Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar credenciales de servicio
Antes de crear la base de conocimientos en Amazon Quick, complete los siguientes pasos de configuración en AWS un ID de Microsoft Entra. Debe crear una clave de firma de KMS, generar un certificado, registrar una aplicación en Entra y conceder permiso a Amazon Quick para usar la clave.
Esta configuración implica varios sistemas y puede requerir la coordinación entre los distintos administradores de la organización. En la siguiente tabla se resume cada paso y la función necesaria para completarlo.
**Pasos y funciones de configuración**
| Paso | ¿Qué haces | ¿Rol necesario |
| --- | --- | --- |
| 1. Clave de KMS | Cree una clave de firma asimétrica en AWS KMS. | AWS administrador (acceso a las consolas de KMS e IAM) |
| 2. Certificate | Genere un certificado autofirmado con la clave pública de KMS. | Igual que en el paso 1 (se AWS requieren CLI y OpenSSL) |
| 3. Ingresa a la aplicación | Registre una aplicación en Microsoft Entra, asigne permisos de API y cargue el certificado. | Administrador global de Microsoft 365 o administrador con roles privilegiados |
| 3b. Sitios. Seleccionados (opcional) | Crea una aplicación de administración temporal y concede permisos por sitio mediante la API de Microsoft Graph. | Microsoft 365 Global Admin (igual que en el paso 3) |
| 4. Acceso mediante clave KMS | Conceda permiso a Amazon Quick para usar la clave KMS para firmar. | Administrador de Amazon Quick (Admin Pro) |
| 5. Crear KB | Cree la base de conocimientos en Amazon Quick con las credenciales de los pasos anteriores. | Cualquier usuario de Amazon Quick (Author Pro o Admin Pro) |
**sugerencia**
En muchas organizaciones, una sola persona con acceso AWS de administrador a Microsoft 365 puede completar todos los pasos. Si las responsabilidades se dividen entre los equipos, comparte esta tabla para coordinar la configuración.
## Requisitos previos
Antes de comenzar, asegúrese de que dispone de lo siguiente:
+ Una AWS cuenta con una instancia de Amazon Quick activa.
+ Acceso a la consola AWS KMS (para crear la clave de firma).
+ Acceso de administrador rápido a Amazon (función Admin Pro) para conceder permisos de clave de KMS.
+ Un inquilino de Microsoft 365 con SharePoint Online.
+ Acceso de administrador global o administrador de rol privilegiado en Microsoft Entra ID.
+ OpenSSL 3.0 o posterior y AWS CLI instalada localmente.
+ La AWS cuenta y la instancia rápida de Amazon deben estar en la misma región.
## Permisos
Los permisos que asigne dependen de dos opciones:
+ Si planea habilitar el control de acceso a nivel de documento (rastreo de ACL).
+ Si desea conceder acceso a todos los SharePoint sitios o solo a sitios específicos.
### Elige el alcance de tus permisos
De forma predeterminada, el registro de la aplicación Entra utiliza `Sites.Read.All` o`Sites.FullControl.All`, que permite el acceso a todos los SharePoint sitios de tu inquilino. Si su organización requiere un acceso con privilegios mínimos, puede usarlo en su lugar. `Sites.Selected` Con`Sites.Selected`, la aplicación solo puede acceder a los sitios a los que concedas permiso de forma explícita.
**Comparación del alcance de los permisos**
| Alcance | Acceso | Pasos adicionales |
| --- | --- | --- |
| Todos los sitios (predeterminado) | La aplicación puede leer todos los SharePoint sitios del inquilino. | — |
| Sites.Selected | La aplicación solo puede acceder a los sitios que tú concedas explícitamente. | Requiere una aplicación de administración temporal y una llamada a la API de Microsoft Graph para cada sitio. Consulte [Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected)](#sharepoint-kb-admin-sites-selected). |
**nota**
Si la utilizas`Sites.Selected`, debes conceder el acceso a cada sitio de forma individual. Cualquier sitio nuevo que se añada a la base de conocimientos en el futuro también requerirá una concesión de permiso independiente.
**Todos los sitios: solo contenido (sin ACL)**
**Permisos de solo contenido**
| API | Permiso | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Read.All | Aplicación |
| SharePoint REST | Sites.Read.All | Aplicación |
**Todos los sitios: con rastreo de ACL**
**Permisos de rastreo de ACL**
| API | Permiso | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Read.All | Aplicación |
| Microsoft Graph | User.Read.All | Aplicación |
| Microsoft Graph | GroupMember.Read.All | Aplicación |
| SharePoint REST | Sites.FullControl.All | Aplicación |
**importante**
Elija los permisos para todos los sitios de las tablas anteriores o los `Sites.Selected` permisos de las tablas siguientes. No combine ambos. Si no está seguro, comience con todos los sitios. Puedes crear un nuevo registro en la aplicación Entra `Sites.Selected` más adelante si es necesario.
