SharePoint コネクタ V2.0 - Amazon Kendra
サポートされている機能前提条件接続手順メモ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SharePoint コネクタ V2.0

SharePoint は、ウェブコンテンツをカスタマイズしたり、ページ、サイト、ドキュメントライブラリ、リストを作成したりできる、コラボレーション用ウェブサイト構築サービスです。 Amazon Kendra を使用して SharePoint データソースのインデックスを作成できます。

Amazon Kendra は現在、SharePoint Online と SharePoint Server (2013、2016、2019、サブスクリプションエディション) をサポートしています。

注記

SharePoint コネクタ V1.0 / SharePointConfiguration API は 2023 年に終了しました。SharePoint コネクタ V2.0/TemplateConfiguration API に移行するか、こちらを使用することをお勧めします。

Amazon Kendra SharePoint データソースコネクタのトラブルシューティングについては、「」を参照してくださいデータソースのトラブルシューティング

サポートされている機能

Amazon Kendra SharePoint データソースコネクタは、次の機能をサポートしています。

  • フィールドマッピング

  • ユーザーアクセスコントロール

  • 包含/除外フィルター

  • 完全および増分コンテンツ同期

  • 仮想プライベートクラウド (VPC)

前提条件

Amazon Kendra を使用して SharePoint データソースのインデックスを作成する前に、SharePoint と AWS アカウントでこれらの変更を行います。

シー AWS Secrets Manager クレットに安全に保存されている認証情報を指定する必要があります。

注記

認証情報とシークレットは、定期的に更新またはローテーションすることをお勧めします。セキュリティに必要なアクセスレベルのみを提供してください。認証情報とシークレットを、データソース、コネクタバージョン 1.0 と 2.0 (該当する場合) で再利用することは推奨しません

SharePoint Online では、次のものがあることを確認してください。

  • SharePoint インスタンスの URL をコピーしました。入力したホスト URL の形式は https://yourdomain.com/sites/mysite です。URL は https で始まる必要があります。

  • SharePoint インスタンス URL のドメイン名をコピーしました。

  • SharePoint Online に接続するためのサイト管理者権限を持つユーザー名とパスワードを含む基本認証資格情報を記録しました。

  • 管理者ユーザーを使用して Azure Portal の [セキュリティデフォルト] を無効にした。Azure Portal でのセキュリティのデフォルト設定の管理の詳細については、セキュリティのデフォルトを有効または無効にする方法に関する Microsoft のドキュメントを参照してください。

  • SharePoint アカウントの多要素認証 (MFA) を非アクティブ化し、 Amazon Kendra が SharePoint コンテンツのクロールをブロックしないようにします。

  • 基本認証以外の認証タイプを使用している場合: SharePoint インスタンスのテナント ID をコピーしました。テナント ID を確認する方法の詳細については、「Find your Microsoft 365 tenant ID」を参照してください。

  • Microsoft Entra を使用してクラウドユーザー認証に移行する必要がある場合は、クラウド認証に関する Microsoft のドキュメントを参照してください。

  • OAuth 2.0 認証および OAuth 2.0 更新トークン認証の場合: SharePoint Online への接続に使用するユーザー名とパスワードと、SharePoint を Azure AD に登録した後に生成されたクライアント ID とクライアントシークレットを含む基本的な認証情報を記録しました。

    • ACL を使用していない場合は、次のアクセス許可が追加されました。

      Microsoft Graph SharePoint

      • Notes.Read.All (アプリケーション) - OneNote ノートブックをすべて読み込む

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • AllSites.Read (委任) - すべてのサイトコレクションの項目を読み取る
      注記

      Note.Read.All と Site.Read.All は OneNote ドキュメントをクロールする場合のみ必要です。

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Site.Selected (アプリケーション) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Sites.Selected アクセス許可に関する Microsoft のブログを参照してください。

    • ACL を使用している場合は、次のアクセス許可を追加した。

      Microsoft Graph SharePoint

      • Group.Member.Read.All (アプリケーション) - すべてのグループメンバーシップを読み取る

      • Notes.Read.All (アプリケーション) - OneNote ノートブックをすべて読み込む

      • Sites.FullControl.All (委任) — ドキュメントの ACLs を取得するために必要です

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • User.Read.All (アプリケーション) - すべてのユーザーの完全なプロフィールを読み取る

      • AllSites.Read (委任) - すべてのサイトコレクションの項目を読み取る
      注記

      GroupMember.read.all と User.Read.All は [ID クローラー] がアクティブ化されている場合にのみ必要です。

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Site.Selected (アプリケーション) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Sites.Selected アクセス許可に関する Microsoft のブログを参照してください。

