Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar la autenticación de Microsoft Entra App ID para OneDrive
La autenticación Microsoft Entra App ID (ENTRA_APP_ID) es el método de autenticación recomendado para una fuente de OneDrive datos. El conector rastrea el contenido con el flujo de credenciales de cliente de OAuth 2.0 (solo para aplicaciones), utilizando el identificador de cliente y el secreto de la aplicación, sin que el usuario inicie sesión. Este es el único método de autenticación que admite el control de acceso (ACL) a nivel de documento. Para ver una comparación con el OAUTH2 método alternativo, consulte. Métodos de autenticación
nota
Solo se requiere un certificado cuando se habilita el control de acceso a nivel de documento. Para el rastreo exclusivo del contenido, el identificador y el secreto del cliente son las únicas credenciales que necesita el conector. Esto difiere de una fuente de SharePoint datos, en la que la App-Only autenticación de Microsoft Entra ID siempre requiere un certificado.
Se requiere acceso administrativo
Esta configuración requiere un administrador de Microsoft Entra ID (administrador global o administrador de rol privilegiado) para registrar la aplicación, configurar los permisos y conceder el consentimiento del administrador. En la siguiente tabla de pasos y funciones de configuración se indica el acceso necesario para cada paso.
Pasos y funciones de configuración
Este procedimiento implica tanto a un administrador de Microsoft Entra ID como a un AWS administrador. Según cómo se dividan las responsabilidades en la organización, una o varias personas pueden completar estos pasos. Los pasos del certificado (pasos 4 a 6 y 8) solo se aplican cuando se habilita el control de acceso a nivel de documento. Utilice la siguiente tabla para identificar el acceso que requiere cada paso.
| Paso | ¿Qué haces | ¿Se necesita acceso |
|---|---|---|
| 1. Registre la solicitud | Cree el registro de la aplicación Entra y registre sus ID de cliente e inquilino. | Administrador de Microsoft Entra ID (administrador global o administrador de rol privilegiado) |
| 2. Añada permisos y otorgue el consentimiento | Asigne los permisos de la aplicación para su configuración y otorgue el consentimiento del administrador. | Administrador de Microsoft Entra ID |
| 3. Cree un secreto de cliente | Cree un secreto de cliente para la aplicación y registre su valor. | Administrador de Microsoft Entra ID |
| 4. Genere el certificado (solo ACL) | Cree un certificado autofirmado y un paquete PKCS #12 (.p12) con OpenSSL. |
Cualquier persona con un terminal local (se requiere OpenSSL) |
| 5. Cargue el certificado público a Entra (solo ACL) | Añada el certificado público a las claves de registro de la aplicación. | Administrador de Microsoft Entra ID |
| 6. Cargue el certificado en Amazon S3 (solo ACL) | Guarde el .p12 paquete en un depósito de Amazon S3. |
AWS administrador (Amazon S3) |
| 7. Cree el secreto | Guarde las credenciales en AWS Secrets Manager secreto. | AWS administrador (Secrets Manager) |
| 8. Conceda al rol de servicio acceso al certificado (solo ACL) | Añada permisos de lectura de Amazon S3 a su función de servicio de base de conocimientos. | AWS administrador (IAM) |
Referencia de permisos
Asigne los permisos de aplicación que coincidan con su configuración. Todos los permisos son permisos de aplicación (no delegados) y todos requieren el consentimiento del administrador. Para el rastreo exclusivo de contenido, el conector se autentica únicamente en Microsoft Graph. Cuando el control de acceso a nivel de documento está habilitado, el conector también se autentica en la API SharePointREST para verificar el acceso en el momento de la consulta, ya que for Business está respaldado por. OneDrive SharePoint
importante
Al añadir estos permisos al portal Entra, selecciona la pestaña Permisos de la aplicación, no los permisos delegados. Application-only la autenticación utiliza los permisos de la aplicación.
Seleccione la pestaña de su configuración para ver los permisos exactos que debe asignar.
nota
El SharePoint Sites.FullControl.All permiso otorga a la aplicación conectora un amplio acceso a todos los sitios de su inquilino. Ofrézcalo únicamente a esta aplicación y proteja las credenciales de la aplicación en consecuencia.