**Sitios seleccionados: solo contenido (sin ACL)**
**Sitios. Permisos de solo contenido seleccionados**
| API | Permiso | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Selected | Aplicación |
| SharePoint REST | Sites.Selected | Aplicación |
**Sites.Selected: con rastreo de ACL**
**Sitios. Permisos de rastreo de ACL seleccionados**
| API | Permiso | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Selected | Aplicación |
| Microsoft Graph | User.Read.All | Aplicación |
| Microsoft Graph | GroupMember.Read.All | Aplicación |
| SharePoint REST | Sites.Selected | Aplicación |
**nota**
OneNote crawling (`Notes.Read.All`) no se admite en la configuración gestionada por el administrador. Microsoft retiró los tokens exclusivos para aplicaciones el 31 de OneNote APIs marzo de 2025. Úsalo [Configuración gestionada por el usuario](sharepoint-kb-user-managed.md) para contenido. OneNote
## Valores recopilados durante la configuración
En la siguiente tabla se resumen los valores que se crean o recopilan durante la configuración y dónde se utilizan.
**Referencia de valores**
| Valor | Creado paso a paso | Se usa en pasos |
| --- | --- | --- |
| ARN de clave KMS | 1 (KM) | 2 (certificado), 4 (IAM), configuración rápida |
| Archivo de certificado () certificate.cer | 2 (Certificado) | 3 (Introduzca la carga) |
| Huella digital del certificado (base64url) | 2 (Certificado) | Configuración rápida |
| ID de solicitud (cliente) | 3 (Entra) | Configuración rápida |
| ID de directorio (inquilino) | 3 (Entra) | Configuración rápida |
| SharePoint URL del dominio | Su inquilino de M365 | Configuración rápida |
## Paso 1: Cree una clave de firma asimétrica de AWS KMS
Amazon Quick utiliza una clave asimétrica de AWS KMS para firmar OAuth las afirmaciones al autenticarse con Microsoft Entra ID. La clave privada nunca sale de KMS. Solo la clave pública se exporta y se incrusta en un certificado que se carga en el registro de la aplicación Entra.
### Crea la clave KMS
1. Abra la [AWS consola de KMS](https://console.aws.amazon.com/kms).
1. En el panel de navegación izquierdo, elija **Claves administradas por el cliente**.
1. Elija **Crear clave**.
### Configure la clave
En la página **Configurar clave**, defina los siguientes valores:
**Configuración de claves de KMS**
| Opción | Valor |
| --- | --- |
| Tipo de clave | Asimétrica |
| Uso de clave | Firmar y verificar |
| Especificación de clave | RSA\$12048 |
| Origen del material de claves | KMS (recomendado) |
| Regionalidad | Clave de región única (predeterminada). No se admiten las claves multirregionales. |
### Añadir etiquetas
En la página **Añadir etiquetas**, introduce un alias para la clave. Por ejemplo: `quick-sharepoint-service-auth`.
**nota**
Los permisos de administrador y uso de claves en las siguientes páginas son opcionales. Los valores predeterminados son suficientes para esta configuración. Concedes a Amazon Quick acceso a la clave por separado en el paso 4.
Selecciona **Omitir para revisar** y, a continuación, selecciona **Finalizar** para crear la clave.
### Registre el ARN clave
Una vez creada la clave, abra la página de detalles de la clave y registre el ARN de la **clave**. El ARN tiene el siguiente formato:
```
arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
Necesitará este valor en los pasos 2 y 4 y al crear la base de conocimientos en Quick.
## Paso 2: generar un certificado autofirmado
El Microsoft Entra ID requiere un certificado X.509 para validar las afirmaciones firmadas. Como la clave privada de KMS nunca sale de AWS KMS, no puede usarla directamente con OpenSSL. En su lugar, se genera un key pair local temporal y se crea una solicitud de firma de certificado. A continuación, utilice la opción `-force_pubkey` OpenSSL para inyectar la clave pública de KMS en el certificado final. El resultado es un certificado autofirmado cuya clave pública coincide con el par de claves KMS.
### Requisitos previos
+ AWS CLI instalada y configurada.
+ OpenSSL 3.0 o posterior.
