View a markdown version of this page

微软 OneDrive 动作集成 - Amazon Quick
开始前的准备工作配置微软 Entra在 Amazon Quick 中设置连接器可用操作管理和故障排除微软 365 的管理员同意

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 OneDrive 动作集成

使用 Microsoft OneDrive 操作连接器通过自然语言直接在 Amazon Quick 中管理 OneDrive 文件、文件夹和 Excel 工作簿。

Amazon Quick 支持微软的多种身份验证方法 OneDrive。选择最适合您组织安全要求的方法。

  • 默认 OAuth 应用程序-使用 AWS由托管的 OAuth 应用程序。无需其他凭证。用户直接使用自己的 Microsoft 帐户进行身份验证。

  • 自定义 OAuth 应用程序 — 使用在 Microsoft Entra 中注册的客户管理应用程序。此选项可让您的组织完全控制 OAuth 配置。用户代表登录用户进行身份验证(委派权限)。

  • Service-to-Service OAuth-使用客户端凭据进行服务器到服务器的身份验证,无需用户交互(应用程序权限)。适用于自动化工作流程。

有关 Amazon Quick 支持的身份验证方法的更多信息,请参阅身份验证方法

开始前的准备工作

在设置集成之前,请确保您具备以下条件。

配置微软 Entra

如果您使用的是默认 OAuth 应用程序身份验证,请跳过本节并继续。在 Amazon Quick 中设置连接器

在配置 Amazon Quick 之前,请在 Microsoft Entra 中创建应用程序注册。在移至 Amazon Quick 控制台之前,请在 Entra 中完成以下所有步骤。

有关应用程序注册的更多信息,请参阅 Microsoft 文档中的向 Microsoft 身份平台注册应用程序

注册应用程序

  1. 打开微软 Entra 管理中心

  2. 在左侧导航栏中,选择 Entra ID,然后选择应用程序注册

  3. 选择 “新注册”。

  4. 名称中,输入集成的描述性名称。

  5. 对于支持的帐户类型,请选择 “仅限此组织目录中的帐户”。

  6. 对于重定向 URI,选择 Web 并输入https://{region}.quicksight.aws.amazon.com/sn/oauthcallback{region}替换为部署您的 Amazon Quick 实例的 AWS 区域。

  7. 选择注册

  8. 在概述页面上,复制应用程序(客户端)ID目录(租户)ID。您需要这些值才能进行 Amazon Quick 配置。

创建客户机密钥

Amazon Quick 需要一个客户端密钥才能通过 Microsoft Entra 进行身份验证。此密钥充当应用程序注册的密码。

  1. 从您的应用程序注册中,选择 “证书和机密”。

  2. 选择 “新建客户机密钥”。

  3. 输入描述并选择到期时间。

  4. 选择添加

  5. 立即复制该。此值仅显示一次。

重要

复制密钥,而不是密钥 ID。Value 是用于身份验证的较长字符串。

配置 API 权限

此集成使用委托权限,允许应用程序代表登录用户执行操作。有关更多信息,请参阅微软文档中的微软 Graph 权限概述

  1. 在您的应用程序注册中,选择 API 权限

  2. 选择 “添加权限”,然后选择 Microsoft Graph

  3. 选择 “委派权限”,然后从下表中添加权限。

  4. 选择 “授予管理员同意 [您的租户名称] 以批准权限。

在您的 Entra 应用程序注册中添加以下内容作为委托权限。有关完整权限参考,请参阅微软文档中的微软 Graph 权限参考

OneDrive 操作集成-委派权限
权限 说明
Files.ReadWrite 允许该应用程序读取、创建、更新和删除已登录用户的文件。
User.Read.All 允许该应用程序代表登录用户读取组织中所有用户的完整个人资料属性。
offline_access 允许应用程序刷新访问令牌,而无需用户再次登录。这减少了用户需要重新进行身份验证的频率。

记录您的凭证

在离开 Microsoft Entra 管理中心之前,请确认你有以下值。您需要它们来配置 Amazon Quick。

来自微软 Entra 的必需凭证
在哪里可以找到它
应用程序(客户端)ID 应用程序注册概述页面
目录(租户)ID 应用程序注册概述页面
客户端密钥值 证书和密钥页面

在 Amazon Quick 中设置连接器

从 “可用” 选项卡连接

如果要使用默认 OAuth 应用程序身份验证,则无需额外配置即可直接从 “可用” 选项卡进行连接。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 在 “可用” 选项卡上,找到OneDrive并选择 Connect

  3. 完成 Microsoft 登录流程并授予所请求的权限。

要改为使用自定义 OAuth 应用程序或 Service-to-Service OAuth 配置连接器,请使用为团队创建选项卡,如下所述。

从 “为你的团队创建” 选项卡中创建

完成所有必需的 Entra 配置后,请在 Amazon Quick 中创建连接器。

  1. 在 Amazon Quick 控制台中,选择 “连接器”。

  2. 选择 “为你的团队创建” 选项卡。

  3. 找到并选择微软 OneDrive

    注意

    如果 Microsoft OneDrive 连接器已经存在,则会出现一个包含现有连接器的对话框。要使用现有的连接器,请选择它。要创建新的,请选择 “否,新建”。

  4. 在 “集成类型” 页面上,选择 “在 Microsoft 中执行操作” OneDrive,然后选择 “下一步”。

  5. 输入连接器的名称。(可选)选择 + 添加描述以添加描述。

  6. 在 “连接类型” 中,选择 “公共网络”。

  7. 对于 OAuth 配置,请选择以下身份验证方法之一并配置必填字段。

    1. 对于默认 OAuth 应用程序:

