View a markdown version of this page

Configurer les informations d'identification du service - Amazon Quick
Conditions préalablesPermissionsValeurs collectées lors de la configurationÉtape 1 : Création d'une clé de signature asymétrique AWS KMSÉtape 2 : générer un certificat auto-signéÉtape 3 : enregistrer une application dans Microsoft Entra IDÉtape 3b : accorder des autorisations au niveau du site (uniquement) Sites.SelectedÉtape 4 : accorder à Amazon Quick l'autorisation d'accéder à la clé KMSÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les informations d'identification du service

Avant de créer la base de connaissances dans Amazon Quick, effectuez les étapes de configuration suivantes dans AWS un identifiant Microsoft Entra. Vous créez une clé de signature KMS, générez un certificat, enregistrez une application dans Entra et autorisez Amazon Quick à utiliser la clé.

Cette configuration implique plusieurs systèmes et peut nécessiter une coordination entre les différents administrateurs de votre organisation. Le tableau suivant récapitule chaque étape et le rôle requis pour la réaliser.

Étapes de configuration et rôles
Step (Étape) Ce que tu fais Rôle requis
1. Clé KMS Créez une clé de signature asymétrique dans AWS KMS. AWS administrateur (accès aux consoles KMS et IAM)
2. Certificat Générez un certificat auto-signé à l'aide de la clé publique KMS. Identique à l'étape 1 (AWS CLI et OpenSSL requis)
3. Entrez dans l'application Enregistrez une application dans Microsoft Entra, attribuez des autorisations d'API et téléchargez le certificat. Administrateur global ou administrateur de rôle privilégié Microsoft 365
3b. Sites.Selected (facultatif) Créez une application d'administration temporaire et accordez des autorisations par site via l'API Microsoft Graph. Microsoft 365 Global Admin (identique à l'étape 3)
4. Accès par clé KMS Accordez à Amazon Quick l'autorisation d'utiliser la clé KMS pour signer. Administrateur Amazon Quick (Admin Pro)
5. Créer KB Créez la base de connaissances dans Amazon Quick à l'aide des informations d'identification des étapes précédentes. Tout utilisateur d'Amazon Quick (Author Pro ou Admin Pro)
Astuce

Dans de nombreuses entreprises, une seule personne disposant à la fois d'un accès administrateur AWS et d'un accès administrateur Microsoft 365 peut effectuer toutes les étapes. Si les responsabilités sont réparties entre les équipes, partagez ce tableau pour coordonner la configuration.

Conditions préalables

Avant de commencer, assurez-vous de disposer des éléments suivants :

  • Un AWS compte avec une instance Amazon Quick active.

  • Accès à la console AWS KMS (pour créer la clé de signature).

  • Accès administrateur Amazon Quick (rôle Admin Pro) pour accorder des autorisations clés KMS.

  • Un client Microsoft 365 avec SharePoint Online.

  • Accès d'administrateur global ou d'administrateur de rôle privilégié dans l'identifiant Microsoft Entra.

  • OpenSSL 3.0 ou version ultérieure et AWS CLI installés localement.

  • Le AWS compte et l'instance Amazon Quick doivent se trouver dans la même région.

Permissions

Les autorisations que vous attribuez dépendent de deux choix :

  • Si vous envisagez d'activer le contrôle d'accès au niveau du document (analyse ACL).

  • Que vous souhaitiez accorder l'accès à tous les SharePoint sites ou uniquement à des sites spécifiques.

Choisissez le champ d'application de votre autorisation

Par défaut, l'enregistrement de l'application Entra utilise Sites.Read.All ouSites.FullControl.All, qui donne accès à tous les SharePoint sites de votre locataire. Si votre organisation a besoin d'un accès avec le moindre privilège, vous pouvez l'utiliser Sites.Selected à la place. AvecSites.Selected, l'application ne peut accéder qu'aux sites auxquels vous accordez explicitement l'autorisation.

