Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Document-level controles de acceso
OneDrive Las fuentes de datos admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, Bedrock Managed Knowledge Base sincroniza las listas de control de acceso (ACL) de OneDrive cada rastreo y verifica los permisos de cada usuario en el momento de la consulta, de modo que los usuarios solo vean los resultados de los documentos a los que están autorizados a acceder. OneDrive Para obtener información general sobre el reconocimiento de las ACL en todos los conectores, consulte. Habilitación del conocimiento de las listas de control de acceso
El conocimiento de la ACL no es una autorización
La base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros, no un límite de seguridad. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación es responsable de autenticar a los usuarios y de transmitir el contexto de identidad verificado. Bedrock Managed Knowledge Base no puede verificar la autenticidad del contexto de usuario que usted proporciona. Por lo tanto, esta función filtra los resultados en función de la identidad que proporcione, pero no constituye una autorización verdadera. No debe confiar en esta función como único mecanismo de control de acceso sin una autenticación previa.
Funcionamiento
Cuando un usuario consulta una base de conocimientos que utiliza una fuente de ACL-enabled OneDrive datos, Bedrock Managed Knowledge Base aplica los controles de acceso en dos etapas:
-
Pre-retrieval filtrado: la base de conocimiento gestionada por Bedrock aplica las listas de control de acceso que se sincronizaron OneDrive durante el último rastreo y solo muestra los documentos candidatos a los que el usuario (o sus grupos) pueden acceder.
-
Real-time verificación: la base de conocimientos gestionada por Bedrock verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta. OneDrive En la respuesta solo se incluyen los documentos a los que el usuario está autorizado actualmente a acceder.
Este enfoque de dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando OneDrive los permisos cambian entre las sincronizaciones.
¿Qué se rastrea
Cuando las ACL están habilitadas, la Base de conocimiento gestionada por Bedrock rastrea los permisos de uso compartido a nivel de archivos y las asignaciones de grupos de seguridad desde los que se accede. OneDrive También se resuelven las pertenencias a grupos anidados (transitivos).
En el momento de la consulta, pasas la dirección de correo electrónico del usuario (no la de un grupo). La base de conocimientos gestionada por Bedrock resuelve la pertenencia a un grupo de ese usuario a partir de los datos que ha rastreado y los aplica al filtrar los resultados. Para obtener más información sobre el modelo de identidad, consulte. Habilitación del conocimiento de las listas de control de acceso
Requisitos previos para el conocimiento de las ACL
ACL-enabled OneDrive usa dos API de Microsoft diferentes, cada una con su propio conjunto de permisos de aplicación en la aplicación Microsoft Entra: el rastreo usa la API de Microsoft Graph y la verificación en tiempo real usa la API SharePoint REST (OneDrive para empresas está respaldada por). SharePoint Configura los permisos de ambas API, con el consentimiento del administrador, antes de activar el reconocimiento de las ACL.
-
User.Read.AllyGroupMember.Read.Allen Microsoft Graph (para rastrear identidades). -
Sites.FullControl.Allactivado SharePoint (para verificar el acceso a los documentos).Sites.Read.Allno es suficiente: el acceso de solo lectura no puede realizar la verificación de permisos efectivos que requiere la verificación en tiempo real.
importante
El rastreo usa la API de Microsoft Graph y la verificación en tiempo real usa la API SharePoint REST, diferentes recursos con diferentes permisos de aplicación. Los permisos de rastreo de identidad de Microsoft Graph son necesarios pero no suficientes: la verificación en tiempo real también requiere el SharePoint Sites.FullControl.All permiso con el consentimiento del administrador. Conceder solo los permisos de Microsoft Graph es la causa más común de que una fuente de ACL-enabled OneDrive datos no devuelva resultados incluso cuando el usuario tiene acceso.
Para ver el procedimiento de configuración completo, incluido el certificado, consulteConfigurar la autenticación de Microsoft Entra App ID para OneDrive.
Habilite el reconocimiento de ACL
Para habilitar el reconocimiento de la ACL en una fuente de OneDrive datos, aclEnabled true configúrelo en connectorParameters y utilice el tipo de ENTRA_APP_ID autenticación. Este tipo de autenticación utiliza permisos de aplicación que permiten a Bedrock Managed Knowledge Base rastrear la información de identidad y verificar el acceso a los documentos en el momento de la consulta.
importante
La configuración de ACL es permanente. No puede habilitar las ACL en una fuente de datos creada sin soporte para las ACL y no puede deshabilitar las ACL una vez habilitadas.
Cuando las ACL estén habilitadas para OneDrive, debe incluir un certificateS3Path archivo de certificado PKCS #12 (.p12) en Amazon S3. connectionConfiguration Este certificado se utiliza para la verificación de las ACL en tiempo real con respecto a la API SharePoint REST. No certificateS3Path es obligatorio cuando las ACL están deshabilitadas.
"connectorParameters": { "type": "ONEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_APP_ID", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "crawlPersonalDrives": true } }
nota
El certificatePassword campo del secreto es opcional. Si lo omite, Bedrock Managed Knowledge Base abre el archivo PKCS #12 (.p12) con el ID de cliente de la aplicación como contraseña, por lo que el certificado debe haberse creado con esa contraseña. Le recomendamos que establezca siempre una entropía explícita y de alta entropía certificatePassword para proteger la clave privada del certificado en reposo.
nota
El tipo de OAUTH2 autenticación no es compatible con las fuentes de ACL-enabled OneDrive datos. Se debe utilizar ENTRA_APP_ID.
