

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Document-level controles de acceso
<a name="kb-managed-ds-confluence-acl"></a>

**El conocimiento de la ACL no es una autorización**  
La base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros, no un límite de seguridad. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación es responsable de autenticar a los usuarios y de transmitir el contexto de identidad verificado. Dado que Bedrock Managed Knowledge Base no puede verificar la autenticidad del contexto de usuario que usted proporciona, esta función filtra los resultados en función de la identidad que proporciona, pero no constituye una autorización verdadera. No debe confiar en esta función como único mecanismo de control de acceso sin una autenticación previa.

Las fuentes de datos de Confluence admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, Bedrock Managed Knowledge Base sincroniza las listas de control de acceso (ACL) de Confluence durante cada rastreo y verifica los permisos de cada usuario en el momento de la consulta, de modo que los usuarios solo vean los resultados de los documentos a los que están autorizados a acceder en Confluence. Para obtener información general sobre el reconocimiento de las ACL en todos los conectores, consulte. [Habilitación del conocimiento de las listas de control de acceso](kb-managed-acl.md)

## Funcionamiento
<a name="kb-managed-ds-confluence-acl-how"></a>

Cuando un usuario consulta una base de conocimientos que utiliza una fuente de datos de ACL-enabled Confluence, Bedrock Managed Knowledge Base aplica los controles de acceso en dos etapas:
+ **Pre-retrieval filtrado**: la base de conocimiento gestionada por Bedrock aplica las listas de control de acceso que se sincronizaron desde Confluence durante el último rastreo y devuelve solo los documentos candidatos a los que el usuario (o sus grupos) puedan acceder.
+ **Real-time verificación**: la base de conocimientos gestionada por Bedrock verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta en Confluence. En la respuesta solo se incluyen los documentos a los que el usuario está autorizado a acceder actualmente.

Este enfoque de dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando los permisos de Confluence cambian entre sincronizaciones.

## ¿Qué se rastrea
<a name="kb-managed-ds-confluence-acl-crawl"></a>

Cuando las ACL están habilitadas, la base de conocimiento gestionada de Bedrock rastrea las siguientes estructuras de permisos de Confluence:
+ **Espacios**: los permisos de espacio se aplican a todos los documentos del espacio de forma predeterminada.
+ **Páginas**: las páginas se pueden restringir a usuarios y grupos específicos. Las páginas anidadas heredan las restricciones de la página principal.
+ **Blogs**: las publicaciones del blog se pueden restringir a usuarios y grupos específicos.
+ Archivos **adjuntos**: los archivos adjuntos a páginas o publicaciones de blog heredan los controles de acceso de su documento principal.

## Habilite el reconocimiento de ACL
<a name="kb-managed-ds-confluence-acl-enable"></a>

Para habilitar el reconocimiento de la ACL en una fuente de datos de Confluence, `aclEnabled` `true` configúrelo en `connectorParameters` y utilice el tipo de `BASIC` autenticación. El secreto debe incluir las credenciales de administrador de la organización de Atlassian además del correo electrónico y el token de API estándar. Estas credenciales de administrador son necesarias para el rastreo de identidades.

**importante**  
La configuración de la ACL es permanente. No puede habilitar las ACL en una fuente de datos creada sin soporte para las ACL y no puede deshabilitar las ACL una vez habilitadas.

Además del estándar `username` `password` (token de API) y `hostUrl` los campos, el AWS Secrets Manager secreto debe incluir los siguientes campos de administración de la organización. Para obtener instrucciones paso a paso para obtener estos valores, consulte[Configurar la autenticación básica para Confluence](kb-managed-confluence-basic-setup.md).
+ `adminApiKey`— Una clave de API de una organización de Atlassian con los ámbitos `read:directories:admin` y`read:workspaces:admin`.
+ `organizationId`— El UUID de tu organización de Atlassian.
+ `directoryId`— El UUID del directorio de usuarios de tu espacio de trabajo de Confluence.

**nota**  
El tipo de `OAUTH2` autenticación no es compatible con las fuentes de datos de ACL-enabled Confluence. Debes usarlo `BASIC` con las credenciales de administrador de la organización de Atlassian que figuran en el secreto.

## Real-time verificación de acceso
<a name="kb-managed-ds-confluence-acl-realtime"></a>

La base de conocimientos gestionada por Bedrock verifica cada documento candidato con Confluence en el momento de la consulta, completamente desde el servidor, mediante el token de la API de administración de Atlassian configurado en el secreto; el usuario final no tiene que iniciar sesión. El token de administrador comprueba las restricciones actuales de espacio, página y blog del usuario que realiza la consulta, por lo que se respetan los cambios de acceso realizados desde el último rastreo.

## Verificación de la configuración
<a name="kb-managed-ds-confluence-acl-verify"></a>

Puedes validar tus credenciales independientemente de una solicitud de recuperación. Realice cada una de las siguientes comprobaciones:

1. **Acceso al contenido de Confluence (rastreo)**:
   + Con el token de API `username` y (`password`) del secreto, llama a la API REST de Confluence (por ejemplo, los espacios de lista) y confirma que devuelve HTTP 200.

1. **API de administración de Atlassian (rastreo de identidades y** verificación en tiempo real):
   + Confirma que `adminApiKey` tiene los alcances y`read:directories:admin`. `read:workspaces:admin`
   + Utiliza la `adminApiKey` API del directorio de administración de Atlassian para ti `organizationId` y confirma que devuelve los usuarios `directoryId` y grupos de tu organización.

## Resolución de problemas
<a name="kb-managed-ds-confluence-acl-troubleshooting"></a>

**nota**  
Las configuraciones incorrectas de las ACL no producen errores explícitos durante la recuperación. Se produce un error al cerrar la recuperación: los documentos afectados se omiten de forma silenciosa, por lo que la consulta arroja menos resultados o no arroja ningún resultado en lugar de un error. Utilice las comprobaciones de verificación anteriores para diagnosticar estos problemas.


**ACL-enabled Síntomas, causas y soluciones de Confluence**  

| Síntoma | Causa probable | Fix | 
| --- | --- | --- | 
| Retrieve devuelve 0 resultados, pero el usuario tiene acceso a Confluence. | A la clave de la API de administración de Atlassian le faltan ámbitos o el signoorganizationId/directoryIdes incorrecto, por lo que las restricciones de usuarios y grupos no se pueden resolver. | Confirma que los adminApiKey valores «read:directories:adminyread:workspaces:admin» y «y» son organizationId correctos. directoryId | 
| El rastreo o la sincronización fallan. | El token username o API (password) no es válido. | Verifica el BASIC nombre de usuario y el token de API del secreto. | 
| Se deniega a todos los usuarios después de haber trabajado previamente. | El token de la API o la clave de la API del administrador han caducado o se han revocado. | Coloca las credenciales afectadas en el secreto. | 