  • Azure AD アプリ専用認証の場合: Azure AD に SharePoint を登録した後に生成したプライベートキーとクライアント ID。また、X.509 証明書にも注意してください。

    • ACL を使用していない場合は、次のアクセス許可が追加されました。

      SharePoint

      • Sites.Read.All (アプリケーション) — すべてのサイトコレクションの項目とリストにアクセスするために必要です
      注記

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Sites.Selected (Application) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Sites.Selected アクセス許可に関する Microsoft のブログを参照してください。

    • ACL を使用している場合は、次のアクセス許可を追加した。

      SharePoint

      • Sites.FullControl.All (アプリケーション) — ドキュメントの ACLs を取得するために必要です
      注記

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Site.Selected (アプリケーション) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Sites.Selected アクセス許可に関する Microsoft のブログを参照してください。

  • SharePoint アプリ専用認証の場合: SharePoint アプリのみに権限を付与する際に生成された SharePoint クライアント ID とクライアントシークレット、および SharePoint アプリを Azure AD に登録したときに生成されたクライアント ID とクライアントシークレットを記録しました。

    注記

    SharePoint アプリ専用認証は、SharePoint 2013 バージョンではサポートされていません

    • (オプション) OneNote ドキュメントをクロールしていて [ID クローラー] を使用している場合、次のアクセス許可が追加されました

      Microsoft Graph

      • GroupMember.Read.All (アプリケーション) - すべてのグループメンバーシップを読み取る

      • Notes.Read.All (アプリケーション) - OneNote ノートブックをすべて読み込む

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • User.Read.All (アプリケーション) - すべてのユーザーの完全なプロフィールを読み取る
    注記

    [基本認証] と SharePoint アプリ専用認証を使用してエンティティをクロールする場合、API アクセス許可は必要ありません。

SharePoint Server では、次のものがあることを確認してください。

  • SharePoint インスタンス URL と SharePoint URL のドメイン名をコピーしました。入力したホスト URL の形式は https://yourcompany/sites/mysite です。URL は https で始まる必要があります。

    注記

    (オンプレミス/サーバー) Amazon Kendra AWS Secrets Manager は、 に含まれるエンドポイント情報が、データソース設定の詳細で指定されたエンドポイント情報と同じかどうかを確認します。混乱する代理問題は、ユーザーがアクションを実行するアクセス許可がないにもかかわらず、 Amazon Kendra をプロキシとして使用して設定された秘密にアクセスし、アクションを実行するセキュリティの問題です。後でエンドポイント情報を変更する場合は、新しいシークレットを作成してこの情報を同期する必要があります。

  • SharePoint アカウントの多要素認証 (MFA) を非アクティブ化し、 Amazon Kendra が SharePoint コンテンツのクロールをブロックしないようにします。

  • アクセス制御に [SharePoint アプリ専用認証] を使用する場合:

    • サイトレベルでアプリのみを登録したときに生成された SharePoint クライアント ID をコピーしました。クライアント ID 形式は ClientId@TenantId です。例: ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe

    • サイトレベルでアプリのみを登録したときに生成された SharePoint クライアントシークレットをコピーしました。

    注: クライアント ID とクライアントシークレットは、SharePoint Server をアプリ専用認証に登録した場合にのみ単一サイト用に生成されるため、SharePoint アプリ専用認証でサポートされるサイト URL は 1 つだけです。

    注記

    SharePoint アプリ専用認証は、SharePoint 2013 バージョンではサポートされていません

  • [カスタムドメイン付き E メール ID] をアクセス制御に使用する場合:

    • カスタムメールドメインの値 (例: "amazon.com") を記録しました。

  • IDP 認可のドメインで E メール ID を使用する場合は、以下をコピーします。

    • LDAP サーバーエンドポイント (プロトコルとポート番号を含む LDAP サーバーのエンドポイント)。例: ldap://example.com:389

    • LDAP 検索ベース (LDAP ユーザーの検索ベース)。例: CN=Users、DC=sharepoint、DC=com.