+ El ARN clave KMS del paso 1.
### Genere el certificado
Ejecute los siguientes comandos en una terminal. Sustituya los *placeholder* valores por los suyos.
**Verificar la versión de OpenSSL**
```
openssl version
```
Confirme que el resultado muestre la versión 3.0 o posterior.
**Exporte la clave pública de KMS**
```
aws kms get-public-key \
--key-id KMS_KEY_ARN \
--region REGION \
--output text \
--query PublicKey | base64 --decode > public_key.der
```
**nota**
En macOS, usa `base64 --decode` o `base64 -D` según tu entorno de shell.
**Convierte la clave pública al formato PEM**
```
openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem
```
**Generar un key pair local temporal**
```
openssl genrsa -out temp_private_key.pem 2048
```
**Cree una solicitud de firma de certificado**
```
openssl req -new \
-key temp_private_key.pem \
-out cert.csr \
-subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"
```
**Genere el certificado con la clave pública de KMS**
```
openssl x509 -req \
-in cert.csr \
-signkey temp_private_key.pem \
-out certificate.pem \
-days 730 \
-force_pubkey kms_public_key.pem
```
**nota**
OpenSSL muestra la advertencia. `Signature key and public key of cert do not match` Esto es lo esperado porque el certificado está firmado con la clave local temporal, pero contiene la clave pública de KMS. El certificado es válido y funciona correctamente con Microsoft Entra.
**Conviértelo al formato DER para cargar Entra**
```
openssl x509 -in certificate.pem -outform DER -out certificate.cer
```
**Limpia los archivos temporales**
```
rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
```
**importante**
Conserve el `certificate.cer` archivo. Lo subes a Microsoft Entra ID en el paso 3.
### Calcule la huella digital del certificado
Ejecute el siguiente comando para calcular la huella digital SHA-1 del certificado codificada en la URL base64:
```
openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='
```
Registre este valor. Se introduce al crear la base de conocimientos en Quick.
**nota**
La huella digital codificada en base64url es diferente de la huella digital hexadecimal que se muestra en el portal Microsoft Entra. Quick requiere el formato base64url.
## Paso 3: Registrar una aplicación en Microsoft Entra ID
Este paso es obligatorio independientemente de si utiliza permisos para todos los sitios o`Sites.Selected`. La única diferencia son los permisos de API que asignas en la [Configure los permisos de la API](#sharepoint-kb-admin-entra-permissions) sección.
### Registra la aplicación
1. Inicie sesión en el [Centro de administración de Microsoft Entra](https://entra.microsoft.com/).
1. En el menú de navegación de la izquierda, expande **Entra ID** y selecciona **Registros de aplicaciones.**
1. Selecciona **Nuevo registro**.
1. En **Nombre**, escriba `QuickSharePointServiceAuth`.
1. Para los **tipos de cuentas compatibles**, selecciona **Solo cuentas de este directorio organizativo (arrendatario único)**.
1. Deje el **URI de redireccionamiento** en blanco. No se requiere un URI de redireccionamiento porque la aplicación usa el flujo de credenciales del cliente, no un flujo de inicio de sesión interactivo.
1. Elija **Registro**.
### Registre los detalles de la aplicación
En la página de **descripción general** de la aplicación, registre los siguientes valores:
**Detalles de la aplicación**
| Valor | Ubicación |
| --- | --- |
| ID de aplicación (cliente) | Se muestran en la página de descripción general, en Elementos esenciales. |
| ID de directorio (inquilino) | Se muestra en la página de información general, en Elementos esenciales. |
### Configure los permisos de la API
Añada los permisos que coincidan con su caso de uso. Elija los permisos de las tablas de la [Permisos](#sharepoint-kb-admin-config-permissions) sección. Base su selección en el ámbito de sus permisos (todos los sitios o Sites.Selected) y en si habilita el rastreo de ACL.
**Solo contenido: Microsoft Graph**
+ `Sites.Read.All`
**Solo contenido: SharePoint**
+ `Sites.Read.All`
**Rastreo de ACL: Microsoft Graph (adicional)**
+ `Sites.Read.All`
+ `User.Read.All`
+ `GroupMember.Read.All`
**Rastreo de ACL: SharePoint**
+ `Sites.FullControl.All`
**nota**
`Sites.FullControl.All`es necesario para el rastreo de ACL porque la API SharePoint REST requiere permisos de control total para leer las asignaciones de permisos a nivel de sitio y elemento. Si la está utilizando`Sites.Selected`, consulte [Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected)](#sharepoint-kb-admin-sites-selected) el conjunto de permisos alternativo.