Comparaison de l'étendue des autorisations
Scope Accès Étapes supplémentaires
Tous les sites (par défaut) L'application peut lire tous les SharePoint sites du locataire.
Sites.Selected L'application ne peut accéder qu'aux sites que vous autorisez explicitement. Nécessite une application d'administration temporaire et un appel d'API Microsoft Graph pour chaque site. Consultez Étape 3b : accorder des autorisations au niveau du site (uniquement) Sites.Selected.
Note

Si vous l'utilisezSites.Selected, vous devez accorder l'accès à chaque site individuellement. Tout nouveau site ajouté à la base de connaissances à l'avenir nécessite également une autorisation distincte.

Tous les sites — contenu uniquement (pas d'ACL)

Content-only autorisations
API Autorisations Type
Microsoft Graph Sites.Read.All Application
SharePoint REPOS Sites.Read.All Application

Tous les sites, avec exploration ACL

Autorisations d'exploration ACL
API Autorisations Type
Microsoft Graph Sites.Read.All Application
Microsoft Graph User.Read.All Application
Microsoft Graph GroupMember.Read.All Application
SharePoint REPOS Sites.FullControl.All Application
Important

Choisissez les autorisations pour tous les sites dans les tableaux précédents ou les Sites.Selected autorisations dans les tableaux suivants. Ne combinez pas les deux. En cas de doute, commencez par tous les sites. Vous pouvez créer une nouvelle inscription à l'application Entra Sites.Selected ultérieurement si nécessaire.

Sites.Selected — contenu uniquement (pas d'ACL)

Sites.Selected autorisations relatives au contenu uniquement
API Autorisations Type
Microsoft Graph Sites.Selected Application
SharePoint REPOS Sites.Selected Application

Sites.Selected — avec exploration ACL

Sites.Selected Autorisations d'exploration de l'ACL
API Autorisations Type
Microsoft Graph Sites.Selected Application
Microsoft Graph User.Read.All Application
Microsoft Graph GroupMember.Read.All Application
SharePoint REPOS Sites.Selected Application
Note

OneNote crawling (Notes.Read.All) n'est pas pris en charge dans la configuration gérée par l'administrateur. Microsoft a retiré les jetons réservés aux applications pour les OneNote API le 31 mars 2025. À utiliser User-managed configuration pour OneNote le contenu.

Valeurs collectées lors de la configuration

Le tableau suivant récapitule les valeurs que vous créez ou collectez lors de la configuration et indique où vous les utilisez.

Référence de valeurs
Value Créé en une étape Utilisé au fur et à mesure
ARN de la clé KMS 1 (KM) 2 (certificat), 4 (IAM), configuration rapide
Fichier de certificat (certificate.cer) 2 (Certificat) 3 (Entrer le téléchargement)
Empreinte numérique du certificat (base64url) 2 (Certificat) Configuration rapide
ID de l'application (client) 3 (Entrée) Configuration rapide
ID du répertoire (locataire) 3 (Entrée) Configuration rapide
SharePoint URL du domaine Votre locataire M365 Configuration rapide

Étape 1 : Création d'une clé de signature asymétrique AWS KMS

Amazon Quick utilise une clé asymétrique AWS KMS pour signer les assertions OAuth lors de l'authentification avec l'identifiant Microsoft Entra. La clé privée ne quitte jamais KMS. Seule la clé publique est exportée et intégrée dans un certificat qui est téléchargé lors de l'enregistrement de votre application Entra.

Création de la clé KMS

  1. Ouvrez la AWS console KMS.

  2. Dans le volet de navigation de gauche, choisissez Clés gérées par le client.

  3. Choisissez Create key.

Configuration de la clé

Sur la page Configurer la clé, définissez les valeurs suivantes :

Configuration de la clé KMS
Paramètre Value
Type de clé Asymétrique
Utilisation de la clé Signer et vérifier
Spécifications de la clé RSA_2048
Origine des éléments de clé KMS (recommandé)
Régions Single-Region clé (par défaut). Multi-Region les touches ne sont pas prises en charge.

Ajouter des étiquettes

Sur la page Ajouter des étiquettes, entrez un alias pour la clé. Par exemple : quick-sharepoint-service-auth.

Note

L'administrateur principal et les autorisations d'utilisation des clés figurant sur les pages suivantes sont facultatifs. Les valeurs par défaut sont suffisantes pour cette configuration. Vous accordez à Amazon Quick l'accès à la clé séparément à l'étape 4.

Choisissez Ignorer pour passer en revue, puis Terminer pour créer la clé.