    • LDAP ユーザー名と LDAP パスワード。

  • 設定済みの NTLM 認証資格情報、またはユーザー名 (SharePoint アカウントユーザー名) とパスワード (SharePoint アカウントパスワード) を含む設定済みの Kerberos 認証資格情報のいずれか。

で AWS アカウント、以下があることを確認します。

  • Amazon Kendra インデックスを作成し、API を使用している場合はインデックス ID を記録しました。

  • データソースの IAM ロールを作成し、 API を使用している場合はロールの ARN を記録しました IAM 。

    注記

    認証タイプと認証情報を変更する場合は、 IAM ロールを更新して正しい AWS Secrets Manager シークレット ID にアクセスする必要があります。

  • SharePoint の認証情報を AWS Secrets Manager シークレットに保存し、API を使用している場合は、シークレットの ARN を記録済み。

    注記

    認証情報とシークレットは、定期的に更新またはローテーションすることをお勧めします。セキュリティに必要なアクセスレベルのみを提供してください。認証情報とシークレットを、データソース、コネクタバージョン 1.0 と 2.0 (該当する場合) で再利用することは推奨しません

既存の IAM ロールまたはシークレットがない場合は、SharePoint データソースを接続するときに コンソールを使用して新しい IAM ロールと Secrets Manager シークレットを作成できます Amazon Kendra。API を使用している場合は、既存の IAM ロールと Secrets Manager シークレットの ARN とインデックス ID を指定する必要があります。

接続手順

SharePoint データソース Amazon Kendra に接続するには、 がデータにアクセスできるように Amazon Kendra 、SharePoint 認証情報の詳細を指定する必要があります。SharePoint をまだ設定していない場合は、 Amazon Kendra 「」を参照してください前提条件

Console: SharePoint Online

SharePoint Online Amazon Kendra に接続するには

  1. にサインイン AWS Management Console し、 Amazon Kendra コンソールを開きます。

  2. 左側のナビゲーションペインで、[インデックス] を選択し、インデックスのリストから使用するインデックスを選択します。

    注記

    [インデックスの設定] で、[ユーザーアクセスコントロール] 設定を設定または編集できます。

  3. [使用開始] ページで、[データソースを追加] を選択します。

  4. データソースの追加ページで、SharePoint コネクタを選択し、コネクタの追加を選択します。バージョン 2 (該当する場合) を使用している場合は、「V2.0」タグが付いた SharePoint コネクタを選択します。

  5. [データソースの詳細を指定] ページで、次の情報を入力します。

    1. [名前と説明][データソース名] に、データソースの名前を入力します。ハイフン (-) は使用できますが、スペースは使用できません。

    2. (オプション) [説明] - オプションで、データソースの説明を入力します。

    3. デフォルト言語 - インデックスのドキュメントをフィルタリングする言語を選択します。特に指定しない限り、言語はデフォルトで英語に設定されます。ドキュメントのメタデータで指定された言語は、選択した言語よりも優先されます。

    4. タグで新しいタグを追加する - リソースを検索してフィルタリングしたり、 AWS コストを追跡したりするためのオプションのタグを含めます。

    5. [次へ] を選択します。

  6. [アクセスとセキュリティの定義] ページで、次の情報を入力します。

    1. ホスティング方法SharePoint Online を選択します。

    2. [SharePoint リポジトリ固有のサイト URL] - SharePoint ホストの URL を入力します。入力したホスト URL の形式は https://yourdomain.sharepoint.com/sites/mysite です。URL は https プロトコルで始まる必要があります。URL は改行で区切ります。最大 100 個の URL を追加できます。

    3. [ドメイン] - SharePoint ドメインを入力します。例えば、URL https://yourdomain.sharepoint.com/sites/mysite のドメインは yourdomain です。

    4. 認可 — ACL があり、アクセスコントロールに使用する場合は、ドキュメントのアクセスコントロールリスト (ACL) 情報をオンまたはオフにします。ACL は、ユーザーとグループがアクセスできるドキュメントを指定します。ACL 情報は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、検索結果をフィルタリングするために使用されます。詳細については、「User context filtering」を参照してください。

      ユーザープリンシパル名か Azure Portal から取得したユーザー E メールかにかかわらず、ユーザー ID のタイプを選択することもできます。を指定しない場合、E メールはデフォルトで使用されます。

    5. 認証 — 基本認証、OAuth 2.0、Azure AD App-Only 認証、SharePoint App-Only 認証、または OAuth 2.0 更新トークン認証のいずれかを選択します。既存の AWS Secrets Manager シークレットを選択して認証情報を保存するか、シークレットを作成します。

      1. 基本認証を使用する場合、シークレットにはシークレット名、SharePoint ユーザー名とパスワードを含める必要があります。

      2. OAuth 2.0 認証を使用する場合、シークレットには、SharePoint テナント ID、シークレット名、SharePoint ユーザー名、パスワード、Azure AD に SharePoint を登録するときに生成される Azure AD クライアント ID、および Azure AD に SharePoint を登録するときに生成される Azure AD クライアントシークレットを含める必要があります。