1. En el menú de navegación izquierdo del registro de la aplicación, selecciona **los permisos de la API**.
1. Elija **Agregar un permiso**.
1. Elige **Microsoft Graph**.
1. Elija **Permisos de aplicación**.
1. Busque y seleccione los permisos de Microsoft Graph necesarios para su caso de uso y, a continuación, elija **Agregar permisos**.
1. **Vuelva a seleccionar Añadir un permiso**.
1. Elija **SharePoint**(en Microsoft APIs).
1. Elija **Permisos de aplicación**.
1. Busque y seleccione los SharePoint permisos necesarios para su caso de uso y, a continuación, elija **Agregar permisos**.
**importante**
Seleccione la pestaña **Permisos de la aplicación**, no **los permisos delegados**. La configuración gestionada por el administrador utiliza el flujo de credenciales del cliente, que requiere permisos de aplicación.
### Otorgue el consentimiento del administrador
1. En la página de **permisos de la API**, selecciona **Otorgar el consentimiento de administrador a [Tu organización]**.
1. Confirme el consentimiento cuando se le solicite.
**importante**
Se requiere el consentimiento del administrador para obtener los permisos de la aplicación. Sin él, la aplicación no puede acceder a SharePoint los datos.
### Cargue el certificado
1. En el menú de navegación izquierdo del registro de la aplicación, selecciona **Certificados y secretos**.
1. Seleccione la pestaña **Certificados**.
1. Selecciona **Cargar certificado**.
1. Seleccione el `certificate.cer` archivo que generó en el paso 2.
1. Elija **Añadir**.
**nota**
El portal Entra muestra la huella digital del certificado en formato hexadecimal. Es diferente de la huella digital codificada en base64url que calculó en el paso 2. Utilice el valor base64url al configurar la base de conocimientos en Quick.
## Paso 3b: Otorgar permisos a nivel de sitio (solo Sites. Selected)
Si has elegido `Sites.Selected` el ámbito de tu permiso, debes conceder de forma explícita a tu aplicación Amazon Quick Entra acceso a cada SharePoint sitio. Esto requiere una aplicación de administración temporal con `Sites.FullControl.All` permiso para llamar a la API de Microsoft Graph.
Omita este paso si está utilizando el ámbito de permisos para todos los sitios (`Sites.Read.All`o`Sites.FullControl.All`).
### Obtenga el ID de sitio de cada SharePoint sitio
Necesitas el ID de sitio de cada SharePoint sitio al que quieras conceder acceso. Para obtener un ID de sitio:
1. En tu navegador, navega hasta el SharePoint sitio (por ejemplo,`https://yourcompany.sharepoint.com/sites/SiteName`).
1. Añada el `/_api/site/id` texto a la URL y pulse Entrar. Por ejemplo: `https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id`
1. La página muestra una respuesta XML que contiene el ID del sitio (un GUID). Registre este valor.
Repita el procedimiento para cada sitio que desee incluir en la base de conocimientos.
### Crea una aplicación de administración temporal
La aplicación de administración solo se usa para conceder permisos a nivel de sitio a tu aplicación Amazon Quick. Puedes eliminarla después de completar este paso.
1. En el [centro de administración de Microsoft Entra](https://entra.microsoft.com/), ve a **Registros de aplicaciones** y selecciona **Nuevo registro**.
1. En **Nombre**, introduce un nombre descriptivo, como`Quick-SharePoint-PermissionGranter`.
1. Para los **tipos de cuentas compatibles**, selecciona **Solo cuentas de este directorio organizativo (arrendatario único)**.
1. Deje el **URI de redireccionamiento** en blanco y elija **Registrar**.
1. Registre el **ID de la aplicación (cliente)** en la página de descripción general.
1. Selecciona **Permisos de API** y, a continuación, **Añadir un permiso**.
1. Seleccione **Microsoft Graph** y, a continuación, **Permisos de aplicación**. Busque y seleccione`Sites.FullControl.All`. Elija **Añadir permisos**.
1. Selecciona **Otorgar el consentimiento del administrador a [Tu organización]** y confirma.
1. Selecciona **Certificados y secretos y**, a continuación, **Nuevo secreto de cliente**. Introduce una descripción, elige un período de caducidad y selecciona **Añadir**.
1. Registre el **valor** secreto inmediatamente. Este valor solo se muestra una vez.
**importante**
Copie el **valor** secreto, no el identificador secreto. El valor es la cadena más larga que se utiliza para la autenticación.
