View a markdown version of this page

微软 Outlook 集成 - Amazon Quick
开始前的准备工作配置微软 Entra在 Amazon Quick 中设置连接器可用操作管理和故障排除微软 365 的管理员同意

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 Outlook 集成

使用 Microsoft Outlook 操作连接器,你可以通过自然语言直接在 Amazon Quick 中访问 Outlook 的电子邮件、日历和联系人 API。

Amazon Quick 支持微软 Outlook 的多种身份验证方法。选择最适合您组织安全要求的方法。

  • 默认 OAuth 应用程序-使用 AWS由托管的 OAuth 应用程序。无需其他凭证。用户直接使用自己的 Microsoft 帐户进行身份验证。

  • 自定义 OAuth 应用程序 — 使用在 Microsoft Entra 中注册的客户管理应用程序。此选项可让您的组织完全控制 OAuth 配置。用户代表登录用户进行身份验证(委派权限)。

  • Service-to-Service OAuth-使用客户端凭据进行服务器到服务器的身份验证,无需用户交互(应用程序权限)。适用于自动化工作流程。

有关 Amazon Quick 支持的身份验证方法的更多信息,请参阅身份验证方法

开始前的准备工作

在设置集成之前,请确保您具备以下条件。

配置微软 Entra

如果您使用的是默认 OAuth 应用程序身份验证,请跳过本节并继续。在 Amazon Quick 中设置连接器

在配置 Amazon Quick 之前,请在 Microsoft Entra 中创建应用程序注册。在移至 Amazon Quick 控制台之前,请在 Entra 中完成以下所有步骤。

有关应用程序注册的更多信息,请参阅 Microsoft 文档中的向 Microsoft 身份平台注册应用程序

注册应用程序

  1. 打开微软 Entra 管理中心

  2. 在左侧导航栏中,选择 Entra ID,然后选择应用程序注册

  3. 选择 “新注册”。

  4. 名称中,输入集成的描述性名称。

  5. 对于支持的帐户类型,请选择 “仅限此组织目录中的帐户”。

  6. 对于重定向 URI,选择 Web 并输入https://{region}.quicksight.aws.amazon.com/sn/oauthcallback{region}替换为部署您的 Amazon Quick 实例的 AWS 区域。

  7. 选择注册

  8. 在概述页面上,复制应用程序(客户端)ID目录(租户)ID。您需要这些值才能进行 Amazon Quick 配置。

创建客户机密钥

Amazon Quick 需要一个客户端密钥才能通过 Microsoft Entra 进行身份验证。此密钥充当应用程序注册的密码。

  1. 从您的应用程序注册中,选择 “证书和机密”。

  2. 选择 “新建客户机密钥”。

  3. 输入描述并选择到期时间。

  4. 选择添加

  5. 立即复制该。此值仅显示一次。

重要

复制密钥,而不是密钥 ID。Value 是用于身份验证的较长字符串。

配置 API 权限

Microsoft Graph 为此集成支持两种权限类型。委托权限允许应用程序代表登录用户执行操作。应用程序权限允许应用程序在没有登录用户的情况下运行。有关更多信息,请参阅微软文档中的 Microsoft Graph 权限概述

  1. 在您的应用程序注册中,选择 API 权限

  2. 选择 “添加权限”,然后选择 Microsoft Graph

  3. 根据您的身份验证方法选择 “委派权限” 或 “应用程序权限”,然后从下表中添加相应权限。

  4. 选择 “授予管理员同意 [您的租户名称] 以批准权限。

对于用户身份验证(委托权限):

在您的 Entra 应用程序注册中添加以下内容作为委托权限。有关完整权限参考,请参阅微软文档中的微软 Graph 权限参考

Outlook 操作集成-委派权限
权限 说明
Mail.ReadWrite 允许该应用程序创建、读取、更新和删除用户邮箱中的电子邮件。
Mail.Send 允许该应用程序以组织中的用户身份发送邮件。
Calendars.ReadWrite 允许该应用程序在用户日历中创建、读取、更新和删除事件。
Calendars.ReadWrite.Shared 允许该应用程序在用户有权访问的所有日历中创建、读取、更新和删除事件,包括委托日历和共享日历。
User.Read 允许用户登录应用程序,并允许该应用程序读取已登录用户的个人资料。
User.Read.All 允许该应用程序读取组织中其他用户的完整个人资料属性。
Contacts.Read 允许该应用程序读取用户通讯录。
Place.Read.All 允许该应用程序读取公司地点(会议室和会议室列表),以了解日历活动和其他应用程序。
MailboxSettings.Read 允许该应用程序读取用户的邮箱设置。
offline_access 允许应用程序刷新访问令牌,而无需用户再次登录。这减少了用户需要重新进行身份验证的频率。
注意