      3. Azure AD App-Only 認証を使用する場合、シークレットには、SharePoint テナント ID、Azure AD 自己署名 X.509 証明書、シークレット名、Azure AD に SharePoint を登録したときに生成された Azure AD クライアント ID、および Azure AD のコネクタを認証するためのプライベートキーを含める必要があります。

      4. SharePoint App-Only 認証を使用する場合、シークレットには、SharePoint テナント ID、シークレット名、テナントレベルでの App Only の登録時に生成した SharePoint クライアント ID、テナントレベルでの App Only の登録時に生成した SharePoint クライアントシークレット、Azure AD に SharePoint を登録するときに生成した Azure AD クライアント ID、および Azure AD への SharePoint の登録時に生成した Azure AD クライアントシークレットを含める必要があります。

        SharePoint クライアント ID 形式は ClientID@TenantId です。例: ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe

      5. OAuth 2.0 更新トークン認証を使用する場合、シークレットには、SharePoint テナント ID、シークレット名、Azure AD に SharePoint を登録するときに生成された一意の Azure AD クライアント ID、SharePoint を Azure AD に登録するときに生成された Azure AD クライアントシークレット、SharePoint Amazon Kendra に接続するために生成された更新トークンが含まれている必要があります。

    6. [仮想プライベートクラウド (VPC)] - VPC の使用を選択できます。選択する場合は、[サブネット][VPC セキュリティグループ] を追加する必要があります。

    7. ID クローラ — Amazon Kendraの ID クローラを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントの ACL があり、ACL を使用することを選択した場合は、 Amazon Kendra ID クローラをオンにして検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、PutPrincipalMapping API を使用して、ユーザーコンテキストフィルタリング用のユーザーおよびグループのアクセス情報をアップロードすることもできます。

      ローカルグループマッピングまたは Azure Active Directory グループマッピングをクロールすることもできます。

      注記

      AD グループマッピングクロールは、OAuth 2.0、OAuth 2.0 更新トークン、SharePoint SharePoint App Only 認証でのみ使用できます。

    8. IAM role — 既存の IAM ロールを選択するか、新しい IAM ロールを作成してリポジトリの認証情報とインデックスコンテンツにアクセスします。

      注記

      IAM インデックスに使用される ロールは、データソースには使用できません。インデックスやよくある質問に既存のロールが使用されているかどうかが不明な場合は、エラーを避けるため、[新しいロールを作成] を選択してください。

    9. [次へ] を選択します。

  7. [同期設定の構成] ページで、次の情報を入力します。

    1. [同期の範囲] で、次のオプションから選択します。

      1. [エンティティの選択] - クロールするエンティティを選択します。[すべて] のエンティティをクロールするか、[ファイル][添付ファイル][リンク][ページ][イベント][コメント][リストデータ] を組み合わせてクロールするかを選択できます。

      2. [追加の設定] では、[エンティティ正規表現パターン] の場合 - [リンク][ページ][イベント] に正規表現パターンを追加して、すべてのドキュメントを同期する代わりに特定のエンティティを含めることができます。

      3. [正規表現パターン] - すべてのドキュメントを同期する代わりに、[ファイルパス][ファイル名][ファイルタイプ][OneNote セクション名][OneNote ページ名] でファイルを含めたり除外したりする正規表現パターンを追加します。最大 100 個を追加できます。

        注記

        OneNote クローリングは、OAuth 2.0、OAuth 2.0 更新トークン、SharePoint アプリ専用認証にのみ使用できます。

    2. [同期モード] では、データソースのコンテンツが変更されたときのインデックスの更新方法を選択します。 Amazon Kendra でデータソースを初めて同期すると、デフォルトですべてのコンテンツが同期されます。

      • [完全同期] - 前回の同期ステータスに関係なく、すべてのコンテンツを同期します。

      • [新規または変更済みのドキュメントを同期] - 新規または変更済みのドキュメントのみを同期します。

      • [新規、変更済み、または削除されたドキュメントを同期] - 新規、変更済み、または削除されたドキュメントのみを同期します。

    3. 同期実行スケジュール、頻度 - データソースコンテンツを同期してインデックスを更新する頻度を選択します。

    4. [次へ] を選択します。

  8. [フィールドマッピングを設定] ページで、次の情報を入力します。

    1. デフォルトのデータソースフィールド — インデックスにマッピングする Amazon Kendra 生成されたデフォルトのデータソースフィールドから選択します。