Enregistrez l'ARN de la clé

Une fois la clé créée, ouvrez la page détaillée de la clé et enregistrez l'ARN de la clé. L'ARN a le format suivant :

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Vous avez besoin de cette valeur aux étapes 2, 4 et lorsque vous créez la base de connaissances dans Quick.

Étape 2 : générer un certificat auto-signé

L'identifiant Microsoft Entra nécessite un X.509 certificat pour valider les assertions signées. Comme la clé privée KMS ne quitte jamais AWS KMS, vous ne pouvez pas l'utiliser directement avec OpenSSL. Au lieu de cela, vous générez une paire de clés locales temporaire et créez une demande de signature de certificat. Utilisez ensuite l'option -force_pubkey OpenSSL pour injecter la clé publique KMS dans le certificat final. Le résultat est un certificat auto-signé dont la clé publique correspond à la paire de clés KMS.

Conditions préalables

  • AWS CLI installée et configurée.

  • OpenSSL 3.0 ou version ultérieure.

  • L'ARN de la clé KMS de l'étape 1.

Générez le certificat

Exécutez les commandes suivantes dans un terminal. Remplacez les placeholder valeurs par les vôtres.

Vérifiez la version d'OpenSSL

openssl version

Vérifiez que la sortie indique la version 3.0 ou ultérieure.

Exporter la clé publique KMS

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
Note

Sur macOS, utilisez base64 --decode ou base64 -D en fonction de votre environnement shell.

Convertir la clé publique au format PEM

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Génération d'une paire de clés locales temporaire

openssl genrsa -out temp_private_key.pem 2048

Création d'une demande de signature de certificat

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Générez le certificat avec la clé publique KMS

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
Note

OpenSSL affiche l'avertissement. Signature key and public key of cert do not match Cela est attendu car le certificat est signé avec la clé locale temporaire mais contient la clé publique KMS. Le certificat est valide et fonctionne correctement avec Microsoft Entra.

Convertir au format DER pour le téléchargement d'Entra

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Nettoyer les fichiers temporaires

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
Important

Conservez le certificate.cer dossier. Vous le téléchargez sur Microsoft Entra ID à l'étape 3.

Calculer l'empreinte numérique du certificat

Exécutez la commande suivante pour calculer l'empreinte numérique codée en base64url SHA-1 du certificat :

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Enregistrez cette valeur. Vous le saisissez lorsque vous créez la base de connaissances dans Quick.

Note

L'empreinte numérique codée en base64url est différente de l'empreinte hexadécimale affichée sur le portail Microsoft Entra. Quick nécessite le format base64url.

Étape 3 : enregistrer une application dans Microsoft Entra ID

Cette étape est obligatoire, que vous utilisiez les autorisations de tous les sites ouSites.Selected. La seule différence réside dans les autorisations d'API que vous attribuez dans la Configurer les autorisations d'API section.

Enregistrez l'application

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Dans le menu de navigation de gauche, développez Entra ID et choisissez App registration.

  3. Choisissez Nouvel enregistrement.

  4. Pour Nom, saisissez QuickSharePointServiceAuth.

  5. Pour les types de comptes pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement (locataire unique).

  6. Laissez l'URI de redirection vide. Un URI de redirection n'est pas nécessaire car l'application utilise le flux d'informations d'identification du client, et non un flux de connexion interactif.

  7. Choisissez S’inscrire.

Enregistrer les détails de la demande

Sur la page de présentation de l'application, enregistrez les valeurs suivantes :

Détails de l’application
Value Location
ID de l’application (client) Présenté sur la page de présentation sous Essentials.
ID du répertoire (locataire) Présenté sur la page de présentation sous Essentials.

Configurer les autorisations d'API

Ajoutez les autorisations correspondant à votre cas d'utilisation. Choisissez les autorisations dans les tableaux de la Permissions section. Basez votre sélection sur l'étendue de vos autorisations (tous les sites ou Sites.Selected) et sur l'activation ou non de l'exploration des ACL.