      无需其他凭证。选择下一步以继续。

    2. 对于自定义 OAuth 应用程序(使用委派权限进行用户身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • 授权 URL-授权端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • 重定向 URL — Pre-filled 使用 Amazon 快速回传网址。

    3. 对于 Service-to-ServiceOAuth(使用应用程序权限进行服务身份验证),请配置以下字段:

      • 基本网址(可选)— 微软 Graph API 基本网址。示例:https://graph.microsoft.com/v1.0

      • 客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。

      • 客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。

      • 令牌网址-令牌端点。示例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      注意

      客户凭证令牌请求的范围 (https://graph.microsoft.com/.default) 由 Amazon Quick 自动设置。您无需手动对其进行配置。

  8. 选择下一步

  9. 如果您选择默认 OAuth 应用程序自定义 OAuth 应用程序,则会打开微软授权窗口。查看请求的权限,然后选择 “接受”。

    如果您看到错误而不是同意对话框,则您的组织可能会限制第三方应用程序的访问权限。请参阅微软 365 的管理员同意

  10. 在 “查看” 页面上,查看连接器的可用操作。选择下一步

  11. 在 “发布” 页面上,选择谁可以访问连接器。您可以为组织中的所有人启用访问权限,也可以搜索特定的团队或群组。

  12. 选择发布

可用操作

设置集成后,可以执行以下操作。

微软 OneDrive 可用的操作
类别 处理建议 说明
云端硬盘和物品 获取云端硬盘 检索驱动器的属性和关系。
云端硬盘和物品 列表项 获取驱动器中包含的所有物品。
云端硬盘和物品 获取项目 获取驱动器中包含的物品。
云端硬盘和物品 Create Folder 在用户的云端硬盘中创建一个新文件夹。
云端硬盘和物品 更新项目 更新文件或文件夹的元数据。
云端硬盘和物品 删除项目 删除文件或文件夹。将物品移至回收站。
云端硬盘和物品 列出子文件夹 返回文件夹子项中的一组项目。
云端硬盘和物品 复制项目 将文件或文件夹的副本创建到其他位置。
云端硬盘和物品 添加权限 发送文件或文件夹的共享邀请。
云端硬盘和物品 上传文件 上传新文件或更新现有文件。支持最大 250 MB 的文件。
Excel 工作簿 列表工作表 检索工作表对象列表。
Excel 工作簿 添加工作表 向工作簿添加新的工作表。
Excel 工作簿 阅读表格 检索工作表对象的属性。
Excel 工作簿 更新表单 更新工作表对象的属性。
Excel 工作簿 删除工作表 从工作簿中删除工作表。
Excel 工作簿 读取单元格 按行号和列号获取单个单元格的值。
Excel 工作簿 写单元格 按行号和列号设置单个单元格的值。
Excel 工作簿 读取范围 获取范围的值。
Excel 工作簿 写入范围 更新范围的值。
Excel 工作簿 清除范围 清除范围值、格式、填充和边框。
Excel 工作簿 删除范围 删除与该范围关联的单元格。
Excel 工作簿 获取二手范围 获取包含带有值或格式的单元格的最小范围。

管理和故障排除

要编辑、共享或删除您的集成,请参阅管理现有集成

身份验证问题

  • 应用程序注册不正确-验证 Microsoft Entra 中的应用程序注册是否包含所需的 API 权限,并且已授予管理员同意。

  • 客户端密钥已过期 — 在 “证书和密钥” 中检查客户端密钥是否已过期,并在需要时生成一个新的密钥。

  • 不正确的重定向 URI — 验证 Microsoft Entra 中的重定向 URI 是否匹配https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

常见错误消息

  • Access denied. You do not have permission to perform this action— 经过身份验证的用户没有所需的权限。请联系您的管理员以验证并授予相应的权限。

  • AADSTS50020: User account from identity provider does not exist in tenant— 用户帐户未在正确的 Microsoft Entra 租户中配置。验证租户中是否存在与应用程序注册中的目录(租户)ID 相匹配的用户帐户。

当您使用默认 OAuth 应用程序身份验证方法时,Amazon Quick 使用 AWS托管应用程序 OneDrive 代表登录用户访问微软。大多数用户无需任何额外步骤即可完成设置。但是,如果你的 Microsoft 365 租户限制了第三方应用程序的访问权限,则用户必须先授予一次性同意,然后才能进行连接。

如果您在连接器设置期间登录时看到错误,则您的组织可能会限制第三方应用程序的访问权限。与你的微软 365 管理员共享以下信息:

  • 怎么做:授予管理员对 Amazon Quick Microsoft OneDrive 集成应用程序的同意。

  • 原因:Amazon Quick 需要委托访问 OneDrive 文件、文件夹和 Excel 工作簿才能代表用户执行操作。

管理员可以通过以下方式之一授予同意:

  • 通过同意对话框 — 全局管理员或特权角色管理员启动连接器设置流程。在 Microsoft 登录对话框中,他们选中 “代表你的组织同意” 复选框并选择 “接受”。

  • 通过微软 Entra 管理中心 — 登录微软网站上的微软 Entra 管理中心。选择 “企业应用程序”,找到 Amazon Quick 应用程序,选择 “权限”,然后选择 “授予管理员同意Your Organization

获得同意后,组织中的任何用户都可以在不被提示个人同意的情况下进行连接。

注意

要检查您的租户是否限制用户同意,请转到 Microsoft Entra 管理中心,然后选择企业应用程序同意和权限用户同意设置。如果设置为 “不允许用户同意”,则必须先征得管理员同意,然后用户才能使用连接器。