Real-time verificación de acceso
La base de conocimientos gestionada de Bedrock verifica cada documento candidato en tiempo real, completamente desde el lado del servidor, utilizando las credenciales de la aplicación; no se requiere el inicio de sesión del usuario final ni el consentimiento delegado. Dado que OneDrive for Business está respaldado por SharePoint, Bedrock Managed Knowledge Base compara los permisos efectivos del usuario que realiza la consulta con la API REST del host de su arrendatario. SharePoint OneDrive
OneDrive la verificación en tiempo real utiliza un modelo de dos credenciales y se requieren ambas credenciales:
El ID de cliente y el secreto de cliente de tu AWS Secrets Manager secreto crean un token de Microsoft Graph que se utiliza para resolver el OneDrive host de tu inquilino (el
-my.sharepoint.comanfitrión).El certificado
certificateS3Pathacuña el token SharePoint REST utilizado para la propia verificación de permisos. El certificado es la credencial autorizada para la verificación en tiempo real; un token secreto del cliente por sí solo no puede realizar la verificación.
importante
La aplicación debe tener el SharePoint Sites.FullControl.All permiso con el consentimiento del administrador; no Sites.Read.All es suficiente porque la comprobación de permisos efectivos requiere derechos de control. manage/full Sin el permiso correcto, la verificación en tiempo real no puede evaluar los permisos efectivos y, por lo tanto, no se pueden cerrar todos los documentos para cada consulta, incluso cuando el usuario tiene acceso y el filtrado previo al rastreo y la recuperación se han realizado correctamente. Consulte los requisitos previos para conocer las ACL.
nota
Tras conceder o dar su consentimiento al permiso de la SharePoint aplicación, espere hasta una hora para que el cambio se aplique a los usuarios comprobados antes del cambio, ya que las credenciales de acceso a la aplicación se almacenan en caché. Para confirmar el cambio lo antes posible, pruébelo con otro usuario al que aún no se haya realizado la consulta.
Verificación de la configuración
Puede validar los permisos de la aplicación Entra independientemente de una solicitud de recuperación. Realice cada una de las siguientes comprobaciones:
-
Microsoft Graph (rastreo):
Adquiera un token de aplicación con alcance
https://graph.microsoft.com/.default.Decodifique el token y confirme que la
rolesreclamación incluye los permisos de Microsoft Graph necesarios (User.Read.AllGroupMember.Read.All, yFiles.Read.All).Llama
GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/childreny confirma que incluye los elementos de la unidad de disco del usuario.
-
SharePoint REST (verificación en tiempo real):
Adquiera un token utilizando la afirmación del cliente de certificados con alcance
https://{tenant}-my.sharepoint.com/.default.Confirma que la
rolesafirmación del token incluye el SharePointSites.FullControl.Allpermiso. Unroles: nullvalor significa que falta el permiso o el consentimiento del administrador.Llama
GET https://{tenant}-my.sharepoint.com/_api/weby confirma que se ha realizado correctamente (HTTP 200). Una respuesta fallida o no autorizada significa que falta el SharePoint permiso o el consentimiento del administrador, lo que provoca que se denieguen todos los documentos.
nota
Tras corregir el permiso, la SharePoint llamada se realiza de forma inmediata a nivel de token, pero la recuperación integral de un usuario que ya ha realizado las pruebas puede seguir retrasándose debido al TTL de la caché descrito en la verificación de acceso. Real-time No llegues a la conclusión de que la corrección ha fallado en función de un usuario almacenado en caché.
Resolución de problemas
nota
Las configuraciones incorrectas de las ACL no producen errores explícitos durante la recuperación. Se produce un error al cerrar la recuperación: los documentos afectados se omiten de forma silenciosa, por lo que la consulta arroja menos resultados o no arroja ningún resultado en lugar de un error. Utilice las comprobaciones de verificación anteriores para diagnosticar estos problemas.
| Síntoma | Causa probable | Fix |
|---|---|---|
| Retrieve devuelve 0 resultados, pero el usuario tiene acceso a ellos OneDrive. | Los permisos de Microsoft Graph están presentes, pero faltan el permiso de la SharePoint aplicación o el consentimiento del administrador, por lo que se rechaza la llamada SharePoint REST y se deniegan todos los documentos. | Conceda el SharePoint Sites.FullControl.All permiso con el consentimiento del administrador. Como estas credenciales de la aplicación se almacenan en caché, espere hasta una hora para que el cambio surta efecto o pruébelas con un usuario que aún no haya sido consultado para confirmarlo antes posible. |
| Se modificó el acceso de un usuario OneDrive, pero el nuevo resultado no se refleja inmediatamente. | Per-user En última instancia, los resultados de acceso son coherentes entre la fuente de datos y la base de conocimientos gestionada por Bedrock (normalmente en unos dos minutos), por lo que es posible que un cambio de acceso reciente no se refleje de inmediato. | Una vez que la fuente de datos refleje el cambio, espere unos dos minutos y vuelva a intentarlo. |
| Se deniega el acceso a todos los usuarios después de haber trabajado previamente. | El certificado ha caducado o se ha revocado el consentimiento del administrador. | Renueve el certificado en el registro de la aplicación Entra y en Amazon S3 y vuelva a conceder el consentimiento del administrador. |
| El rastreo o la sincronización fallan aunque la configuración parece correcta. | Falta un permiso de aplicación de Microsoft Graph obligatorio. | GrantFiles.Read.All,Sites.Read.All,User.Read.All, yGroupMember.Read.All. |
| Errores al acuñar el token o la contraseña del certificado. | La .p12 contraseña no coincide. certificatePassword |
certificatePasswordDefina la contraseña utilizada para crear el .p12 archivo. |