Valores que se recopilan durante la configuración
Los siguientes valores se crean o recopilan a medida que avanza en los pasos. Los usa al crear la fuente de datos. Para obtener más información, consulte Conectar una fuente OneDrive de datos.
| Valor | Creado en | Utilizado para |
|---|---|---|
| ID de aplicación (cliente) | Paso 1 | El secreto (clientId). |
| ID de directorio (inquilino) | Paso 1 | La fuente de datostenantId. |
| Valor del secreto de cliente | Paso 3 | El secreto (clientSecret). |
Certificado: paquete PKCS #12 (.p12) y su contraseña (solo ACL) |
Paso 4 | El paquete (certificado más clave privada) se carga en Amazon S3 (paso 6); la contraseña se guarda en el secreto (certificatePassword). |
Certificado: certificado público (.cer) (solo ACL) |
Paso 4 | La mitad pública del mismo certificado, cargada en el registro de la aplicación Entra (paso 5). |
| Nombre y clave del bucket de Amazon S3 (solo ACL) | Paso 6 | La fuente certificateS3Path de datos. |
| ARN del secreto | Paso 7 | La fuente de datossecretArn. |
Paso 1: Registrar la aplicación en Microsoft Entra ID
-
Inicie sesión en el Centro de administración de Microsoft Entra
. -
En el menú de navegación de la izquierda, expande Entra ID y selecciona Registros de aplicaciones.
-
Selecciona Nuevo registro.
-
En Nombre, introduzca un nombre descriptivo, como
bedrock-onedrive-connector. -
Para los tipos de cuentas compatibles, selecciona Solo cuentas de este directorio organizativo (arrendatario único).
-
Deje el URI de redireccionamiento en blanco. No se requiere un URI de redireccionamiento porque la aplicación usa el flujo de credenciales del cliente, no un flujo de inicio de sesión interactivo.
-
Elija Registro.
-
En la página de descripción general de la aplicación, registre el ID de la aplicación (cliente) y el ID del directorio (inquilino). Necesitará ambos más adelante.
Paso 2: Agrega los permisos de la API y otorga el consentimiento del administrador
Añada los permisos para su configuración desdeReferencia de permisos.
-
En el registro de la aplicación, selecciona Permisos de API y, a continuación, Añadir un permiso.
-
Seleccione Microsoft Graph y, a continuación, Permisos de aplicación. Busque y seleccione cada permiso de Microsoft Graph para su configuración y, a continuación, elija Agregar permisos.
-
Si está habilitando el control de acceso a nivel de documento, vuelva a seleccionar Añadir un permiso. Elija SharePoint(en API de Microsoft) y, a continuación, Permisos de aplicación. Seleccione
Sites.FullControl.Ally, a continuación, elija Agregar permisos. -
En la página de permisos de la API, selecciona Otorgar el consentimiento del administrador a [tu organización] y confirma. Sin el consentimiento del administrador, la aplicación no puede acceder a OneDrive los datos.
Paso 3: Crea un secreto de cliente
OneDrive El rastreo utiliza el identificador y el secreto de cliente de la aplicación, por lo que se requiere un secreto de cliente tanto para las fuentes de datos como para las que solo contienen contenido. ACL-enabled Cuando el control de acceso a nivel de documento está habilitado, el conector usa el secreto del cliente para obtener un token de Microsoft Graph que resuelve el OneDrive host del inquilino y el certificado (del paso 4) para obtener el SharePoint token utilizado para la verificación de acceso.
-
En el registro de la aplicación, selecciona Certificados y secretos, luego Secretos de cliente y, por último, Nuevo secreto de cliente.
-
Introduce una descripción, selecciona una fecha de caducidad y selecciona Añadir.
-
Registre el valor secreto inmediatamente; solo se muestra una vez. Registre el valor, no el identificador secreto.
Paso 4 (solo ACL): generar el certificado de autenticación
nota
Este paso y los pasos 5, 6 y 8 se aplican solo si habilita el control de acceso a nivel de documento. Para rastrear solo el contenido, vaya a. Paso 7: Crea el secreto de Secrets Manager
Genere un certificado autofirmado y empaquételo como un paquete PKCS #12 (). .p12 El paquete contiene el certificado y su clave privada, protegidos por una contraseña. Debe cargar el certificado público en Entra (paso 5) y el .p12 paquete en Amazon S3 (paso 6). Seleccione la pestaña de su sistema operativo para ver los comandos.
nota
Amazon Bedrock lee la clave privada del .p12 paquete para firmar las afirmaciones de autenticación, por lo que el paquete debe estar protegido con contraseña. Elija una contraseña segura y aleatoria; guárdela en secreto como en el paso 7. certificatePassword
importante
Guarde el .p12 paquete en Amazon S3 (no en el .cer archivo .pem or). El paquete contiene la clave privada que Amazon Bedrock utiliza para autenticarse y verificar el acceso, así que guárdela de forma segura. SharePoint Document-level el control de acceso requiere el .p12 formato.
nota
De forma predeterminada, el certificado es válido durante un año. Un certificado caducado provoca errores en todas las sincronizaciones, así que rote el certificado antes de que caduque. Para cambiar el período de validez, ajuste la -days opción (OpenSSL) o -NotAfter el argumento (). PowerShell Para conocer los pasos de rotación, consulte. Rota el certificado
Paso 5 (solo ACL): Cargue el certificado público a Entra
-
En el registro de la aplicación, selecciona Certificados y secretos y, a continuación, selecciona la pestaña Certificados.