User.Read.AllPlace.Read.All需要管理员同意。用户必须先征得管理员的同意,然后才能进行身份验证。

对于服务身份验证(应用程序权限):

在您的 Entra 应用程序注册中添加以下内容作为应用程序权限。

Outlook 操作集成-应用程序权限
权限 说明
Mail.ReadWrite 允许该应用程序创建、读取、更新和删除所有邮箱中的邮件。
Mail.Send 允许该应用程序以任何用户的身份发送邮件。
Calendars.ReadWrite 允许该应用程序创建、读取、更新和删除所有日历的事件。
User.Read.All 允许该应用程序读取用户个人资料。
Contacts.Read 允许该应用程序读取所有邮箱中的所有联系人。
Place.Read.All 允许该应用程序读取公司地点(会议室和会议室列表),以了解日历活动和其他应用程序。
MailboxSettings.Read 允许该应用程序读取用户的邮箱设置。
重要

使用服务身份验证时,所有操作都以服务帐号的身份执行。任何有权访问此集成的用户都可以在服务帐户可以访问的所有邮箱中执行操作。根据贵组织的安全要求适当确定应用程序权限的范围。

记录您的凭证

在离开 Microsoft Entra 管理中心之前,请确认你有以下值。您需要它们来配置 Amazon Quick。

来自微软 Entra 的必需凭证
在哪里可以找到它
应用程序(客户端)ID 应用程序注册概述页面
目录(租户)ID 应用程序注册概述页面
客户端密钥值 证书和密钥页面

在 Amazon Quick 中设置连接器

从 “可用” 选项卡连接

如果要使用默认 OAuth 应用程序身份验证,则无需额外配置即可直接从 “可用” 选项卡进行连接。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 在 “可用” 选项卡上,找到微软 Outlook,然后选择 Connec t。

  3. 完成 Microsoft 登录流程并授予所请求的权限。

要改为使用自定义 OAuth 应用程序或 Service-to-Service OAuth 配置连接器,请使用为团队创建选项卡,如下所述。

从 “为你的团队创建” 选项卡中创建

完成所有必需的 Entra 配置后,请在 Amazon Quick 中创建连接器。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 选择 “为你的团队创建” 选项卡。

  3. 找到并选择微软 Outlook

    注意

    如果 Microsoft Outlook 连接器已经存在,则会出现一个包含你现有连接器的对话框。要使用现有的连接器,请选择它。要创建新的,请选择 “否,新建”。

  4. 输入连接器的名称。(可选)选择 + 添加描述以添加描述。

  5. 在 “连接类型” 中,选择 “公共网络”。

  6. 对于 OAuth 配置,请选择以下身份验证方法之一并配置必填字段。

    1. 对于默认 OAuth 应用程序:

      无需其他凭证。选择下一步以继续。

    2. 对于自定义 OAuth 应用程序(使用委派权限进行用户身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • 授权 URL-授权端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • 重定向 URL — Pre-filled 使用 Amazon 快速回传网址。

    3. 对于 Service-to-ServiceOAuth(使用应用程序权限进行服务身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      注意

      客户凭证令牌请求的范围 (https://graph.microsoft.com/.default) 由 Amazon Quick 自动设置。您无需手动对其进行配置。

