View a markdown version of this page

微软 SharePoint 动作集成 - Amazon Quick
开始前的准备工作配置微软 Entra在 Amazon Quick 中设置连接器可用操作管理和故障排除微软 365 的管理员同意

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 SharePoint 动作集成

使用 Microsoft SharePoint 操作连接器通过自然语言直接在 Amazon Quick 中管理列表、项目、文件和 Excel 工作簿。

Amazon Quick 支持微软的多种身份验证方法 SharePoint。选择最适合您组织安全要求的方法。

  • 默认 OAuth 应用程序-使用 AWS由托管的 OAuth 应用程序。无需其他凭证。用户直接使用自己的 Microsoft 帐户进行身份验证。

  • 自定义 OAuth 应用程序 — 使用在 Microsoft Entra 中注册的客户管理应用程序。此选项可让您的组织完全控制 OAuth 配置。用户代表登录用户进行身份验证(委派权限)。

  • Service-to-Service OAuth-使用客户端凭据进行服务器到服务器的身份验证,无需用户交互(应用程序权限)。适用于自动化工作流程。

有关 Amazon Quick 支持的身份验证方法的更多信息,请参阅身份验证方法

开始前的准备工作

在设置集成之前,请确保您具备以下条件。

配置微软 Entra

如果您使用的是默认 OAuth 应用程序身份验证,请跳过本节并继续。在 Amazon Quick 中设置连接器

在配置 Amazon Quick 之前,请在 Microsoft Entra 中创建应用程序注册。在移至 Amazon Quick 控制台之前,请在 Entra 中完成以下所有步骤。

有关应用程序注册的更多信息,请参阅 Microsoft 文档中的向 Microsoft 身份平台注册应用程序

注册应用程序

  1. 打开微软 Entra 管理中心

  2. 在左侧导航栏中,选择 Entra ID,然后选择应用程序注册

  3. 选择 “新注册”。

  4. 名称中,输入集成的描述性名称。

  5. 对于支持的帐户类型,请选择 “仅限此组织目录中的帐户”。

  6. 对于重定向 URI,选择 Web 并输入https://{region}.quicksight.aws.amazon.com/sn/oauthcallback{region}替换为部署您的 Amazon Quick 实例的 AWS 区域。

  7. 选择注册

  8. 在概述页面上,复制应用程序(客户端)ID目录(租户)ID。您需要这些值才能进行 Amazon Quick 配置。

创建客户机密钥

Amazon Quick 需要一个客户端密钥才能通过 Microsoft Entra 进行身份验证。此密钥充当应用程序注册的密码。

  1. 从您的应用程序注册中,选择 “证书和机密”。

  2. 选择 “新建客户机密钥”。

  3. 输入描述并选择到期时间。

  4. 选择添加

  5. 立即复制该。此值仅显示一次。

重要

复制密钥,而不是密钥 ID。Value 是用于身份验证的较长字符串。

配置 API 权限

Microsoft Graph 为此集成支持两种权限类型。委托权限允许应用程序代表登录用户执行操作。应用程序权限允许应用程序在没有登录用户的情况下运行。有关更多信息,请参阅微软文档中的 Microsoft Graph 权限概述

  1. 在您的应用程序注册中,选择 API 权限

  2. 选择 “添加权限”,然后选择 Microsoft Graph

  3. 根据您的身份验证方法选择 “委派权限” 或 “应用程序权限”,然后从下表中添加相应权限。

  4. 选择 “授予管理员同意 [您的租户名称] 以批准权限。

对于用户身份验证(委托权限):

在您的 Entra 应用程序注册中添加以下内容作为委托权限。有关完整权限参考,请参阅微软文档中的微软 Graph 权限参考

SharePoint 操作集成-委派权限
权限 说明
Files.ReadWrite 允许该应用程序读取、创建、更新和删除已登录用户的文件。
Sites.ReadWrite.All 允许应用程序代表登录用户编辑或删除所有网站集中的文档和列出所有网站集中的项目。
offline_access 允许应用程序刷新访问令牌,而无需用户再次登录。这减少了用户需要重新进行身份验证的频率。

对于服务身份验证(应用程序权限):

在您的 Entra 应用程序注册中添加以下内容作为应用程序权限。

SharePoint 操作集成-应用程序权限
权限 说明
Sites.ReadWrite.All 允许该应用程序在没有登录用户的情况下创建、读取、更新和删除所有网站集中的文档和列出项目。
重要

使用服务身份验证时,所有操作都以服务帐号的身份执行。任何有权访问此集成的用户都可以对服务帐号可以访问的所有网站集执行操作。根据贵组织的安全要求适当确定应用程序权限的范围。

记录您的凭证

在离开 Microsoft Entra 管理中心之前,请确认你有以下值。您需要它们来配置 Amazon Quick。

来自微软 Entra 的必需凭证
在哪里可以找到它
应用程序(客户端)ID 应用程序注册概述页面
目录(租户)ID 应用程序注册概述页面
客户端密钥值 证书和密钥页面

在 Amazon Quick 中设置连接器

从 “可用” 选项卡连接

如果要使用默认 OAuth 应用程序身份验证,则无需额外配置即可直接从 “可用” 选项卡进行连接。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 在 “可用” 选项卡上,找到SharePoint并选择 Connect

  3. 完成 Microsoft 登录流程并授予所请求的权限。

要改为使用自定义 OAuth 应用程序或 Service-to-Service OAuth 配置连接器,请使用为团队创建选项卡,如下所述。

从 “为你的团队创建” 选项卡中创建

完成所有必需的 Entra 配置后,请在 Amazon Quick 中创建连接器。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 选择 “为你的团队创建” 选项卡。