    2. [フィールドを追加] - カスタムデータソースフィールドを追加して、マッピング先のインデックスフィールド名とフィールドデータタイプを作成します。

    3. [次へ] を選択します。

  9. [確認と作成] ページで、入力した情報が正しいことを確認し、[データソースを追加] を選択します。このページで情報の編集を選択することもできます。データソースが正常に追加されると、データソースが [データソース] ページに表示されます。

Console: SharePoint Server

SharePoint Amazon Kendra に接続するには

  1. にサインイン AWS Management Console し、 Amazon Kendra コンソールを開きます。

  2. 左側のナビゲーションペインで、[インデックス] を選択し、インデックスのリストから使用するインデックスを選択します。

    注記

    [インデックスの設定] で、[ユーザーアクセスコントロール] 設定を設定または編集できます。

  3. [使用開始] ページで、[データソースを追加] を選択します。

  4. データソースの追加ページで、SharePoint コネクタを選択し、コネクタの追加を選択します。バージョン 2 (該当する場合) を使用している場合は、「V2.0」タグが付いた SharePoint コネクタを選択します。

  5. [データソースの詳細を指定] ページで、次の情報を入力します。

    1. [名前と説明][データソース名] に、データソースの名前を入力します。ハイフン (-) は使用できますが、スペースは使用できません。

    2. (オプション) [説明] - オプションで、データソースの説明を入力します。

    3. デフォルト言語 - ドキュメントをインデックス用にフィルタリングする言語を選択します。特に指定しない限り、言語はデフォルトで英語に設定されます。ドキュメントのメタデータで指定された言語は、選択した言語よりも優先されます。

    4. タグで、新しいタグを追加する - リソースを検索してフィルタリングしたり、 AWS コストを追跡したりするためのオプションのタグを含めます。

    5. [次へ] を選択します。

  6. [アクセスとセキュリティの定義] ページで、次の情報を入力します。

    1. ホスティング方法SharePoint Server を選択します。

    2. SharePoint バージョンを選択 — SharePoint 2013SharePoint 2016SharePoint 2019、SharePoint SharePoint (サブスクリプションエディション) のいずれかを選択します。

    3. [SharePoint リポジトリ固有のサイト URL] - SharePoint ホストの URL を入力します。入力したホスト URL の形式は https://yourcompany/sites/mysite です。URL は https プロトコルで始まる必要があります。URL は改行で区切ります。最大 100 個の URL を追加できます。

    4. [ドメイン] - SharePoint ドメインを入力します。例えば、URL https://yourcompany/sites/mysite のドメインは yourcompany です

    5. SSL 証明書の場所 — SSL 証明書ファイルへの Amazon S3 パスを入力します。

    6. (オプション) [ウェブプロキシ] の場合: ホスト名 (http:// または https:// プロトコルなし) と、ホスト URL トランスポートプロトコルで使用されるポート番号を入力します。ポート番号の数値は 0~65535 の間である必要があります。

    7. 認可 — ACL があり、アクセスコントロールに使用する場合は、ドキュメントのアクセスコントロールリスト (ACL) 情報をオンまたはオフにします。ACL は、ユーザーとグループがアクセスできるドキュメントを指定します。ACL 情報は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、検索結果をフィルタリングするために使用されます。詳細については、「User context filtering」を参照してください。

      SharePoint Server の場合は、次の ACL オプションから選択できます。

      1. IDP からのドメインを持つ E メール ID - ユーザー ID はIDsを持つ E メール ID に基づいています。IDP 接続の詳細を認証の一部としてシークレットに指定します Secrets Manager 。

      2. カスタムドメインを持つ E メール ID - ユーザー ID はカスタム E メールドメイン値に基づいています。例: "amazon.com"。E メールドメインは、アクセス制御用の E メール ID の作成に使用されます。カスタム E メールドメインを入力する必要があります。

      3. Domain\User with Domain — ユーザー ID は Domain\User ID 形式を使用して構築されます。有効なドメイン名を指定する必要があります。例えば、アクセス制御を構築するには "sharepoint2019" と入力します。

    8. 認証では、SharePoint アプリ専用認証、NTLM 認証、または Kerberos 認証のいずれかを選択します。認証情報を保存する既存の AWS Secrets Manager シークレットを選択するか、シークレットを作成します。

      1. NTLM 認証または Kerberos 認証を使用する場合は、シークレット名、SharePoint ユーザー名とパスワードをシークレットに含める必要があります。

        [IDP からのドメイン付き E メール ID] を使用している場合は、次の情報も入力してください。

        • [LDAP サーバーエンドポイント] - プロトコルとポート番号を含む LDAP サーバーのエンドポイント。例: ldap://example.com:389

        • [LDAP 検索ベース] - LDAP ユーザーの検索ベース。例: CN=Users、DC=sharepoint、DC=com.

