As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
ACL-aware recuperação em bases de conhecimento gerenciadas
Quando o reconhecimento de ACL é ativado em uma fonte de dados gerenciada da base de conhecimento, você filtra os resultados da consulta transmitindo um contexto de usuário em sua solicitação de recuperação. A Base de Conhecimento Gerenciada da Bedrock retorna somente os documentos que o usuário fornecido tem permissão para acessar. Para obter uma visão geral de como o reconhecimento de ACL funciona, o modelo de identidade, o suporte do conector e suas responsabilidades ao ativá-lo, consulteAtivação de conscientização de listas de controle de acesso.
Importante
O reconhecimento da ACL fornece ACL-aware filtragem, não autorização. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo deve autenticar usuários e passar por um contexto de identidade verificado. Para obter detalhes, consulte Ativação de conscientização de listas de controle de acesso.
Usando UserContext em solicitações de recuperação
Para realizar a ACL-aware recuperação, inclua o userContext campo em sua solicitação de recuperação. O userContext especifica a identidade do usuário. userIdÉ sempre o endereço de e-mail universal do usuário associado à fonte de dados subjacente.
{ "knowledgeBaseId": "your-knowledge-base-id", "retrievalQuery": { "text": "your query" }, "userContext": { "userId": "user@example.com" } }
Se você não fornecer uma solicitação userContext de recuperação, as fontes de ACL-enabled dados retornarão zero resultados. Non-ACL fontes de dados na mesma base de conhecimento retornam os resultados normalmente.
Comportamento de recuperação com ACLs
Quando o reconhecimento de ACL está ativado, os seguintes comportamentos se aplicam:
-
Contexto do usuário necessário para fontes de ACL-enabled dados — Se você não fornecer o contexto do usuário em uma solicitação de recuperação, as fontes de ACL-enabled dados retornarão zero resultados. Non-ACL fontes de dados na mesma base de conhecimento retornam os resultados normalmente.
-
Metadados de ACL ausentes significam inacessível — se um documento em uma fonte de ACL-enabled dados não tiver ACL (por exemplo, o conector falhou ao extrair permissões ou o documento é público), esse documento não será devolvido a nenhum usuário. As permissões ausentes são tratadas como restritas, não públicas.
-
Fontes de dados mistas — você pode ter fontes de dados ambas ACL-enabled e fontes de dados não ACL na mesma base de conhecimento. Documentos de fontes de dados não ACL são devolvidos a todos os usuários, independentemente do contexto do usuário.
-
Resultados parciais — Quando a verificação da ACL em tempo real nega o acesso a alguns documentos, a resposta pode conter menos resultados do que a solicitada.
maxResultsA Base de Conhecimento Gerenciada da Bedrock não é preenchida com documentos adicionais. Seu aplicativo deve lidar com respostas com menos resultados do que o solicitado. -
Negar substitui permissão — Se um usuário aparecer na lista de permissões e na lista de negação de um documento, o acesso será negado.
nota
Third-party as credenciais do provedor de identidade são armazenadas em cache por até 1 hora. O acesso pode continuar até que o cache seja atualizado.
Eventualmente, as alterações nas permissões de controle de acesso são consistentes. Normalmente, as atualizações entram em vigor em alguns minutos.
Solução de problemas
Se a ACL-aware recuperação não retornar resultados ou resultados inesperados, a causa geralmente é específica do conector — permissões, credenciais ou configuração de ACL. Consulte a orientação de solução de problemas do seu conector: