Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Document-level contrôles d'accès
Admin-managed SharePoint les bases de connaissances prennent éventuellement en charge le contrôle d'accès au niveau du document. Lorsque cette option est activée, Amazon Quick synchronise les listes de contrôle d'accès (ACL) SharePoint lors de chaque analyse. Le système vérifie les autorisations de chaque utilisateur au moment de la requête, de sorte que les utilisateurs ne voient que les réponses des documents auxquels ils sont autorisés à SharePoint accéder.
Comment ça marche
Lorsqu'un utilisateur interroge un agent Amazon Quick qui utilise une base de SharePoint connaissances gérée par un administrateur avec la gestion des ACL activée, le système applique les contrôles d'accès en deux étapes :
-
Pre-retrieval filtrage : Amazon Quick effectue une recherche sémantique dans l'index vectoriel pour trouver les passages les plus pertinents du document. Le système applique des listes de contrôle d'accès qui ont été synchronisées SharePoint lors du dernier crawl. Cela produit un ensemble préliminaire de documents candidats.
-
Real-time vérification — Le système vérifie les documents candidats en temps réel en vérifiant l'accès actuel de l'utilisateur demandeur. SharePoint Seuls les documents auxquels l'utilisateur est actuellement autorisé à accéder sont inclus dans la réponse.
Cette approche en deux étapes fournit un contrôle d'accès au niveau du document qui reste actuel même lorsque les SharePoint autorisations changent entre les synchronisations.
Activer la gestion des ACL
La gestion des ACL est configurée lors de la création de la base de connaissances à l'étape Paramètres supplémentaires. Cochez la case Contrôler l'accès aux documents avec les ACL pour l'activer.
Important
La gestion des ACL ne peut pas être modifiée une fois la base de connaissances créée. Si vous devez modifier ce paramètre, vous devez créer une nouvelle base de connaissances.
Pour activer la gestion des ACL, l'enregistrement de votre application Entra doit disposer des autorisations suivantes :
-
User.Read.AlletGroupMember.Read.Allsur Microsoft Graph. -
Sites.FullControl.Allsur la SharePoint ressource, ouSites.Selectedavec des autorisations par site accordées.
Pour plus d'informations sur les meilleures pratiques en matière d'ACL, consultezBonnes pratiques pour gérer les ACL dans les bases de connaissances.
Real-time vérification d'accès
L'étape de vérification en temps réel utilise un flux OAuth délégué géré automatiquement par Amazon Quick. Quick crée et gère une application Microsoft Entra distincte spécialement à cette fin. Aucune configuration client n'est requise pour cette application. Il est distinct à la fois de l'enregistrement de l'application géré par l'administrateur que vous avez créé lors de la configuration et de toute application OAuth gérée par l'utilisateur.
-
Un utilisateur pose une question dans l'assistant de chat rapide.
-
Si la réponse concerne le SharePoint contenu d'une base de ACL-enabled connaissances, Quick invite l'utilisateur à se connecter à SharePoint.
-
L'utilisateur se connecte et accepte la boîte de dialogue de consentement de Microsoft (si le consentement de l'administrateur n'a pas été accordé).
-
Quick utilise le jeton délégué de l'utilisateur pour vérifier l'accès à chaque document candidat en temps réel.
-
Seuls les documents auxquels l'utilisateur a actuellement accès SharePoint sont inclus dans la réponse.
La connexion ne se fait qu'une seule fois. Les informations d'identification déléguées utilisent un jeton d'actualisation et durent environ 90 jours.
Autorisations déléguées
L'application ACL en temps réel demande les autorisations déléguées suivantes :
| Autorisations | Scope | Objectif |
|---|---|---|
| Lire les articles de toutes les collections du site | Sites.Read.All |
Vérifiez l'accès des utilisateurs au contenu du SharePoint site. |
| Lisez vos fichiers | Files.Read.All |
Vérifiez l'accès des utilisateurs à des fichiers spécifiques. |
| Afficher votre profil de base | User.Read |
Identifiez l'utilisateur connecté. |
| Maintenez l'accès aux données auxquelles vous lui avez donné accès | offline_access |
Actualisez les jetons afin que les utilisateurs n'aient pas besoin de se réauthentifier fréquemment. |
Autorisation de l'administrateur
La vérification ACL en temps réel utilise une application Microsoft Entra distincte de celle utilisée dans la configuration gérée par l'utilisateur ou l'enregistrement de l'application gérée par l'administrateur. Si votre organisation a besoin du consentement d'un administrateur, celui-ci doit accorder son consentement pour chaque application de manière indépendante.
Lorsque vous activez la gestion des ACL lors de la création de la base de connaissances, la console Amazon Quick fournit un lien direct pour accorder le consentement de l'administrateur. Ce lien est destiné à l'application ACL en temps réel. Si vous êtes un administrateur Microsoft 365, vous pouvez donner votre consentement directement depuis la console. Sinon, partagez le lien avec votre administrateur.
Si le consentement de l'administrateur n'est pas accordé, chaque utilisateur voit la boîte de dialogue de consentement lors de sa première requête impliquant SharePoint du contenu. Après acceptation, ils ne sont plus invités pendant environ 90 jours.
Pour obtenir des instructions détaillées sur l'octroi du consentement de l'administrateur via la boîte de dialogue de consentement ou le centre d'administration Microsoft Entra, consultezAccorder le consentement des administrateurs à l'échelle de l'organisation.
Étapes suivantes
Pour plus d'informations sur les meilleures pratiques en matière d'ACL, consultezBonnes pratiques pour gérer les ACL dans les bases de connaissances. Pour plus d'informations sur la création de bases de SharePoint connaissances gérées par l'administrateur, consultez. Admin-managed configuration (informations d'identification du service)
