View a markdown version of this page

Configurar credenciales de servicio - Amazon Quick
Requisitos previosPermisosValores recopilados durante la configuraciónPaso 1: Cree una clave de firma asimétrica de AWS KMSPaso 2: generar un certificado autofirmadoPaso 3: Registrar una aplicación en Microsoft Entra IDPaso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected)Paso 4: Conceder permiso a Amazon Quick para la clave KMSSiguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar credenciales de servicio

Antes de crear la base de conocimientos en Amazon Quick, complete los siguientes pasos de configuración en AWS un ID de Microsoft Entra. Debe crear una clave de firma de KMS, generar un certificado, registrar una aplicación en Entra y conceder permiso a Amazon Quick para usar la clave.

Esta configuración implica varios sistemas y puede requerir la coordinación entre los distintos administradores de la organización. En la siguiente tabla se resume cada paso y la función necesaria para completarlo.

Pasos y funciones de configuración
Paso ¿Qué haces ¿Rol necesario
1. Clave de KMS Cree una clave de firma asimétrica en AWS KMS. AWS administrador (acceso a las consolas de KMS e IAM)
2. Certificate Genere un certificado autofirmado con la clave pública de KMS. Igual que en el paso 1 (se AWS requieren CLI y OpenSSL)
3. Ingresa a la aplicación Registre una aplicación en Microsoft Entra, asigne permisos de API y cargue el certificado. Administrador global de Microsoft 365 o administrador con roles privilegiados
3b. Sitios. Seleccionados (opcional) Crea una aplicación de administración temporal y concede permisos por sitio mediante la API de Microsoft Graph. Microsoft 365 Global Admin (igual que en el paso 3)
4. Acceso mediante clave KMS Conceda permiso a Amazon Quick para usar la clave KMS para firmar. Administrador de Amazon Quick (Admin Pro)
5. Crear KB Cree la base de conocimientos en Amazon Quick con las credenciales de los pasos anteriores. Cualquier usuario de Amazon Quick (Author Pro o Admin Pro)
sugerencia

En muchas organizaciones, una sola persona con acceso AWS de administrador a Microsoft 365 puede completar todos los pasos. Si las responsabilidades se dividen entre los equipos, comparte esta tabla para coordinar la configuración.

Requisitos previos

Antes de comenzar, asegúrese de que dispone de lo siguiente:

  • Una AWS cuenta con una instancia de Amazon Quick activa.

  • Acceso a la consola AWS KMS (para crear la clave de firma).

  • Acceso de administrador rápido a Amazon (función Admin Pro) para conceder permisos de clave de KMS.

  • Un inquilino de Microsoft 365 con SharePoint Online.

  • Acceso de administrador global o administrador de rol privilegiado en Microsoft Entra ID.

  • OpenSSL 3.0 o posterior y AWS CLI instalada localmente.

  • La AWS cuenta y la instancia rápida de Amazon deben estar en la misma región.

Permisos

Los permisos que asigne dependen de dos opciones:

  • Si planea habilitar el control de acceso a nivel de documento (rastreo de ACL).

  • Si desea conceder acceso a todos los SharePoint sitios o solo a sitios específicos.

Elige el alcance de tus permisos

De forma predeterminada, el registro de la aplicación Entra utiliza Sites.Read.All oSites.FullControl.All, que permite el acceso a todos los SharePoint sitios de tu inquilino. Si su organización requiere un acceso con privilegios mínimos, puede usarlo en su lugar. Sites.Selected ConSites.Selected, la aplicación solo puede acceder a los sitios a los que concedas permiso de forma explícita.

Comparación del alcance de los permisos
Alcance Acceso Pasos adicionales
Todos los sitios (predeterminado) La aplicación puede leer todos los SharePoint sitios del inquilino.
Sites.Selected La aplicación solo puede acceder a los sitios que tú concedas explícitamente. Requiere una aplicación de administración temporal y una llamada a la API de Microsoft Graph para cada sitio. Consulte Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected).
nota

Si la utilizasSites.Selected, debes conceder el acceso a cada sitio de forma individual. Cualquier sitio nuevo que se añada a la base de conocimientos en el futuro también requerirá una concesión de permiso independiente.