### Obtenga un token de acceso
Usa las credenciales de la aplicación de administración para recuperar un OAuth token de Microsoft Entra. Sustituya los *placeholder* valores por el ID de cliente, el valor secreto y el ID de inquilino de la aplicación de administración.
**macOS y Linux (bash)**
```
curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "grant_type=client_credentials" \
--data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
--data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
--data-urlencode "scope=https://graph.microsoft.com/.default"
```
**Windows () PowerShell**
```
$tokenResponse = Invoke-RestMethod `
-Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
-Method Post `
-ContentType "application/x-www-form-urlencoded" `
-Body @{
grant_type = "client_credentials"
client_id = "ADMIN_APP_CLIENT_ID"
client_secret = "ADMIN_APP_SECRET_VALUE"
scope = "https://graph.microsoft.com/.default"
}
$adminToken = $tokenResponse.access_token
```
La respuesta contiene un `access_token` campo. Registre este valor para el siguiente paso.
### Otorgue permisos a nivel de sitio
Usa el token de administrador para conceder a tu aplicación Amazon Quick Entra `fullcontrol` acceso a cada SharePoint sitio. Sustituya los *placeholder* valores por el ID del sitio, el token de administrador y el ID y el nombre para mostrar de la aplicación cliente del paso 3.
**macOS y Linux (bash)**
```
curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ADMIN_TOKEN" \
--data '{
"roles": ["fullcontrol"],
"grantedToIdentities": [{
"application": {
"id": "CLIENT_APP_ID",
"displayName": "CLIENT_APP_NAME"
}
}]
}'
```
**Windows () PowerShell**
```
$body = @{
roles = @("fullcontrol")
grantedToIdentities = @(
@{
application = @{
id = "CLIENT_APP_ID"
displayName = "CLIENT_APP_NAME"
}
}
)
} | ConvertTo-Json -Depth 10
Invoke-RestMethod `
-Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
-Method Post `
-Headers @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $adminToken"
} `
-Body $body
```
Una respuesta correcta incluye `"roles": ["fullcontrol"]` el ID de la aplicación cliente en el `grantedToIdentities` campo.
**importante**
Repita este comando para cada SharePoint sitio que desee incluir en la base de conocimientos. Todos los sitios nuevos que se agreguen en el futuro también requieren una concesión de permiso por separado.
### Limpieza
Una vez que hayas concedido los permisos a todos los sitios necesarios, puedes eliminar la aplicación de administración temporal del centro de administración de Microsoft Entra. Los permisos a nivel de sitio que has concedido permanecen en vigor independientemente de la aplicación de administración.
**nota**
La aplicación de administración temporal solo se usa en su entorno local para llamar a la API de Microsoft Graph. Amazon Quick nunca ve ni tiene acceso a la aplicación de administración ni a sus credenciales. Al crear la base de conocimientos, solo se proporcionan a Amazon Quick las credenciales de la aplicación cliente.
## Paso 4: Conceder permiso a Amazon Quick para la clave KMS
Amazon Quick necesita permiso para usar la clave KMS para firmar OAuth las afirmaciones. Concedes este permiso desde la consola de administración de Amazon Quick.
**nota**
Este paso requiere acceso de administrador a Amazon Quick (rol Admin Pro). Si no es administrador, pida a su administrador de Amazon Quick que complete este paso con la clave KMS ARN del paso 1.
**importante**
Si su organización administra su propia función de servicio Amazon Quick IAM, es posible que no se apliquen los siguientes pasos de la consola. En su lugar, asegúrese de que el rol tenga `kms:Sign` permiso en la clave ARN de KMS del paso 1.
1. En Amazon Quick, selecciona **Administrar cuenta** en el panel de navegación izquierdo.
1. En **Permisos**, selecciona **AWS recursos**.
1. En la página de AWS recursos, desplázate hasta **Servicio de administración de AWS claves** y selecciona la casilla de verificación.
1. Selecciona **Seleccionar claves**.
1. **En el cuadro de diálogo **Seleccionar claves de KMS**, introduzca el ARN de clave de KMS que grabó en el paso 1 y seleccione Añadir.**
1. La clave ARN aparece en la lista. Seleccione **Finalizar**.
1. Seleccione **Guardar** en la parte inferior de la página de AWS recursos.
## Siguientes pasos
Tras completar la configuración, cree la conexión a la base de conocimientos SharePoint online en Amazon Quick. Para obtener instrucciones, consulte [Cree la base de conocimientos en Amazon Quick](sharepoint-kb-admin-connection.md).