  7. 选择下一步

  8. 如果您选择默认 OAuth 应用程序自定义 OAuth 应用程序,则会打开微软授权窗口。查看请求的权限,然后选择 “接受”。

    如果您看到错误而不是同意对话框,则您的组织可能会限制第三方应用程序的访问权限。请参阅微软 365 的管理员同意

  9. 在 “查看” 页面上,查看连接器的可用操作。选择下一步

  10. 在 “发布” 页面上,选择谁可以访问连接器。您可以为组织中的所有人启用访问权限,也可以搜索特定的团队或群组。

  11. 选择发布

可用操作

设置连接器后,可以执行以下操作。

微软 Outlook 可用操作
类别 处理建议 说明
电子邮件 列出用户邮件 列出邮箱中的电子邮件。
电子邮件 列出文件夹消息 列出特定邮件文件夹中的邮件。
电子邮件 查看电子邮件 按 ID 检索电子邮件详细信息。
电子邮件 向用户发送电子邮件 发送一封新的电子邮件。
电子邮件 回复电子邮件 回复现有电子邮件。
电子邮件 转发用户电子邮件 将电子邮件转发给其他收件人。
电子邮件 更新电子邮件 编辑电子邮件属性。
电子邮件 删除电子邮件 从邮箱中移除一封电子邮件。
电子邮件 将电子邮件移至文件夹 将电子邮件移至其他文件夹。
电子邮件 列出电子邮件附件 列出电子邮件中的附件。
电子邮件 获取附件 按 ID 检索附件详细信息和内容。
日历 列出日历活动 在日历上列出事件。
日历 列表日历视图 列出指定日期范围内的会议。
日历 创建日历活动 创建新的会议或约会。
日历 更新日历活动 修改现有事件。
日历 删除日历活动 从日历中移除事件。
日历 查找会议时间 根据出席者的空闲情况建议会议时间。
联系人 列出联系人 列出联系人。
Users 列出 用户 列出组织中的用户。
设置 获取邮箱设置 读取邮箱配置。
地点 列出地点 列出会议室和会议室列表。

管理和故障排除

要编辑、共享或删除您的集成,请参阅管理现有集成

身份验证问题

  • 应用程序注册不正确-验证 Microsoft Entra 中的应用程序注册是否包含所需的 API 权限,并且已授予管理员同意。

  • 客户端密钥已过期 — 在 “证书和密钥” 中检查客户端密钥是否已过期,并在需要时生成一个新的密钥。

  • 不正确的重定向 URI — 验证 Microsoft Entra 中的重定向 URI 是否匹配https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

常见错误消息

  • Access denied. You do not have permission to perform this action— 经过身份验证的用户没有所需的权限。请联系您的管理员以验证并授予相应的权限。

  • AADSTS50020: User account from identity provider does not exist in tenant— 用户帐户未在正确的 Microsoft Entra 租户中配置。验证租户中是否存在与应用程序注册中的目录(租户)ID 相匹配的用户帐户。

当您使用默认 OAuth 应用程序身份验证方法时,Amazon Quick 使用 AWS托管应用程序代表登录用户访问微软 Outlook。大多数用户无需任何额外步骤即可完成设置。但是,如果你的 Microsoft 365 租户限制了第三方应用程序的访问权限,则用户必须先授予一次性同意,然后才能进行连接。

如果您在连接器设置期间登录时看到错误,则您的组织可能会限制第三方应用程序的访问权限。与你的微软 365 管理员共享以下信息:

  • 怎么做:授予管理员对 Amazon Quick Microsoft Outlook 集成应用程序的同意。

  • 原因:Amazon Quick 需要授权访问 Outlook 电子邮件、日历和联系人数据,才能代表用户执行操作。

管理员可以通过以下方式之一授予同意:

  • 通过同意对话框 — 全局管理员或特权角色管理员启动连接器设置流程。在 Microsoft 登录对话框中,他们选中 “代表你的组织同意” 复选框并选择 “接受”。

  • 通过微软 Entra 管理中心 — 登录微软网站上的微软 Entra 管理中心。选择 “企业应用程序”,找到 Amazon Quick 应用程序,选择 “权限”,然后选择 “授予管理员同意Your Organization

获得同意后,组织中的任何用户都可以在不被提示个人同意的情况下进行连接。

注意

要检查您的租户是否限制用户同意,请转到 Microsoft Entra 管理中心,然后选择企业应用程序同意和权限用户同意设置。如果设置为 “不允许用户同意”,则用户必须先征得管理员同意,然后用户才能使用连接器。