Todos los sitios: solo contenido (sin ACL)

Permisos de solo contenido
API Permiso Tipo
Microsoft Graph Sites.Read.All Aplicación
SharePoint REST Sites.Read.All Aplicación

Todos los sitios: con rastreo de ACL

Permisos de rastreo de ACL
API Permiso Tipo
Microsoft Graph Sites.Read.All Aplicación
Microsoft Graph User.Read.All Aplicación
Microsoft Graph GroupMember.Read.All Aplicación
SharePoint REST Sites.FullControl.All Aplicación
importante

Elija los permisos para todos los sitios de las tablas anteriores o los Sites.Selected permisos de las tablas siguientes. No combine ambos. Si no está seguro, comience con todos los sitios. Puedes crear un nuevo registro en la aplicación Entra Sites.Selected más adelante si es necesario.

Sitios seleccionados: solo contenido (sin ACL)

Sitios. Permisos de solo contenido seleccionados
API Permiso Tipo
Microsoft Graph Sites.Selected Aplicación
SharePoint REST Sites.Selected Aplicación

Sites.Selected: con rastreo de ACL

Sitios. Permisos de rastreo de ACL seleccionados
API Permiso Tipo
Microsoft Graph Sites.Selected Aplicación
Microsoft Graph User.Read.All Aplicación
Microsoft Graph GroupMember.Read.All Aplicación
SharePoint REST Sites.Selected Aplicación
nota

OneNote crawling (Notes.Read.All) no se admite en la configuración gestionada por el administrador. Microsoft retiró los tokens exclusivos para aplicaciones el 31 de OneNote APIs marzo de 2025. Úsalo Configuración gestionada por el usuario para contenido. OneNote

Valores recopilados durante la configuración

En la siguiente tabla se resumen los valores que se crean o recopilan durante la configuración y dónde se utilizan.

Referencia de valores
Valor Creado paso a paso Se usa en pasos
ARN de clave KMS 1 (KM) 2 (certificado), 4 (IAM), configuración rápida
Archivo de certificado () certificate.cer 2 (Certificado) 3 (Introduzca la carga)
Huella digital del certificado (base64url) 2 (Certificado) Configuración rápida
ID de solicitud (cliente) 3 (Entra) Configuración rápida
ID de directorio (inquilino) 3 (Entra) Configuración rápida
SharePoint URL del dominio Su inquilino de M365 Configuración rápida

Paso 1: Cree una clave de firma asimétrica de AWS KMS

Amazon Quick utiliza una clave asimétrica de AWS KMS para firmar OAuth las afirmaciones al autenticarse con Microsoft Entra ID. La clave privada nunca sale de KMS. Solo la clave pública se exporta y se incrusta en un certificado que se carga en el registro de la aplicación Entra.

Crea la clave KMS

  1. Abra la AWS consola de KMS.

  2. En el panel de navegación izquierdo, elija Claves administradas por el cliente.

  3. Elija Crear clave.

Configure la clave

En la página Configurar clave, defina los siguientes valores:

Configuración de claves de KMS
Opción Valor
Tipo de clave Asimétrica
Uso de clave Firmar y verificar
Especificación de clave RSA_2048
Origen del material de claves KMS (recomendado)
Regionalidad Clave de región única (predeterminada). No se admiten las claves multirregionales.

Añadir etiquetas

En la página Añadir etiquetas, introduce un alias para la clave. Por ejemplo: quick-sharepoint-service-auth.

nota

Los permisos de administrador y uso de claves en las siguientes páginas son opcionales. Los valores predeterminados son suficientes para esta configuración. Concedes a Amazon Quick acceso a la clave por separado en el paso 4.

