View a markdown version of this page

Controles de acceso a nivel de documento - Amazon Quick
FuncionamientoHabilite la administración de ACLVerificación de acceso en tiempo realObtenga las credenciales de administrador de AtlassianLimitacionesSiguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de acceso a nivel de documento

Las bases de conocimiento de Confluence Cloud admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, Amazon Quick sincroniza las listas de control de acceso (ACLs) de Confluence durante cada rastreo y verifica los permisos de cada usuario en el momento de la consulta. Los usuarios solo ven las respuestas de los documentos a los que están autorizados a acceder en Confluence.

Funcionamiento

Cuando un usuario consulta a un agente de Amazon Quick que utiliza una base de conocimientos de Confluence con la administración de ACL habilitada, el sistema aplica los controles de acceso en dos etapas:

  1. Filtrado previo a la recuperación: Amazon Quick realiza una búsqueda semántica en el índice vectorial para encontrar los pasajes del documento más relevantes. El sistema aplica las listas de control de acceso que se sincronizaron desde Confluence durante el último rastreo. Esto produce un conjunto preliminar de documentos candidatos.

  2. Verificación en tiempo real: el sistema verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta en Confluence. En la respuesta solo aparecen los documentos a los que el usuario está autorizado a acceder actualmente.

Este enfoque en dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando los permisos de Confluence cambian entre sincronizaciones.

Amazon Quick rastrea los siguientes recursos de ACL de Confluence:

  • Espacios: los permisos de espacio se aplican a todos los documentos del espacio de forma predeterminada.

  • Páginas: las páginas se pueden restringir a usuarios y grupos específicos. Las páginas anidadas heredan las restricciones de la página principal y pueden tener sus propias restricciones.

  • Blogs: las publicaciones de blog se pueden restringir a usuarios y grupos específicos del espacio.

  • Archivos adjuntos: los archivos adjuntos a páginas o publicaciones de blog heredan los controles de acceso de su documento principal.

Habilite la administración de ACL

La administración de las ACL se configura durante la creación de la base de conocimientos en el paso Configuración adicional. Seleccione la ACLs casilla de verificación Controlar el acceso a los documentos con para habilitarla. Esta opción requiere las credenciales de administrador de Atlassian, que se proporcionan durante el paso del método de autenticación. Sin credenciales de administrador, la opción ACL está deshabilitada.

importante

No puede cambiar la administración de la ACL después de crear la base de conocimientos. Si necesita cambiar esta configuración, debe crear una nueva base de conocimientos.

Las credenciales de administrador de Atlassian permiten a Amazon Quick acceder a toda la información de usuarios y grupos de tu instancia de Confluence, independientemente de la configuración de visibilidad del correo electrónico individual. Para ver los pasos para obtener las credenciales de administrador de tu organización de Atlassian, consulta. Obtenga las credenciales de administrador de Atlassian Para ver los pasos de configuración de la base de conocimientos, consulte. Autentica tu cuenta

Para obtener más información sobre las mejores prácticas de ACL, consulteMejores prácticas de gestión ACLs en bases de conocimiento.

Verificación de acceso en tiempo real

Cuando un usuario envía una consulta que incluye contenido de una base de conocimiento de Confluence habilitada para ACL, Amazon Quick verifica el acceso del usuario en tiempo real:

  1. El usuario hace una pregunta en el asistente de chat rápido.

  2. Si la respuesta incluye contenido de Confluence de una base de conocimientos habilitada para ACL, Quick pide al usuario que inicie sesión en Confluence.

  3. El usuario inicia sesión con su correo electrónico y contraseña de Confluence y acepta el cuadro de diálogo de autorización.

  4. Quick usa las credenciales del usuario para verificar el acceso a cada documento candidato en tiempo real con la API de Confluence.