Contenu uniquement — Microsoft Graph

  • Sites.Read.All

Contenu uniquement — SharePoint

  • Sites.Read.All

Exploration des ACL — Microsoft Graph (supplémentaire)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

Exploration des ACL — SharePoint

  • Sites.FullControl.All

Note

Sites.FullControl.Allest nécessaire pour l'analyse des ACL car l' SharePoint API REST nécessite des autorisations de contrôle complètes pour lire les attributions d'autorisations au niveau du site et au niveau des éléments. Si vous utilisezSites.Selected, consultez Étape 3b : accorder des autorisations au niveau du site (uniquement) Sites.Selected l'autre ensemble d'autorisations.

  1. Dans le volet de navigation de gauche de l'enregistrement de votre application, sélectionnez Autorisations d'API.

  2. Choisissez Ajouter une autorisation.

  3. Choisissez Microsoft Graph.

  4. Choisissez Autorisations de l'application.

  5. Recherchez et sélectionnez les autorisations Microsoft Graph requises pour votre cas d'utilisation, puis choisissez Ajouter des autorisations.

  6. Choisissez à nouveau Ajouter une autorisation.

  7. Choisissez SharePoint(sous Microsoft APIs).

  8. Choisissez Autorisations de l'application.

  9. Recherchez et sélectionnez les SharePoint autorisations requises pour votre cas d'utilisation, puis choisissez Ajouter des autorisations.

Important

Sélectionnez l'onglet Autorisations de l'application, pas Autorisations déléguées. Admin-managed l'installation utilise le flux d'informations d'identification du client, qui nécessite les autorisations de l'application.

  1. Sur la page des autorisations d'API, choisissez Accorder le consentement de l'administrateur pour [Votre organisation].

  2. Confirmez le consentement lorsque vous y êtes invité.

Important

Le consentement de l'administrateur est requis pour les autorisations d'application. Sans cela, l'application ne peut pas accéder aux SharePoint données.

Téléchargez le certificat

  1. Dans le menu de navigation de gauche de l'enregistrement de votre application, sélectionnez Certificats et secrets.

  2. Choisissez l'onglet Certificates (Certificats).

  3. Choisissez Charger le certificat.

  4. Sélectionnez le certificate.cer fichier que vous avez généré à l'étape 2.

  5. Choisissez Ajouter.

Note

Le portail Entra affiche l'empreinte numérique du certificat au format hexadécimal. Ceci est différent de l'empreinte numérique codée en base64url que vous avez calculée à l'étape 2. Utilisez la valeur base64url lorsque vous configurez la base de connaissances dans Quick.

Étape 3b : accorder des autorisations au niveau du site (uniquement) Sites.Selected

Si vous avez Sites.Selected défini l'étendue de votre autorisation, vous devez explicitement accorder à votre application Amazon Quick Entra l'accès à chaque SharePoint site. Cela nécessite une application d'administration temporaire Sites.FullControl.All autorisée à appeler l'API Microsoft Graph.

Ignorez cette étape si vous utilisez le champ d'autorisation pour tous les sites (Sites.Read.AllouSites.FullControl.All).

Obtenez l'ID de site pour chaque SharePoint site

Vous avez besoin de l'ID de site pour chaque SharePoint site auquel vous souhaitez accorder l'accès. Pour obtenir un identifiant de site :

  1. Dans votre navigateur, accédez au SharePoint site (par exemple,https://yourcompany.sharepoint.com/sites/SiteName).

  2. Ajoutez /_api/site/id à l'URL et appuyez sur Entrée. Par exemple : https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. La page affiche une réponse XML contenant l'ID du site (un GUID). Enregistrez cette valeur.

Répétez cette procédure pour chaque site que vous souhaitez inclure dans la base de connaissances.

Création d'une application d'administration temporaire

L'application d'administration est uniquement utilisée pour accorder des autorisations au niveau du site à votre application Amazon Quick. Vous pouvez le supprimer après avoir effectué cette étape.

  1. Dans le centre d'administration Microsoft Entra, accédez à Inscriptions d'applications et choisissez Nouvel enregistrement.

  2. Dans Nom, entrez un nom descriptif tel queQuick-SharePoint-PermissionGranter.

  3. Pour les types de comptes pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement (locataire unique).

  4. Laissez l'URI de redirection vide et choisissez Enregistrer.

  5. Enregistrez l'ID de l'application (client) sur la page de présentation.

  6. Choisissez les autorisations d'API, puis Ajouter une autorisation.

  7. Choisissez Microsoft Graph, puis Autorisations de l'application. Recherchez et sélectionnezSites.FullControl.All. Choisissez Ajouter des autorisations.