Selecciona Omitir para revisar y, a continuación, selecciona Finalizar para crear la clave.

Registre el ARN clave

Una vez creada la clave, abra la página de detalles de la clave y registre el ARN de la clave. El ARN tiene el siguiente formato:

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Necesitará este valor en los pasos 2 y 4 y al crear la base de conocimientos en Quick.

Paso 2: generar un certificado autofirmado

El Microsoft Entra ID requiere un certificado X.509 para validar las afirmaciones firmadas. Como la clave privada de KMS nunca sale de AWS KMS, no puede usarla directamente con OpenSSL. En su lugar, se genera un key pair local temporal y se crea una solicitud de firma de certificado. A continuación, utilice la opción -force_pubkey OpenSSL para inyectar la clave pública de KMS en el certificado final. El resultado es un certificado autofirmado cuya clave pública coincide con el par de claves KMS.

Requisitos previos

  • AWS CLI instalada y configurada.

  • OpenSSL 3.0 o posterior.

  • El ARN clave KMS del paso 1.

Genere el certificado

Ejecute los siguientes comandos en una terminal. Sustituya los placeholder valores por los suyos.

Verificar la versión de OpenSSL

openssl version

Confirme que el resultado muestre la versión 3.0 o posterior.

Exporte la clave pública de KMS

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
nota

En macOS, usa base64 --decode o base64 -D según tu entorno de shell.

Convierte la clave pública al formato PEM

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Generar un key pair local temporal

openssl genrsa -out temp_private_key.pem 2048

Cree una solicitud de firma de certificado

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Genere el certificado con la clave pública de KMS

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
nota

OpenSSL muestra la advertencia. Signature key and public key of cert do not match Esto es lo esperado porque el certificado está firmado con la clave local temporal, pero contiene la clave pública de KMS. El certificado es válido y funciona correctamente con Microsoft Entra.

Conviértelo al formato DER para cargar Entra

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Limpia los archivos temporales

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
importante

Conserve el certificate.cer archivo. Lo subes a Microsoft Entra ID en el paso 3.

Calcule la huella digital del certificado

Ejecute el siguiente comando para calcular la huella digital SHA-1 del certificado codificada en la URL base64:

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Registre este valor. Se introduce al crear la base de conocimientos en Quick.

nota

La huella digital codificada en base64url es diferente de la huella digital hexadecimal que se muestra en el portal Microsoft Entra. Quick requiere el formato base64url.

Paso 3: Registrar una aplicación en Microsoft Entra ID

Este paso es obligatorio independientemente de si utiliza permisos para todos los sitios oSites.Selected. La única diferencia son los permisos de API que asignas en la Configure los permisos de la API sección.

Registra la aplicación

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. En el menú de navegación de la izquierda, expande Entra ID y selecciona Registros de aplicaciones.

  3. Selecciona Nuevo registro.

  4. En Nombre, escriba QuickSharePointServiceAuth.

  5. Para los tipos de cuentas compatibles, selecciona Solo cuentas de este directorio organizativo (arrendatario único).

  6. Deje el URI de redireccionamiento en blanco. No se requiere un URI de redireccionamiento porque la aplicación usa el flujo de credenciales del cliente, no un flujo de inicio de sesión interactivo.

  7. Elija Registro.

Registre los detalles de la aplicación

En la página de descripción general de la aplicación, registre los siguientes valores:

Detalles de la aplicación
Valor Ubicación
ID de aplicación (cliente) Se muestran en la página de descripción general, en Elementos esenciales.
ID de directorio (inquilino) Se muestra en la página de información general, en Elementos esenciales.

Configure los permisos de la API

Añada los permisos que coincidan con su caso de uso. Elija los permisos de las tablas de la Permisos sección. Base su selección en el ámbito de sus permisos (todos los sitios o Sites.Selected) y en si habilita el rastreo de ACL.

