Selected` gewähren Sie Ihrer Connector-Anwendung über die Microsoft Graph-API Zugriff auf jede SharePoint Site einzeln. Dazu ist eine separate, temporäre Anwendung erforderlich, die die Zuschüsse enthält `Sites.FullControl.All` und nur für deren Durchführung verwendet wird. Amazon Bedrock sieht diese temporäre Anwendung oder ihre Anmeldeinformationen niemals.

1. **Erstellen Sie einen temporären Förderantrag.** Registrieren Sie im Entra Admin Center eine zweite Anwendung (z. B.`bedrock-sharepoint-granter`) als Einzelmandantenanwendung ohne Umleitungs-URI. Fügen Sie die Microsoft `Sites.FullControl.All` Graph-Anwendungsberechtigung hinzu, erteilen Sie die Zustimmung des Administrators und erstellen Sie ein Client-Geheimnis. Notieren Sie die Client-ID und den geheimen Wert.

1. **Besorgen Sie sich ein Zugriffstoken für den Granter-Antrag.** Ersetzen Sie die Platzhalter durch die Client-ID und den geheimen Schlüssel der Granter-Anwendung sowie durch Ihre Mandanten-ID.

   ```
   curl -s -X POST \
     "https://login.microsoftonline.com/{{TENANT_ID}}/oauth2/v2.0/token" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "grant_type=client_credentials" \
     -d "client_id={{GRANTER_CLIENT_ID}}" \
     -d "client_secret={{GRANTER_CLIENT_SECRET}}" \
     -d "scope=https://graph.microsoft.com/.default"
   ```

   Die Antwort enthält eine. `access_token` Verwenden Sie es in den nächsten Befehlen als Bearer-Token.

1. **Löse jede Site-URL in eine Site-ID auf.** Verwenden Sie den Hostnamen und den serverrelativen Pfad der Site.

   ```
   curl -s \
     "https://graph.microsoft.com/v1.0/sites/{{contoso}}.sharepoint.com:/sites/{{engineering}}" \
     -H "Authorization: Bearer {{ACCESS_TOKEN}}"
   ```

   Das `id` Feld in der Antwort ist die Site-ID.

1. **Gewähren Sie der Connector-Anwendung Zugriff auf die Site.** Wird `read` für reines Inhalts-Crawling oder `fullcontrol` für ACL-Crawling verwendet. {{CONNECTOR\_CLIENT\_ID}}Ersetzen Sie es durch die Anwendungs-ID (Client) aus Schritt 1.

   ```
   curl -s -X POST \
     "https://graph.microsoft.com/v1.0/sites/{{SITE_ID}}/permissions" \
     -H "Authorization: Bearer {{ACCESS_TOKEN}}" \
     -H "Content-Type: application/json" \
     -d '{
       "roles": ["{{fullcontrol}}"],
       "grantedToIdentities": [{
         "application": {
           "id": "{{CONNECTOR_CLIENT_ID}}",
           "displayName": "{{bedrock-sharepoint-connector}}"
         }
       }]
     }'
   ```

1. Wiederholen Sie die Befehle resolve-and-grant für jede Site, die Sie in die Datenquelle aufnehmen. Wenn Sie fertig sind, können Sie den Antrag auf temporäre Zuschüsse löschen. Die Zuschüsse pro Standort bleiben gültig.

**Wichtig**  
Per-site Zuschüsse gelten nicht rückwirkend. Wenn Sie der Datenquelle später eine Site hinzufügen, gewähren Sie der Connector-Anwendung vor der nächsten Synchronisierung Zugriff auf diese Site. Andernfalls wird ihr Inhalt nicht gecrawlt.

## Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch
<a name="kb-managed-sharepoint-entra-step6"></a>

Laden Sie das `.p12` Paket aus Schritt 3 in einen Amazon S3 S3-Bucket in derselben AWS Region wie Ihre Wissensdatenbank hoch. Notieren Sie sich den Bucket-Namen und den Schlüssel — Sie verwenden sie als Datenquelle`certificateS3Path`.

```
aws s3api put-object \
  --bucket {{your-certificate-bucket}} \
  --key {{certs/certificate.p12}} \
  --body certificate.p12 \
  --server-side-encryption AES256
```

**Anmerkung**  
Wir empfehlen, die serverseitige Verschlüsselung für das Zertifikatsobjekt zu aktivieren und den Bucket auf die Prinzipale zu beschränken, die ihn benötigen. Das Paket enthält den privaten Schlüssel.

## Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
<a name="kb-managed-sharepoint-entra-step7"></a>

Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. Geben Sie für die App-Only Entra-ID-Authentifizierung die folgenden Schlüssel-Wert-Paare an:
+ `clientId`(erforderlich) — die Anwendungs-ID (Client) aus Schritt 1.
+ `certificatePassword`(empfohlen) — das Passwort, das Sie in Schritt 3 für das `.p12` Bundle festgelegt haben. Lesen Sie den folgenden Hinweis.

```
{
    "clientId": "{{your-client-id}}",
    "certificatePassword": "{{your-certificate-password}}"
}
```

Erstellen Sie das Geheimnis mit dem AWS Command Line Interface:

```
aws secretsmanager create-secret \
  --name {{bedrock-sharepoint-creds}} \
  --secret-string file://secret.json
```

Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als Datenquelle`secretArn`.