        • [LDAP ユーザー名] - LDAP ユーザー名。

        • [LDAP パスワード] - LDAP パスワード。

      2. SharePoint アプリ専用認証を使用する場合、シークレットにはシークレット名、サイトレベルでアプリ専用を登録したときに生成した SharePoint クライアント ID、サイトレベルでアプリ専用を登録したときに生成した SharePoint クライアントシークレットを含める必要があります。

        SharePoint クライアント ID 形式は ClientID@TenantId です。例: ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe

        注: クライアント ID とクライアントシークレットは、SharePoint Server をアプリ専用認証に登録した場合にのみ単一サイト用に生成されるため、SharePoint アプリ専用認証でサポートされるサイト URL は 1 つだけです。

        [IDP からのドメイン付き E メール ID] を使用している場合は、次の情報も入力してください。

        • [LDAP サーバーエンドポイント] - プロトコルとポート番号を含む LDAP サーバーのエンドポイント。例: ldap://example.com:389

        • [LDAP 検索ベース] - LDAP ユーザーの検索ベース。例: CN=Users、DC=sharepoint、DC=com.

        • [LDAP ユーザー名] - LDAP ユーザー名。

        • [LDAP パスワード] - LDAP パスワード。

    9. [仮想プライベートクラウド (VPC)] - VPC の使用を選択できます。選択する場合は、[サブネット][VPC セキュリティグループ] を追加する必要があります。

    10. ID クローラ — Amazon Kendraの ID クローラを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントの ACL があり、ACL を使用することを選択した場合は、 Amazon Kendra ID クローラをオンにして検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、PutPrincipalMapping API を使用して、ユーザーコンテキストフィルタリング用のユーザーおよびグループのアクセス情報をアップロードすることもできます。

      ローカルグループマッピングまたは Azure Active Directory グループマッピングをクロールすることもできます。

      注記

      AD グループのマッピングクロールは、SharePoint アプリのみの認証でのみ使用できます。

    11. IAM role — 既存の IAM ロールを選択するか、新しい IAM ロールを作成してリポジトリの認証情報とインデックスコンテンツにアクセスします。

      注記

      IAM インデックスに使用される ロールは、データソースには使用できません。インデックスやよくある質問に既存のロールが使用されているかどうかが不明な場合は、エラーを避けるため、[新しいロールを作成] を選択してください。

    12. [次へ] を選択します。

  7. [同期設定の構成] ページで、次の情報を入力します。

    1. [同期の範囲] で、次のオプションから選択します。

      1. [エンティティの選択] - クロールするエンティティを選択します。[すべて] のエンティティをクロールするか、[ファイル][添付ファイル][リンク][ページ][イベント][リストデータ] を組み合わせてクロールするかを選択できます。

      2. [追加の設定] では、[エンティティ正規表現パターン] の場合 - [リンク][ページ][イベント] に正規表現パターンを追加して、すべてのドキュメントを同期する代わりに特定のエンティティを含めることができます。

      3. [正規表現パターン] - すべてのドキュメントを同期する代わりに、[ファイルパス][ファイル名][ファイルタイプ][OneNote セクション名][OneNote ページ名] でファイルを含めたり除外したりする正規表現パターンを追加します。最大 100 個を追加できます。

        注記

        OneNote クローリングは、SharePoint アプリのみの認証でのみ使用できます。

    2. [同期モード] - データソースのコンテンツが変更されたときのインデックスの更新方法を選択します。データソースを Amazon Kendra と初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択しなくても、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。

      • 完全同期: すべてのコンテンツを新しくインデックス化し、データソースがインデックスと同期するたびに既存のコンテンツを置き換えます。

      • 新規および変更された同期: データソースがインデックスと同期するたびに、新規および変更されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、前回の同期以降に変更されたコンテンツの変更とインデックスコンテンツを追跡できます。

      • 新規、変更、削除された同期: データソースがインデックスと同期するたびに、新規、変更、削除されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、前回の同期以降に変更されたコンテンツの変更とインデックスコンテンツを追跡できます。

    3. 同期実行スケジュールで、頻度 - データソースコンテンツを同期してインデックスを更新する頻度を選択します。

    4. [次へ] を選択します。

  8. [フィールドマッピングを設定] ページで、次の情報を入力します。

    1. デフォルトのデータソースフィールド — インデックスにマッピングする Amazon Kendra 生成されたデフォルトのデータソースフィールドから選択します。