Solo contenido: Microsoft Graph

  • Sites.Read.All

Solo contenido: SharePoint

  • Sites.Read.All

Rastreo de ACL: Microsoft Graph (adicional)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

Rastreo de ACL: SharePoint

  • Sites.FullControl.All

nota

Sites.FullControl.Alles necesario para el rastreo de ACL porque la API SharePoint REST requiere permisos de control total para leer las asignaciones de permisos a nivel de sitio y elemento. Si la está utilizandoSites.Selected, consulte Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected) el conjunto de permisos alternativo.

  1. En el menú de navegación izquierdo del registro de la aplicación, selecciona los permisos de la API.

  2. Elija Agregar un permiso.

  3. Elige Microsoft Graph.

  4. Elija Permisos de aplicación.

  5. Busque y seleccione los permisos de Microsoft Graph necesarios para su caso de uso y, a continuación, elija Agregar permisos.

  6. Vuelva a seleccionar Añadir un permiso.

  7. Elija SharePoint(en Microsoft APIs).

  8. Elija Permisos de aplicación.

  9. Busque y seleccione los SharePoint permisos necesarios para su caso de uso y, a continuación, elija Agregar permisos.

importante

Seleccione la pestaña Permisos de la aplicación, no los permisos delegados. La configuración gestionada por el administrador utiliza el flujo de credenciales del cliente, que requiere permisos de aplicación.

  1. En la página de permisos de la API, selecciona Otorgar el consentimiento de administrador a [Tu organización].

  2. Confirme el consentimiento cuando se le solicite.

importante

Se requiere el consentimiento del administrador para obtener los permisos de la aplicación. Sin él, la aplicación no puede acceder a SharePoint los datos.

Cargue el certificado

  1. En el menú de navegación izquierdo del registro de la aplicación, selecciona Certificados y secretos.

  2. Seleccione la pestaña Certificados.

  3. Selecciona Cargar certificado.

  4. Seleccione el certificate.cer archivo que generó en el paso 2.

  5. Elija Añadir.

nota

El portal Entra muestra la huella digital del certificado en formato hexadecimal. Es diferente de la huella digital codificada en base64url que calculó en el paso 2. Utilice el valor base64url al configurar la base de conocimientos en Quick.

Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected)

Si has elegido Sites.Selected el ámbito de tu permiso, debes conceder de forma explícita a tu aplicación Amazon Quick Entra acceso a cada SharePoint sitio. Esto requiere una aplicación de administración temporal con Sites.FullControl.All permiso para llamar a la API de Microsoft Graph.

Omita este paso si está utilizando el ámbito de permisos para todos los sitios (Sites.Read.AlloSites.FullControl.All).

Obtenga el ID de sitio de cada SharePoint sitio

Necesitas el ID de sitio de cada SharePoint sitio al que quieras conceder acceso. Para obtener un ID de sitio:

  1. En tu navegador, navega hasta el SharePoint sitio (por ejemplo,https://yourcompany.sharepoint.com/sites/SiteName).

  2. Añada el /_api/site/id texto a la URL y pulse Entrar. Por ejemplo: https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. La página muestra una respuesta XML que contiene el ID del sitio (un GUID). Registre este valor.

Repita el procedimiento para cada sitio que desee incluir en la base de conocimientos.

Crea una aplicación de administración temporal

La aplicación de administración solo se usa para conceder permisos a nivel de sitio a tu aplicación Amazon Quick. Puedes eliminarla después de completar este paso.

  1. En el centro de administración de Microsoft Entra, ve a Registros de aplicaciones y selecciona Nuevo registro.

  2. En Nombre, introduce un nombre descriptivo, comoQuick-SharePoint-PermissionGranter.

  3. Para los tipos de cuentas compatibles, selecciona Solo cuentas de este directorio organizativo (arrendatario único).

  4. Deje el URI de redireccionamiento en blanco y elija Registrar.

  5. Registre el ID de la aplicación (cliente) en la página de descripción general.

  6. Selecciona Permisos de API y, a continuación, Añadir un permiso.

  7. Seleccione Microsoft Graph y, a continuación, Permisos de aplicación. Busque y seleccioneSites.FullControl.All. Elija Añadir permisos.