**Anmerkung**  
Geben Sie `certificatePassword` das Passwort ein, das Sie bei der Erstellung des `.p12` Bundles in Schritt 3 verwendet haben. Wenn Sie dieses Feld weglassen, öffnet Amazon Bedrock das Bundle mit der Client-ID Ihrer Anwendung als Passwort. Das Bundle muss also mit der Client-ID als Passwort erstellt worden sein. Wir empfehlen, stattdessen immer ein explizites Passwort mit hoher Entropie festzulegen und den privaten Schlüssel sicher aufzubewahren.

**Anmerkung**  
**Verwenden Sie stattdessen ein PEM-Zertifikat.** Dieses Handbuch verwendet ein `.p12` Paket, das für jede Konfiguration funktioniert. Wenn Sie nur Inhalte crawlen (keine Zugriffskontrolle auf Dokumentebene), können Sie stattdessen ein PEM-Zertifikat verwenden. Laden Sie in diesem Fall nur das *öffentliche* Zertifikat auf Amazon S3 hoch (kein `.p12` Paket) und speichern Sie den privaten Schlüssel im Secret als `privateKey` (unverschlüsseltes Base64-kodiertes PKCS \#8, ohne Kopfzeilen) anstelle von: `certificatePassword`  

```
{
    "clientId": "{{your-client-id}}",
    "privateKey": "{{your-base64-pkcs8-private-key}}"
}
```

## Schritt 8: Gewähren Sie der Servicerolle Zugriff auf das Zertifikat
<a name="kb-managed-sharepoint-entra-step8"></a>

Ihre Wissensdatenbank-Servicerolle muss in der Lage sein, das Zertifikatsobjekt aus Amazon S3 zu lesen. Fügen Sie der Berechtigungsrichtlinie der Rolle die folgende Anweisung hinzu und ersetzen Sie den Bucket-Namen und den Schlüssel durch Ihre Werte.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ListCertificateBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::{{your-certificate-bucket}}"],
            "Condition": {
                "StringEquals": { "aws:ResourceAccount": ["{{123456789012}}"] }
            }
        },
        {
            "Sid": "S3GetCertificate",
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": [
                "arn:aws:s3:::{{your-certificate-bucket}}/{{certs/certificate.p12}}",
                "arn:aws:s3:::{{your-certificate-bucket}}/{{certs/certificate.p12}}.metadata.json"
            ],
            "Condition": {
                "StringEquals": { "aws:ResourceAccount": ["{{123456789012}}"] }
            }
        }
    ]
}
```

**Anmerkung**  
Die Richtlinie ermöglicht neben dem Zertifikat auch den Lesezugriff auf eine optionale `.metadata.json` Datei. Amazon Bedrock benötigt diese Datei nicht; einschließlich der Berechtigung verhindert Zugriffsfehler, falls eine vorhanden ist.

**Wenn das Zertifikatsobjekt mit einem AWS KMS-Schlüssel verschlüsselt ist**

Der Upload-Befehl in [Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch](#kb-managed-sharepoint-entra-step6) verwendet S3-managed Amazon-Verschlüsselung (`AES256`), für die keine zusätzlichen Berechtigungen erforderlich sind. Wenn Sie stattdessen das Zertifikatsobjekt mit serverseitiger Amazon S3 S3-Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels (SSE-KMS) verschlüsseln, benötigt die Servicerolle auch eine `kms:Decrypt` Genehmigung für diesen Schlüssel, und die Richtlinie des Schlüssels muss es der Rolle ermöglichen, ihn zu verwenden. Für Objekte, die mit dem AWS verwalteten `aws/s3` Schlüssel verschlüsselt wurden, ist diese zusätzliche Genehmigung nicht erforderlich.

```
{
    "Sid": "KmsDecryptCertificate",
    "Effect": "Allow",
    "Action": ["kms:Decrypt"],
    "Resource": ["arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/{{your-key-id}}"]
}
```

Lesezugriff erfordert nur`kms:Decrypt`. Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS-Schlüsseln verwenden (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).

Den vollständigen Satz der Rollenberechtigungen für den Wissensdatenbankdienst finden Sie unter[Berechtigungen für den Zugriff auf Ihre Datenquellen](kb-permissions.md#kb-permissions-access-ds).

## Nächste Schritte
<a name="kb-managed-sharepoint-entra-next"></a>

Sie haben jetzt alles, was Sie zum Erstellen der Datenquelle benötigen: den geheimen ARN, Ihre Mandanten-ID und den Amazon S3 S3-Speicherort des Zertifikats. Informationen zum Erstellen der SharePoint Datenquelle mit der AWS-Managementkonsole oder der API finden Sie unter[Eine SharePoint Datenquelle Connect](kb-managed-ds-sharepoint-connect.md).

**Wichtig**  
Für die `ENTRA_ID_APP_ONLY` Authentifizierung müssen Sie diese Daten angeben, `certificateS3Path` wenn Sie die Datenquelle erstellen, auch wenn ACLs deaktiviert sind. Eine SharePoint Datenquelle, die mit diesem Authentifizierungstyp und ohne Zertifikat erstellt wurde, schlägt fehl.