    2. [フィールドを追加] - カスタムデータソースフィールドを追加して、マッピング先のインデックスフィールド名とフィールドデータタイプを作成します。

    3. [次へ] を選択します。

  9. [確認と作成] ページで、入力した情報が正しいことを確認し、[データソースを追加] を選択します。このページで情報の編集を選択することもできます。データソースが正常に追加されると、データソースが [データソース] ページに表示されます。

API

SharePoint Amazon Kendra に接続するには

TemplateConfiguration API を使用してデータソーススキーマの JSON を指定する必要があります。これには、以下の情報を入力する必要があります。

  • データソース — JSON スキーマSHAREPOINTV2を使用する場合、データソースタイプを TemplateConfiguration として指定します。また、 CreateDataSource API を呼び出すTEMPLATEときにデータソースを として指定します。

  • リポジトリエンドポイントメタデータ - SharePoint インスタンスの tenantID domainsiteUrls を指定します。

  • 同期モード — データソースコンテンツが変更されたときに Amazon Kendra がインデックスを更新する方法を指定します。データソースを Amazon Kendra と初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択しなくても、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。以下のいずれかから選択できます。

    • FORCED_FULL_CRAWL は、すべてのコンテンツの新しいインデックスを作成し、データソースがインデックスと同期するたびに既存のコンテンツを置き換えます。

    • FULL_CRAWL は、データソースがインデックスと同期するたびに、新規、変更、削除されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、コンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

    • CHANGE_LOG は、データソースがインデックスと同期するたびに、新規および変更されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、コンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

  • ID クローラ — Amazon Kendraの ID クローラを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントの ACL があり、ACL を使用することを選択した場合は、 Amazon Kendra ID クローラをオンにして検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、PutPrincipalMapping API を使用して、ユーザーコンテキストフィルタリング用のユーザーおよびグループのアクセス情報をアップロードすることもできます。

    注記

    ID クローラは、 crawlAclを に設定した場合にのみ使用できますtrue

  • リポジトリの追加プロパティ - 以下を指定します。

    • (Azure AD の場合) s3bucketNames3certificateName を使用して Azure AD 自己署名 X.509 証明書を保存します。

    • 使用する認証タイプ (auth_Type)、OAuth2、、、OAuth2AppOAuth2CertificateBasicOAuth2_RefreshTokenNTLM、および 。 Kerberos

    • 使用するバージョン (versionOnlineServerまたは 。Server を使用する場合、onPremVersion201320162019、または SubscriptionEdition としてさらに指定できます。

  • Secret Amazon Resource Name (ARN) — SharePoint アカウントで作成した認証情報を含む Secrets Manager シークレットの Amazon リソースネーム (ARN) を指定します。

    SharePoint Online を使用している場合は、基本、OAuth 2.0、Azure AD アプリ専用、SharePoint アプリ専用の認証を選択できます。各認証オプションでシークレットに含める必要がある最小の JSON 構造を次に示します。

    • 基本認証

      {
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • OAuth 2.0 認証

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "clientSecret": "client secret generated when registering SharePoint with Azure AD",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • Azure AD アプリ専用認証

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "privateKey": "private key to authorize connection with Azure AD"
}

    • SharePoint アプリ専用認証

      {
    "clientId": "client id generated when registering SharePoint for App Only at Tenant Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Tenant Level",
    "adClientId": "client id generated while registering SharePoint with Azure AD",
    "adClientSecret": "client secret generated while registering SharePoint with Azure AD"
}

    • OAuth 2.0 更新トークン認証

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "clientSecret": "client secret generated when registering SharePoint with Azure AD",
    "refreshToken": "refresh token generated to connect to SharePoint"
}

    SharePoint Server を使用している場合は、SharePoint アプリケーション専用認証、NTLM 認証、Kerberos 認証のいずれかを選択できます。各認証オプションでシークレットに含める必要がある最小の JSON 構造を次に示します。

    • SharePoint アプリ専用認証

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "clientId": "client id generated when registering SharePoint for App Only at Site Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level" 
}

    • IDP 認可からのドメインによる SharePoint App-Only 認証

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "clientId": "client id generated when registering SharePoint for App Only at Site Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level",
    "ldapUrl": "LDAP Account url eg. ldap://example.com:389",
    "baseDn": "LDAP Account base dn eg. CN=Users,DC=sharepoint,DC=com",
    "ldapUser": "LDAP account user name",
    "ldapPassword": "LDAP account password"
}

    • (サーバーのみ) NTLM または Kerberos 認証

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • (サーバーのみ) IDP 認可からのドメインによる NTLM または Kerberos 認証