  5. En la respuesta solo aparecen los documentos a los que el usuario tiene acceso actualmente en Confluence.

El inicio de sesión es un paso que se realiza una sola vez. Tras iniciar sesión, no se volverá a preguntar a los usuarios hasta que la sesión caduque.

nota

Si se produce un error en la verificación de los permisos en tiempo real (por ejemplo, si la API de Confluence no está disponible temporalmente), los usuarios ven un mensaje de error que les pide que lo vuelvan a intentar. Amazon Quick no recurre a los permisos en caché: la verificación en tiempo real es obligatoria para garantizar la precisión del control de acceso.

Obtenga las credenciales de administrador de Atlassian

Para proporcionar las credenciales de administrador de Atlassian durante la configuración de la base de conocimientos de Confluence, el administrador de tu organización de Atlassian debe completar los siguientes pasos.

Obtén tu clave de API y tu ID de organización

  1. Inicie sesión en el portal de administración de Atlassian con permisos de administrador.

  2. Abra la aplicación de administración de la organización. La URL debería tener el siguiente aspecto:https://admin.atlassian.com/o/ORGANIZATION-UUID/overview.

  3. Copia el ID de la organización de la URL.

  4. Seleccione Settings y API Keys.

  5. Elija Crear clave de la API.

  6. Selecciona los siguientes ámbitos para la clave de API:

    • read:directories:admin

    • read:workspaces:admin

  7. Copie y guarde tanto el Organization ID como la API Key.

    nota

    Las claves de API caducan. Supervise la fecha de caducidad y actualice las credenciales del origen de datos antes de que caduque la clave.

Obtención del ID de directorio

Usa la API Atlassian Admin Workspace para recuperar tu ID de directorio.

  1. Ejecuta el siguiente comando y ORGANIZATION-ID sustitúyelo por tu ID de organización y por tu API-KEY clave de API:

    curl --request POST \
  --url 'https://api.atlassian.com/admin/v2/orgs/ORGANIZATION-ID/workspaces' \
  --header 'Authorization: Bearer API-KEY' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{
    "query": {
      "field": {
        "name": "attributes.type",
        "values": ["confluence"]
      }
    },
    "limit": 20
  }'

    Esta consulta filtra los resultados solo para los espacios de trabajo de Confluence, por lo que no necesitas recorrer todos los tipos de espacios de trabajo.

  2. En la respuesta de la API, busque la entrada del espacio de trabajo que coincida con su instancia de Confluence Cloud. Comprueba que el nombre del espacio de trabajo coincida con tu instancia.

  3. Copia el directory valor de la attributes sección. Este es su ID de directorio.

Para obtener más información sobre los ámbitos de la API de administración de Atlassian, consulte la documentación sobre los ámbitos de la API de Atlassian. Para obtener más información sobre la API, consulte la Referencia de las API de Atlassian Admin Workspace.

Limitaciones

  • Se requieren credenciales de administrador de Atlassian: los controles de acceso a nivel de documento requieren credenciales de administrador de Atlassian, que se deben proporcionar durante la configuración de la base de conocimientos. No puedes activarlos ACLs sin credenciales de administrador y no puedes añadir credenciales de administrador una vez creada la base de conocimientos.

  • La verificación en tiempo real es obligatoria: Amazon Quick siempre comprueba los permisos en tiempo real en el momento de la consulta para las bases de conocimiento habilitadas para ACL. Si la API de Confluence no está disponible, las consultas que incluyen contenido protegido por la ACL devuelven un error en lugar de recurrir a los permisos almacenados en caché.

Para conocer las limitaciones generales de las ACL y las prácticas recomendadas, incluidas la permanencia de las ACL, la compatibilidad con las investigaciones y la administración de direcciones de correo electrónico, consulte. Mejores prácticas de gestión ACLs en bases de conocimiento

Siguientes pasos

Para verificar los controles de acceso a nivel de documento y solucionar problemas de permisos, consulte. Compruebe el acceso a los documentos (verificación ACL) Para obtener información sobre cómo configurar la integración de la base de conocimientos de Confluence, consulte. Configure la integración de la base de conocimientos