

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Document-level controlli di accesso
<a name="kb-managed-ds-confluence-acl"></a>

**La consapevolezza ACL non è un'autorizzazione**  
Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.

Le fonti di dati Confluence supportano opzionalmente il controllo degli accessi a livello di documento. Se abilitata, Bedrock Managed Knowledge Base sincronizza gli elenchi di controllo degli accessi (ACL) di Confluence durante ogni scansione e verifica le autorizzazioni di ciascun utente al momento della query, in modo che gli utenti vedano solo i risultati dei documenti a cui sono autorizzati ad accedere in Confluence. Per una panoramica del riconoscimento ACL su tutti i connettori, consulta. [Attivazione del riconoscimento delle liste di controllo degli accessi](kb-managed-acl.md)

## Come funziona
<a name="kb-managed-ds-confluence-acl-how"></a>

Quando un utente esegue una query su una knowledge base che utilizza un'origine dati ACL-enabled Confluence, Bedrock Managed Knowledge Base applica i controlli di accesso in due fasi:
+ **Pre-retrieval filtraggio**: Bedrock Managed Knowledge Base applica gli elenchi di controllo degli accessi sincronizzati da Confluence durante l'ultima scansione, restituendo solo i documenti candidati a cui l'utente (o i relativi gruppi) è autorizzato a accedere.
+ **Real-time verifica**: Bedrock Managed Knowledge Base verifica i documenti candidati in tempo reale controllando l'accesso corrente dell'utente che effettua la query in Confluence. Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.

Questo approccio in due fasi fornisce un controllo degli accessi a livello di documento che rimane aggiornato anche quando le autorizzazioni di Confluence cambiano tra le sincronizzazioni.

## Cosa viene sottoposto a scansione
<a name="kb-managed-ds-confluence-acl-crawl"></a>

Quando gli ACL sono abilitati, Bedrock Managed Knowledge Base esegue la scansione delle seguenti strutture di autorizzazioni da Confluence:
+ **Spazi**: per impostazione predefinita, le autorizzazioni relative allo spazio si applicano a tutti i documenti nello spazio.
+ **Pagine**: le pagine possono essere limitate a utenti e gruppi specifici. Le pagine annidate ereditano le restrizioni dalla pagina principale.
+ **Blog: i** post del blog possono essere limitati a utenti e gruppi specifici.
+ **Allegati**: i file allegati alle pagine o ai post del blog ereditano i controlli di accesso del documento principale.

## Abilita il riconoscimento ACL
<a name="kb-managed-ds-confluence-acl-enable"></a>

Per abilitare il riconoscimento ACL per un'origine dati Confluence, imposta `aclEnabled` `true` in `connectorParameters` e utilizza il tipo di autenticazione. `BASIC` Il segreto deve includere le credenziali di amministratore dell'organizzazione Atlassian oltre all'e-mail e al token API standard. Queste credenziali di amministratore sono necessarie per la scansione delle identità.

**Importante**  
La configurazione ACL è permanente. Non è possibile abilitare gli ACL su un'origine dati creata senza il supporto ACL e non è possibile disabilitare gli ACL una volta abilitati.

Oltre allo standard`username`, `password` (token API) e ai `hostUrl` campi, il AWS Secrets Manager segreto deve includere i seguenti campi di amministrazione dell'organizzazione. Per istruzioni dettagliate su come ottenere questi valori, consulta. [Configurare l'autenticazione di base per Confluence](kb-managed-confluence-basic-setup.md)
+ `adminApiKey`— Una chiave API dell'organizzazione Atlassian con ambiti e. `read:directories:admin` `read:workspaces:admin`
+ `organizationId`— L'UUID della tua organizzazione Atlassian.
+ `directoryId`— L'UUID della directory utente per il tuo spazio di lavoro Confluence.

**Nota**  
Il tipo di `OAUTH2` autenticazione non è supportato per le fonti di dati Confluence. ACL-enabled È necessario utilizzare le credenziali `BASIC` di amministratore dell'organizzazione Atlassian in modalità segreta.

## Real-time verifica dell'accesso
<a name="kb-managed-ds-confluence-acl-realtime"></a>

Bedrock Managed Knowledge Base verifica ogni documento candidato rispetto a Confluence al momento della query, interamente sul lato server, utilizzando il token API Atlassian Admin configurato in modo segreto: non è previsto l'accesso da parte dell'utente finale. Il token di amministrazione controlla lo spazio corrente, la pagina e le restrizioni del blog dell'utente che esegue l'interrogazione, quindi le modifiche di accesso apportate dopo l'ultima scansione vengono rispettate.

## Verifica la tua configurazione
<a name="kb-managed-ds-confluence-acl-verify"></a>

Puoi convalidare le tue credenziali indipendentemente da una richiesta di recupero. Eseguite ciascuno dei seguenti controlli:

1. **Accesso ai contenuti di Confluence (scansione)**:
   + Utilizzando il token `username` and API (`password`) del segreto, chiama l'API REST di Confluence (ad esempio, elenca gli spazi) e conferma che restituisca HTTP 200.

1. **API Atlassian Admin (scansione dell'identità e verifica in tempo reale):**
   + Conferma che `adminApiKey` ha gli ambiti e. `read:directories:admin` `read:workspaces:admin`
   + Utilizzando`adminApiKey`, richiama l'API di amministrazione della directory di amministrazione di Atlassian `organizationId` `directoryId` e conferma che restituisca gli utenti e i gruppi della tua organizzazione.

## Risoluzione dei problemi
<a name="kb-managed-ds-confluence-acl-troubleshooting"></a>

**Nota**  
Le configurazioni errate dell'ACL non producono errori espliciti durante il recupero. Il recupero non riesce a essere chiuso: i documenti interessati vengono omessi automaticamente, quindi una query restituisce un numero inferiore o nullo di risultati anziché un errore. Utilizza i controlli di verifica sopra riportati per diagnosticare questi problemi.


**ACL-enabled Sintomi, cause e correzioni della confluenza**  

| Caratteristiche | Causa probabile | Correggere | 
| --- | --- | --- | 
| Recupera restituisce 0 risultati, ma l'utente ha accesso in Confluence. | Alla chiave API Atlassian Admin mancano gli ambiti oorganizationId/directoryIdè errato, quindi le restrizioni relative a utenti e gruppi non possono essere risolte. | Conferma che i adminApiKey valori ha read:directories:admin e read:workspaces:admin che organizationId e directoryId sono corretti. | 
| La scansione o la sincronizzazione non riescono. | Il token username o API (password) non è valido. | Verifica il BASIC nome utente e il token API nel codice segreto. | 
| Tutti gli utenti vengono rifiutati dopo aver lavorato in precedenza. | Il token API o la chiave API di amministrazione sono scaduti o sono stati revocati. | Ruota le credenziali interessate nella cartella segreta. | 