  8. Selecciona Otorgar el consentimiento del administrador a [Tu organización] y confirma.

  9. Selecciona Certificados y secretos y, a continuación, Nuevo secreto de cliente. Introduce una descripción, elige un período de caducidad y selecciona Añadir.

  10. Registre el valor secreto inmediatamente. Este valor solo se muestra una vez.

importante

Copie el valor secreto, no el identificador secreto. El valor es la cadena más larga que se utiliza para la autenticación.

Obtenga un token de acceso

Usa las credenciales de la aplicación de administración para recuperar un OAuth token de Microsoft Entra. Sustituya los placeholder valores por el ID de cliente, el valor secreto y el ID de inquilino de la aplicación de administración.

macOS y Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Windows () PowerShell

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

La respuesta contiene un access_token campo. Registre este valor para el siguiente paso.

Otorgue permisos a nivel de sitio

Usa el token de administrador para conceder a tu aplicación Amazon Quick Entra fullcontrol acceso a cada SharePoint sitio. Sustituya los placeholder valores por el ID del sitio, el token de administrador y el ID y el nombre para mostrar de la aplicación cliente del paso 3.

macOS y Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Windows () PowerShell

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Una respuesta correcta incluye "roles": ["fullcontrol"] el ID de la aplicación cliente en el grantedToIdentities campo.

importante

Repita este comando para cada SharePoint sitio que desee incluir en la base de conocimientos. Todos los sitios nuevos que se agreguen en el futuro también requieren una concesión de permiso por separado.

Limpieza

Una vez que hayas concedido los permisos a todos los sitios necesarios, puedes eliminar la aplicación de administración temporal del centro de administración de Microsoft Entra. Los permisos a nivel de sitio que has concedido permanecen en vigor independientemente de la aplicación de administración.

nota

La aplicación de administración temporal solo se usa en su entorno local para llamar a la API de Microsoft Graph. Amazon Quick nunca ve ni tiene acceso a la aplicación de administración ni a sus credenciales. Al crear la base de conocimientos, solo se proporcionan a Amazon Quick las credenciales de la aplicación cliente.

Paso 4: Conceder permiso a Amazon Quick para la clave KMS

Amazon Quick necesita permiso para usar la clave KMS para firmar OAuth las afirmaciones. Concedes este permiso desde la consola de administración de Amazon Quick.

nota

Este paso requiere acceso de administrador a Amazon Quick (rol Admin Pro). Si no es administrador, pida a su administrador de Amazon Quick que complete este paso con la clave KMS ARN del paso 1.

importante

Si su organización administra su propia función de servicio Amazon Quick IAM, es posible que no se apliquen los siguientes pasos de la consola. En su lugar, asegúrese de que el rol tenga kms:Sign permiso en la clave ARN de KMS del paso 1.

  1. En Amazon Quick, selecciona Administrar cuenta en el panel de navegación izquierdo.

  2. En Permisos, selecciona AWS recursos.

  3. En la página de AWS recursos, desplázate hasta Servicio de administración de AWS claves y selecciona la casilla de verificación.

  4. Selecciona Seleccionar claves.

  5. En el cuadro de diálogo Seleccionar claves de KMS, introduzca el ARN de clave de KMS que grabó en el paso 1 y seleccione Añadir.

  6. La clave ARN aparece en la lista. Seleccione Finalizar.

  7. Seleccione Guardar en la parte inferior de la página de AWS recursos.

Siguientes pasos

Tras completar la configuración, cree la conexión a la base de conocimientos SharePoint online en Amazon Quick. Para obtener instrucciones, consulte Cree la base de conocimientos en Amazon Quick.