-
Selecciona Cargar certificado y selecciona el
certificate.cerarchivo que generaste en el paso 4 (solo el certificado público; nunca subas el.p12paquete o la clave privada a Entra). -
Elija Añadir.
Paso 6 (solo ACL): cargar el certificado en Amazon S3
Sube el .p12 paquete del paso 4 a un depósito de Amazon S3 en la misma AWS región que tu base de conocimientos. Registra el nombre y la clave del bucket; úsalos como fuente de datoscertificateS3Path.
aws s3api put-object \ --bucketyour-certificate-bucket\ --keycerts/certificate.p12\ --body certificate.p12 \ --server-side-encryption AES256
nota
Le recomendamos que habilite el cifrado del lado del servidor en el objeto de certificado y restrinja el depósito a las entidades principales que lo necesiten. El paquete contiene la clave privada.
Paso 7: Crea el secreto de Secrets Manager
Guarde las credenciales en AWS Secrets Manager secreto. Para la autenticación de Microsoft Entra App ID, incluye los siguientes pares clave-valor:
clientId(obligatorio): el ID de la aplicación (cliente) del paso 1.clientSecret(obligatorio): el valor secreto del cliente del paso 3.certificatePassword(solo se recomienda el control de acceso a nivel de documento): la contraseña que configuraste en el.p12paquete en el paso 4. Consulte la nota siguiente.
Solo contenido (sin control de acceso a nivel de documento)
{ "clientId": "your-client-id", "clientSecret": "your-client-secret" }
Con control de acceso a nivel de documento
{ "clientId": "your-client-id", "clientSecret": "your-client-secret", "certificatePassword": "your-certificate-password" }
Crea el secreto con: AWS Command Line Interface
aws secretsmanager create-secret \ --namebedrock-onedrive-creds\ --secret-string file://secret.json
Registre el ARN secreto de la respuesta. Se usa como fuente secretArn de datos.
nota
Cuando el control de acceso a nivel de documento esté activado, certificatePassword configúrelo con la contraseña que utilizó al crear el .p12 paquete en el paso 4. Si omite este campo, Amazon Bedrock abre el paquete con el ID de cliente de su aplicación como contraseña, por lo que el paquete debe haberse creado con el ID de cliente como contraseña. Le recomendamos que, en su lugar, establezca siempre una contraseña explícita y de alta entropía.
Paso 8 (solo ACL): conceda al rol de servicio acceso al certificado
Su función de servicio de base de conocimientos debe poder leer el objeto de certificado de Amazon S3. Añada la siguiente declaración a la política de permisos del rol y sustituya el nombre y la clave del bucket por sus valores.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ListCertificateBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::your-certificate-bucket"], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } }, { "Sid": "S3GetCertificate", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12", "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } } ] }
nota
La política también permite el acceso de lectura a un .metadata.json archivo opcional junto con el certificado. Amazon Bedrock no requiere este archivo; si se incluye el permiso, se evitan errores de acceso si hay alguno.
Si el objeto de certificado está cifrado con una clave AWS KMS
El comando upload Paso 6 (solo ACL): cargar el certificado en Amazon S3 utiliza el S3-managed cifrado de Amazon (AES256), que no necesita permisos adicionales. Si, por el contrario, cifra el objeto de certificado con el cifrado del lado del servidor de Amazon S3 mediante una clave de KMS administrada por el cliente (SSE-KMS), el rol de servicio también necesita kms:Decrypt permiso sobre esa clave y la política de la clave debe permitir que el rol lo use. Los objetos cifrados con la aws/s3 clave AWS administrada no requieren esta concesión adicional.
{ "Sid": "KmsDecryptCertificate", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["arn:aws:kms:us-west-2:123456789012:key/your-key-id"] }
Para ver el conjunto completo de permisos de rol de servicio de la base de conocimientos, consultePermisos de acceso a los orígenes de datos.
Siguientes pasos
Ahora tiene las credenciales que necesita para crear la fuente de datos: el ARN secreto, su ID de inquilino y (para el control de acceso a nivel de documento) la ubicación del certificado en Amazon S3. Para crear la fuente de OneDrive datos con la API Consola de administración de AWS o la API, consulte. Conectar una fuente OneDrive de datos