View a markdown version of this page

Controles de acceso a nivel de documento - Amazon Quick
FuncionamientoHabilite la administración de ACLVerificación de acceso en tiempo realSiguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de acceso a nivel de documento

Las bases de SharePoint conocimiento gestionadas por el administrador admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, Amazon Quick sincroniza las listas de control de acceso (ACLs) SharePoint de cada rastreo. El sistema verifica los permisos de cada usuario en el momento de la consulta, por lo que los usuarios solo ven las respuestas de los documentos a los que están autorizados a acceder. SharePoint

Funcionamiento

Cuando un usuario consulta a un agente de Amazon Quick que utiliza una base de SharePoint conocimientos gestionada por el administrador con la gestión de ACL habilitada, el sistema aplica los controles de acceso en dos etapas:

  1. Filtrado previo a la recuperación: Amazon Quick realiza una búsqueda semántica en el índice vectorial para encontrar los pasajes del documento más relevantes. El sistema aplica las listas de control de acceso que se sincronizaron SharePoint durante el último rastreo. Esto produce un conjunto preliminar de documentos candidatos.

  2. Verificación en tiempo real: el sistema verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta. SharePoint En la respuesta solo se incluyen los documentos a los que el usuario está autorizado actualmente a acceder.

Este enfoque de dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando SharePoint los permisos cambian entre las sincronizaciones.

Habilite la administración de ACL

La administración de las ACL se configura durante la creación de la base de conocimientos en el paso de configuración adicional. Seleccione la casilla de ACLs verificación Controlar el acceso a los documentos con ayuda para activarla.

importante

La administración de las ACL no se puede cambiar una vez creada la base de conocimientos. Si necesita cambiar esta configuración, debe crear una nueva base de conocimientos.

Para habilitar la administración de ACL, el registro de la aplicación Entra debe tener los siguientes permisos:

  • User.Read.Ally GroupMember.Read.All en Microsoft Graph.

  • Sites.FullControl.Allen el SharePoint recurso o Sites.Selected con los permisos otorgados por sitio.

Para obtener más información sobre las prácticas recomendadas de ACL, consulteMejores prácticas de gestión ACLs en bases de conocimiento.

Verificación de acceso en tiempo real

La etapa de verificación en tiempo real utiliza un OAuth flujo delegado gestionado automáticamente por Amazon Quick. Quick crea y administra una aplicación Microsoft Entra independiente específicamente para este propósito. No se requiere ninguna configuración por parte del cliente para esta aplicación. Es distinto tanto del registro de la aplicación gestionada por el administrador que creaste durante la configuración como de cualquier aplicación gestionada por el usuario OAuth .

  1. Un usuario hace una pregunta en el asistente de chat rápido.

  2. Si la respuesta incluye SharePoint contenido de una base de conocimientos habilitada para ACL, Quick pide al usuario que inicie sesión en ella. SharePoint

  3. El usuario inicia sesión y acepta el cuadro de diálogo de consentimiento de Microsoft (si no se ha otorgado el consentimiento del administrador).

  4. Quick usa el token delegado por el usuario para verificar el acceso a cada documento candidato en tiempo real.

  5. En la respuesta solo se incluyen los documentos a los SharePoint que el usuario tiene acceso actualmente.

El inicio de sesión es un paso que se realiza una sola vez. Las credenciales delegadas utilizan un token de actualización y duran aproximadamente 90 días.

Permisos delegados

La aplicación ACL en tiempo real solicita los siguientes permisos delegados:

ACL en tiempo real: permisos delegados
Permiso Alcance Finalidad
Lea los elementos de todas las colecciones de sitios Sites.Read.All Verifique el acceso de los usuarios al contenido SharePoint del sitio.
Lee tus archivos Files.Read.All Verifica el acceso de los usuarios a archivos específicos.
Vea su perfil básico User.Read Identifica al usuario que ha iniciado sesión.
Mantenga el acceso a los datos a los que le ha dado acceso offline_access Actualiza los tokens para que los usuarios no tengan que volver a autenticarse con frecuencia.

La comprobación de ACL en tiempo real utiliza una aplicación Microsoft Entra independiente de la que se utiliza en la configuración gestionada por el usuario o en el registro de la aplicación gestionada por el administrador. Si su organización requiere el consentimiento del administrador, un administrador debe conceder el consentimiento para cada aplicación de forma independiente.

Al habilitar la administración de ACL durante la creación de la base de conocimientos, la consola Amazon Quick proporciona un enlace directo para conceder el consentimiento del administrador. Este enlace es para la aplicación de ACL en tiempo real. Si es administrador de Microsoft 365, puede conceder el consentimiento directamente desde la consola. De lo contrario, comparte el enlace con tu administrador.

Si no se concede el consentimiento del administrador, cada usuario verá el cuadro de diálogo de consentimiento en su primera consulta relacionada con SharePoint el contenido. Tras aceptarla, no se le volverá a preguntar hasta transcurridos aproximadamente 90 días.

Para obtener instrucciones detalladas sobre cómo conceder el consentimiento del administrador a través del cuadro de diálogo de consentimiento o del centro de administración de Microsoft Entra, consulteOtorgue el consentimiento del administrador de toda la organización.

Siguientes pasos

Para obtener más información sobre las prácticas recomendadas de ACL, consulteMejores prácticas de gestión ACLs en bases de conocimiento. Para obtener información sobre la creación de bases de SharePoint conocimiento administradas por el administrador, consulte. Configuración gestionada por el administrador (credenciales de servicio)