  8. Choisissez Accorder le consentement de l'administrateur pour [Votre organisation] et confirmez.

  9. Choisissez Certificats et secrets, puis Nouveau secret client. Entrez une description, choisissez une période d'expiration, puis cliquez sur Ajouter.

  10. Enregistrez immédiatement la valeur secrète. Cette valeur n'est affichée qu'une seule fois.

Important

Copiez la valeur secrète, pas l'ID secret. La valeur est la chaîne la plus longue utilisée pour l'authentification.

Obtenez un jeton d'accès

Utilisez les informations d'identification de l'application d'administration pour récupérer un jeton OAuth auprès de Microsoft Entra. Remplacez les placeholder valeurs par l'ID client, la valeur secrète et l'ID du locataire de votre application d'administration.

macOS et Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Fenêtres (PowerShell)

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

La réponse contient un access_token champ. Enregistrez cette valeur pour l'étape suivante.

Accorder des autorisations au niveau du site

Utilisez le jeton d'administration pour autoriser votre application Amazon Quick Entra à fullcontrol accéder à chaque SharePoint site. Remplacez les placeholder valeurs par votre identifiant de site, votre jeton d'administration, ainsi que l'identifiant et le nom d'affichage de l'application cliente indiqués à l'étape 3.

macOS et Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Fenêtres (PowerShell)

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Une réponse réussie inclut "roles": ["fullcontrol"] l'ID de l'application cliente dans le grantedToIdentities champ.

Important

Répétez cette commande pour chaque SharePoint site que vous souhaitez inclure dans la base de connaissances. Tout nouveau site ajouté à l'avenir nécessite également une autorisation distincte.

Nettoyage

Après avoir accordé les autorisations à tous les sites requis, vous pouvez supprimer l'application d'administration temporaire du centre d'administration Microsoft Entra. Les autorisations que vous avez accordées au niveau du site restent en vigueur indépendamment de l'application d'administration.

Note

L'application d'administration temporaire est utilisée uniquement dans votre environnement local pour appeler l'API Microsoft Graph. Amazon Quick ne voit jamais ni n'a accès à l'application d'administration ou à ses informations d'identification. Seules les informations d'identification de l'application cliente sont fournies à Amazon Quick lorsque vous créez la base de connaissances.

Étape 4 : accorder à Amazon Quick l'autorisation d'accéder à la clé KMS

Amazon Quick a besoin d'une autorisation pour utiliser la clé KMS pour signer des assertions OAuth. Vous accordez cette autorisation depuis la console d'administration Amazon Quick.

Note

Cette étape nécessite un accès administrateur Amazon Quick (rôle Admin Pro). Si vous n'êtes pas administrateur, demandez à votre administrateur Amazon Quick d'effectuer cette étape en utilisant l'ARN de la clé KMS indiqué à l'étape 1.

Important

Si votre organisation gère son propre rôle de service Amazon Quick IAM, les étapes de console suivantes risquent de ne pas s'appliquer. Assurez-vous plutôt que le rôle dispose d'une kms:Sign autorisation sur l'ARN de la clé KMS à partir de l'étape 1.

  1. Dans Amazon Quick, choisissez Gérer le compte dans le volet de navigation de gauche.

  2. Sous Autorisations, sélectionnez AWS les ressources.

  3. Sur la page AWS des ressources, accédez à AWS Key Management Service et cochez la case.

  4. Choisissez Sélectionner les touches.

  5. Dans la boîte de dialogue Sélectionner les clés KMS, entrez l'ARN de la clé KMS que vous avez enregistré à l'étape 1 et choisissez Ajouter.

  6. L'ARN de la clé apparaît dans la liste. Choisissez Finish (Terminer).

  7. Choisissez Enregistrer au bas de la page AWS des ressources.

Étapes suivantes

Une fois la configuration terminée, créez la connexion à la base de connaissances SharePoint en ligne dans Amazon Quick. Pour obtenir des instructions, veuillez consulter Création de la base de connaissances dans Amazon Quick.