  3. 找到并选择微软 SharePoint

    注意

    如果 Microsoft SharePoint 连接器已经存在,则会出现一个对话框,其中包含你现有的连接器。要使用现有的连接器,请选择它。要创建新的,请选择 “否,新建”。

  4. 在 “集成类型” 页面上,选择 “在 Microsoft O SharePoint nline 中执行操作”,然后选择 “下一步”。

  5. 输入连接器的名称。(可选)选择 + 添加描述以添加描述。

  6. 在 “连接类型” 中,选择 “公共网络”。

  7. 对于 OAuth 配置,请选择以下身份验证方法之一并配置必填字段。

    1. 对于默认 OAuth 应用程序:

      无需其他凭证。选择下一步以继续。

    2. 对于自定义 OAuth 应用程序(使用委派权限进行用户身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • 授权 URL-授权端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • 重定向 URL — Pre-filled 使用 Amazon 快速回传网址。

    3. 对于 Service-to-ServiceOAuth(使用应用程序权限进行服务身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      注意

      客户凭证令牌请求的范围 (https://graph.microsoft.com/.default) 由 Amazon Quick 自动设置。您无需手动对其进行配置。

  8. 选择下一步

  9. 如果您选择默认 OAuth 应用程序自定义 OAuth 应用程序,则会打开微软授权窗口。查看请求的权限,然后选择 “接受”。

    如果您看到错误而不是同意对话框,则您的组织可能会限制第三方应用程序的访问权限。请参阅微软 365 的管理员同意

  10. 在 “查看” 页面上,查看连接器的可用操作。选择下一步

  11. 在 “发布” 页面上,选择谁可以访问连接器。您可以为组织中的所有人启用访问权限,也可以搜索特定的团队或群组。

  12. 选择发布

可用操作

设置集成后,可以执行以下操作。

微软 SharePoint 可用的操作
类别 处理建议 说明
清单和项目 查看物品 获取列表中的项目集合。
清单和项目 获取项目 返回列表中某项的元数据。
清单和项目 获取清单 返回列表的元数据。
清单和项目 更新项目 更新列表项的属性。
清单和项目 删除项目 从列表中移除项目。
文件 上传文件 上传新文件或更新现有文件。支持最大 250 MB 的文件。
文件 搜索网站云端硬盘内容 搜索与查询相匹配的项目的层次结构。
Excel 工作簿 列表工作表 检索工作表对象列表。
Excel 工作簿 添加工作表 向工作簿添加新的工作表。
Excel 工作簿 阅读表格 检索工作表对象的属性。
Excel 工作簿 更新表 更新工作表对象的属性。
Excel 工作簿 删除工作表 从工作簿中删除工作表。
Excel 工作簿 读取单元格 按行号和列号获取单个单元格的值。
Excel 工作簿 写单元格 按行号和列号设置单个单元格的值。
Excel 工作簿 读取范围 获取范围的值。
Excel 工作簿 写入范围 更新范围的值。
Excel 工作簿 清除范围 清除范围值、格式、填充和边框。
Excel 工作簿 删除范围 删除与该范围关联的单元格。
Excel 工作簿 获取二手范围 获取包含带有值或格式的单元格的最小范围。

管理和故障排除

要编辑、共享或删除您的集成,请参阅管理现有集成

身份验证问题

  • 应用程序注册不正确-验证 Microsoft Entra 中的应用程序注册是否包含所需的 API 权限,并且已授予管理员同意。

  • 客户端密钥已过期 — 在 “证书和密钥” 中检查客户端密钥是否已过期,并在需要时生成一个新的密钥。

  • 不正确的重定向 URI — 验证 Microsoft Entra 中的重定向 URI 是否匹配https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

常见错误消息

  • Access denied. You do not have permission to perform this action— 经过身份验证的用户没有所需的权限。请联系您的管理员以验证并授予相应的权限。

  • AADSTS50020: User account from identity provider does not exist in tenant— 用户帐户未在正确的 Microsoft Entra 租户中配置。验证租户中是否存在与应用程序注册中的目录(租户)ID 相匹配的用户帐户。

当您使用默认 OAuth 应用程序身份验证方法时,Amazon Quick 使用 AWS托管应用程序 SharePoint 代表登录用户访问微软。大多数用户无需任何额外步骤即可完成设置。但是,如果你的 Microsoft 365 租户限制了第三方应用程序的访问权限,则用户必须先授予一次性同意,然后才能进行连接。

如果您在连接器设置期间登录时看到错误,则您的组织可能会限制第三方应用程序的访问权限。与你的微软 365 管理员共享以下信息:

  • 怎么做:授予管理员对 Amazon Quick Microsoft SharePoint 集成应用程序的同意。

  • 原因:Amazon Quick 需要授权访问 SharePoint 网站、列表、文件和 Excel 工作簿才能代表用户执行操作。

管理员可以通过以下方式之一授予同意:

  • 通过同意对话框 — 全局管理员或特权角色管理员启动连接器设置流程。在 Microsoft 登录对话框中,他们选中 “代表你的组织同意” 复选框并选择 “接受”。

  • 通过微软 Entra 管理中心 — 登录微软网站上的微软 Entra 管理中心。选择 “企业应用程序”,找到 Amazon Quick 应用程序,选择 “权限”,然后选择 “授予管理员同意Your Organization

获得同意后,组织中的任何用户都可以在不被提示个人同意的情况下进行连接。

注意

要检查您的租户是否限制用户同意,请转到 Microsoft Entra 管理中心,然后选择企业应用程序同意和权限用户同意设置。如果设置为 “不允许用户同意”,则用户必须先征得管理员同意,然后用户才能使用连接器。