As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Document-level controles de acesso
OneDrive as fontes de dados oferecem suporte opcional ao controle de acesso em nível de documento. Quando ativada, a Base de Conhecimento Gerenciada do Bedrock sincroniza as listas de controle de acesso (ACLs) de OneDrive cada rastreamento e verifica as permissões de cada usuário no momento da consulta, para que os usuários vejam apenas os resultados dos documentos aos quais estão autorizados a acessar. OneDrive Para obter uma visão geral do reconhecimento de ACL em todos os conectores, consulte. Ativação de conscientização de listas de controle de acesso
O reconhecimento da ACL não é autorização
A Base de Conhecimento Gerenciada Bedrock fornece ACL-aware filtragem, não um limite de segurança. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo é responsável por autenticar usuários e transmitir o contexto de identidade verificado. A Base de Conhecimento Gerenciada da Bedrock não pode verificar a autenticidade do contexto de usuário que você fornece. Portanto, esse recurso filtra os resultados com base na identidade que você fornece, mas não constitui uma autorização verdadeira. Você não deve confiar nesse recurso como um único mecanismo de controle de acesso sem a autenticação upstream.
Como funciona
Quando um usuário consulta uma base de conhecimento que usa uma fonte de ACL-enabled OneDrive dados, a Base de Conhecimento Gerenciada da Bedrock impõe controles de acesso em dois estágios:
-
Pre-retrieval filtragem — A Base de Conhecimento Gerenciada da Bedrock aplica as listas de controle de acesso que foram sincronizadas OneDrive durante o último rastreamento, retornando somente documentos candidatos que o usuário (ou seus grupos) tem permissão para acessar.
-
Real-time verificação — A Base de Conhecimento Gerenciada da Bedrock verifica os documentos do candidato em tempo real, verificando o acesso atual do usuário consultor. OneDrive Somente os documentos que o usuário está atualmente autorizado a acessar são incluídos na resposta.
Essa abordagem de dois estágios fornece controle de acesso em nível de documento que permanece atualizado mesmo quando OneDrive as permissões mudam entre as sincronizações.
O que é rastejado
Quando as ACLs estão habilitadas, a Base de Conhecimento Gerenciada da Bedrock rastreia as permissões de compartilhamento em nível de arquivo e as atribuições de grupos de segurança de. OneDrive As associações de grupos aninhadas (transitivas) também são resolvidas.
No momento da consulta, você passa o endereço de e-mail do usuário (não um grupo). A Base de Conhecimento Gerenciada da Bedrock resolve as associações de grupos desse usuário a partir dos dados que ele rastreou e as aplica ao filtrar os resultados. Para obter mais informações sobre o modelo de identidade, consulteAtivação de conscientização de listas de controle de acesso.
Pré-requisitos para a conscientização sobre ACL
ACL-enabled OneDrive usa duas APIs diferentes da Microsoft, cada uma com sua própria permissão de aplicativo definida em seu aplicativo Microsoft Entra: o rastreamento usa a API do Microsoft Graph e a verificação em tempo real usa SharePoint a API REST OneDrive (for Business é apoiada por). SharePoint Configure as permissões para ambas as APIs, com o consentimento do administrador, antes de ativar o reconhecimento da ACL.
-
User.Read.AlleGroupMember.Read.Allno Microsoft Graph (para rastreamento de identidade). -
Sites.FullControl.Allativado SharePoint (para verificação do acesso ao documento).Sites.Read.Allnão é suficiente — o acesso somente de leitura não pode realizar a verificação de permissão efetiva exigida pela verificação em tempo real.
Importante
O rastreamento usa a API do Microsoft Graph e a verificação em tempo real usa a API SharePoint REST — recursos diferentes com permissões de aplicativo diferentes. As permissões de rastreamento de identidade do Microsoft Graph são necessárias, mas não suficientes: a verificação em tempo real também requer a SharePoint Sites.FullControl.All permissão com o consentimento do administrador. Conceder somente as permissões do Microsoft Graph é a causa mais comum de uma fonte de ACL-enabled OneDrive dados não retornar resultados, mesmo quando o usuário tem acesso.
Para obter o procedimento completo de configuração, incluindo o certificado, consulteConfigurar a autenticação Microsoft Entra App ID para OneDrive.
Habilite o reconhecimento da ACL
Para habilitar o reconhecimento de ACL para uma fonte de OneDrive dados, aclEnabled defina true como connectorParameters e use o tipo de ENTRA_APP_ID autenticação. Esse tipo de autenticação usa permissões de aplicativos que permitem que a Base de Conhecimento Gerenciada da Bedrock rastreie informações de identidade e verifique o acesso ao documento no momento da consulta.
Importante
A configuração da ACL é permanente. Você não pode habilitar ACLs em uma fonte de dados criada sem suporte a ACL e não pode desabilitar ACLs depois de ativadas.
Quando as ACLs estão habilitadas OneDrive, você deve incluir um certificateS3Path no arquivo de certificado connectionConfiguration apontando para um PKCS #12 (.p12) no Amazon S3. Esse certificado é usado para verificação de ACL em tempo real em relação à API SharePoint REST. Não certificateS3Path é necessário quando as ACLs estão desativadas.
"connectorParameters": { "type": "ONEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_APP_ID", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "crawlPersonalDrives": true } }
nota
O certificatePassword campo no segredo é opcional. Se você omitir, o Bedrock Managed Knowledge Base abrirá o arquivo PKCS #12 (.p12) usando o ID do cliente do seu aplicativo como senha, portanto, o certificado deve ter sido criado com essa senha. Recomendamos que você sempre defina uma entropia explícita de alta entropia certificatePassword para proteger a chave privada do certificado em repouso.
nota
O tipo de OAUTH2 autenticação não é compatível com fontes de ACL-enabled OneDrive dados. Você deve usar ENTRA_APP_ID.
Real-time verificação de acesso
A Base de Conhecimento Gerenciada da Bedrock verifica cada documento do candidato em tempo real inteiramente no lado do servidor, usando as credenciais do aplicativo — não há login do usuário final ou consentimento delegado. Como OneDrive o for Business é apoiado por SharePoint, a Base de Conhecimento Gerenciada da Bedrock verifica as permissões efetivas do usuário consultor em relação à API SharePoint REST do host do seu locatário. OneDrive
OneDrive a verificação em tempo real usa um modelo de duas credenciais, e ambas as credenciais são necessárias:
O ID do cliente e o segredo do cliente em seu AWS Secrets Manager segredo geram um token do Microsoft Graph que é usado para resolver o OneDrive host do seu inquilino (o
-my.sharepoint.comhost).O certificado emitido
certificateS3Pathemite o token SharePoint REST usado para a verificação de permissão em si. O certificado é a credencial oficial para verificação em tempo real — um token secreto do cliente sozinho não pode realizar a verificação.
Importante
O aplicativo deve ter a SharePoint Sites.FullControl.All permissão com o consentimento do administrador; não Sites.Read.All é suficiente porque a verificação de permissão efetiva requer manage/full direitos de controle. Sem a permissão correta, a verificação em tempo real não pode avaliar as permissões efetivas e falha no fechamento, negando cada documento para cada consulta, mesmo quando o usuário tem acesso e a filtragem de rastreamento e pré-recuperação é bem-sucedida. Consulte Pré-requisitos para reconhecimento da ACL.
nota
Depois de conceder ou consentir com a permissão do SharePoint aplicativo, aguarde até uma hora para que a alteração entre em vigor para os usuários verificados antes da alteração, pois as credenciais de acesso ao aplicativo estão armazenadas em cache. Para confirmar a alteração mais cedo, teste com um usuário diferente que ainda não tenha sido consultado.
Verificar sua configuração.
Você pode validar as permissões do aplicativo Entra independentemente de uma solicitação de recuperação. Execute cada uma das seguintes verificações:
-
Microsoft Graph (rastreamento):
Adquira um token de aplicativo com escopo
https://graph.microsoft.com/.default.Decodifique o token e confirme se a
rolesdeclaração inclui as permissões necessárias do Microsoft Graph (User.Read.All,GroupMember.Read.All, eFiles.Read.All).Ligue
GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/childrene confirme se ela lista os itens do drive do usuário.
-
SharePoint REST (verificação em tempo real):
Adquira um token usando a declaração do cliente certificado com escopo
https://{tenant}-my.sharepoint.com/.default.Confirme se a
rolesreivindicação do token inclui a SharePointSites.FullControl.Allpermissão. Umroles: nullvalor significa que a permissão ou o consentimento do administrador estão ausentes.Ligue
GET https://{tenant}-my.sharepoint.com/_api/webe confirme se foi bem-sucedido (HTTP 200). Uma resposta falhada ou não autorizada significa que a SharePoint permissão ou o consentimento do administrador estão ausentes, o que faz com que todos os documentos sejam negados.
nota
Depois de corrigir a permissão, a SharePoint chamada é bem-sucedida imediatamente no nível do token, mas uma recuperação de ponta a ponta para um usuário já testado ainda pode atrasar devido ao TTL do cache descrito na verificação de acesso. Real-time Não conclua que a correção falhou com base em um usuário em cache.
Solução de problemas
nota
As configurações incorretas da ACL não produzem erros explícitos durante a recuperação. Falha na recuperação: os documentos afetados são omitidos silenciosamente, então uma consulta retorna menos ou zero resultados em vez de um erro. Use as verificações de verificação acima para diagnosticar esses problemas.
| Sintomas | Causa provável | Correção |
|---|---|---|
| Recuperar retorna 0 resultados, mas o usuário tem acesso em OneDrive. | As permissões do Microsoft Graph estão presentes, mas a permissão do SharePoint aplicativo ou o consentimento do administrador estão ausentes, então a chamada SharePoint REST é rejeitada e todos os documentos são negados. | Conceda a SharePoint Sites.FullControl.All permissão com o consentimento do administrador. Como essas credenciais do aplicativo estão armazenadas em cache, aguarde até uma hora para que a alteração entre em vigor ou teste com um usuário ainda não consultado para confirmar mais cedo. |
| O acesso de um usuário foi alterado em OneDrive, mas o novo resultado não é refletido imediatamente. | Per-user Eventualmente, os resultados de acesso são consistentes entre a fonte de dados e a Base de Conhecimento Gerenciada da Bedrock (normalmente em cerca de dois minutos), portanto, uma alteração recente no acesso pode não ser refletida imediatamente. | Depois que a fonte de dados refletir a alteração, aguarde cerca de dois minutos e tente novamente. |
| Todos os usuários são negados depois de trabalharem anteriormente. | O certificado expirou ou o consentimento do administrador foi revogado. | Renove o certificado no registro do aplicativo Entra e no Amazon S3 e conceda novamente o consentimento do administrador. |
| O rastreamento ou a sincronização falham, embora a configuração pareça correta. | Falta uma permissão necessária do aplicativo Microsoft Graph. | Grant Files.Read.All Sites.Read.AllUser.Read.All,, GroupMember.Read.All e. |
| Senha do certificado ou erros de criação de tokens. | A .p12 senha não correspondecertificatePassword. |
certificatePasswordDefina a senha usada para criar o .p12 arquivo. |