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password",
    "ldapUrl": "ldap://example.com:389",
    "baseDn": "CN=Users,DC=sharepoint,DC=com",
    "ldapUser": "LDAP account user name",
    "ldapPassword": "LDAP account password"
}

  • IAM role - を呼び出しCreateDataSourceて、 Secrets Manager シークレットにアクセスするためのアクセス許可を IAM ロールに提供し、SharePoint コネクタと に必要なパブリック APIs を呼び出すRoleArnタイミングを指定します Amazon Kendra。詳細については、「IAM roles for SharePoint data sources」を参照してください。

オプションで、次の機能を追加することもできます。

  • [仮想プライベートクラウド (VPC)] - VpcConfigurationCreateDataSource を呼び出すタイミングを指定します。詳細については、「を使用する Amazon Kendra ように を設定する Amazon VPC」を参照してください。

  • 包含フィルターと除外フィルター — 特定のファイル、OneNotes、およびその他のコンテンツを含めるか除外するかを指定できます。

    注記

    ほとんどのデータソースは、フィルターと呼ばれる包含または除外パターンである正規表現パターンを使用しています。包含フィルターを指定すると、包含フィルターに一致するコンテンツのみのインデックスが作成されます。包含フィルターに一致しないドキュメントのインデックスは作成されません。包含フィルターと除外フィルターを指定した場合、除外フィルターに一致するドキュメントは、包含フィルターと一致してもインデックスは作成されません。

  • フィールドマッピング - 選択すると、SharePoint データソースフィールドを Amazon Kendra インデックスフィールドにマッピングします。詳細については、「データソースフィールドのマッピング」を参照してください。

    注記

    がドキュメント Amazon Kendra を検索するには、ドキュメント本文フィールドまたはドキュメントと同等のドキュメント本文が必要です。データソースのドキュメント本文フィールド名をインデックスフィールド名 にマッピングする必要があります_document_body。その他のすべてのフィールドはオプションです。

設定するその他の重要な JSON キーのリストについては、SharePoint テンプレートスキーマ」を参照してください。

メモ

  • コネクタは [ファイル] エンティティのカスタムフィールドマッピングのみをサポートします。

  • SharePoint Server のすべてのバージョンで、ACL トークンは小文字にする必要があります。[IDP からのドメイン付き E メール ID] および [カスタムドメイン付き E メール ID] の場合 (例: user@sharepoint2019.com)。[ドメイン\ドメイン付きユーザー] ACL の場合 (例: sharepoint2013\user)。

  • アクセスコントロールリスト (ACLs」オプションは使用できません。 SharePoint 代わりに「完全同期」または「新規、変更、または削除されたコンテンツ同期ACLs を無効にすることをお勧めします。

  • このコネクタは、SharePoint 2013 の変更ログモード/新規または変更されたコンテンツの同期をサポートしていません。

  • エンティティ名の名前に % 文字が含まれている場合、API の制限によりコネクタはこれらのファイルをスキップします。

  • OneNote をクロールできるのは、テナント ID を使用し、SharePoint Online で OAuth 2.0、OAuth 2.0 更新トークン、または SharePoint アプリケーション専用認証が有効になっているコネクタだけです。

  • コネクタは、ドキュメントの名前が変更された場合でも、OneNote ドキュメントの最初のセクションを既定の名前のみでクロールします。

  • コネクタは、SharePoint 2019、SharePoint Online、およびサブスクリプションエディションのリンクを、クロールするエンティティとして [リンク] に加えて [ページ][ファイル] が選択されている場合にのみクロールします。

  • クロールするエンティティとしてリンクが選択されている場合、コネクタは SharePoint 2013 と SharePoint 2016 の [リンク] をクロールします。

  • コネクタがリストの添付ファイルとコメントをクロールするのは、クロール対象のエンティティとして [リストデータ] も選択されている場合のみです。

  • コネクタがイベント添付ファイルをクロールするのは、クロール対象のエンティティとして [イベント] も選択されている場合のみです。

  • SharePoint Online バージョンの場合、ACL トークンは小文字になります。例えば、Azure ポータルの [ユーザープリンシパル名]MaryMajor@domain.com の場合、SharePoint コネクタの ACL トークンは marymajor@domain.com になります。

  • SharePoint Online および Server 用の [ID クローラー] では、ネストされたグループをクロールする場合、AD グループクローリングだけでなくローカルクローリングも有効にする必要があります。

  • SharePoint Online を使用していて、Azure ポータルのユーザープリンシパル名が大文字と小文字の組み合わせである場合、SharePoint API は内部的にこれを小文字に変換します。このため、 Amazon Kendra SharePoint コネクタは ACL を小文字に設定します。