View a markdown version of this page

Document-level kontrol akses - Amazon Quick
Cara kerjanyaAktifkan manajemen ACLReal-time verifikasi aksesLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Document-level kontrol akses

Admin-managed SharePoint basis pengetahuan secara opsional mendukung kontrol akses tingkat dokumen. Saat diaktifkan, Amazon Quick menyinkronkan daftar kontrol akses (ACL) SharePoint selama setiap crawl. Sistem memverifikasi izin setiap pengguna pada waktu kueri, sehingga pengguna hanya melihat jawaban dari dokumen yang diizinkan untuk mereka akses. SharePoint

Cara kerjanya

Saat pengguna menanyakan agen Amazon Quick yang menggunakan basis SharePoint pengetahuan yang dikelola admin dengan mengaktifkan manajemen ACL, sistem akan menerapkan kontrol akses dalam dua tahap:

  1. Pre-retrieval pemfilteran — Amazon Quick melakukan pencarian semantik terhadap indeks vektor untuk menemukan bagian dokumen yang paling relevan. Sistem menerapkan daftar kontrol akses yang disinkronkan SharePoint selama perayapan terakhir. Ini menghasilkan satu set dokumen kandidat awal.

  2. Real-time Verifikasi — Sistem memverifikasi dokumen kandidat secara real time dengan memeriksa akses pengguna saat ini di kueri. SharePoint Hanya dokumen yang saat ini diizinkan untuk diakses oleh pengguna yang disertakan dalam tanggapan.

Pendekatan dua tahap ini menyediakan kontrol akses tingkat dokumen yang tetap terkini bahkan ketika SharePoint izin berubah di antara sinkronisasi.

Aktifkan manajemen ACL

Manajemen ACL dikonfigurasi selama pembuatan basis pengetahuan di langkah Pengaturan tambahan. Pilih kotak centang Kontrol akses dokumen dengan ACL untuk mengaktifkannya.

penting

Manajemen ACL tidak dapat diubah setelah basis pengetahuan dibuat. Jika Anda perlu mengubah pengaturan ini, Anda harus membuat basis pengetahuan baru.

Untuk mengaktifkan manajemen ACL, pendaftaran aplikasi Entra Anda harus memiliki izin berikut:

  • User.Read.Alldan GroupMember.Read.All di Microsoft Graph.

  • Sites.FullControl.Allpada SharePoint sumber daya, atau Sites.Selected dengan izin per situs yang diberikan.

Untuk informasi selengkapnya tentang praktik terbaik ACL, lihatPraktik terbaik untuk mengelola ACL di basis pengetahuan.

Real-time verifikasi akses

Tahap verifikasi real-time menggunakan alur OAuth yang didelegasikan yang dikelola secara otomatis oleh Amazon Quick. Quick membuat dan mengelola aplikasi Microsoft Entra terpisah khusus untuk tujuan ini. Tidak diperlukan konfigurasi pelanggan untuk aplikasi ini. Ini berbeda dari pendaftaran aplikasi yang dikelola admin yang Anda buat selama penyiapan dan aplikasi OAuth yang dikelola pengguna.

  1. Seorang pengguna mengajukan pertanyaan di asisten obrolan cepat.

  2. Jika jawabannya melibatkan SharePoint konten dari basis ACL-enabled pengetahuan, Quick meminta pengguna untuk SharePoint Masuk.

  3. Pengguna masuk dan menerima dialog persetujuan Microsoft (jika persetujuan admin belum diberikan).

  4. Quick menggunakan token yang didelegasikan pengguna untuk memverifikasi akses ke setiap dokumen kandidat secara real time.

  5. Hanya dokumen yang saat ini dapat diakses pengguna SharePoint yang disertakan dalam respons.

Masuk adalah langkah satu kali. Kredensyal yang didelegasikan menggunakan token penyegaran dan bertahan sekitar 90 hari.

Izin yang didelegasikan

Aplikasi ACL real-time meminta izin yang didelegasikan berikut:

Real-time ACL - izin yang didelegasikan
Izin Lingkup Tujuan
Baca item di semua koleksi situs Sites.Read.All Verifikasi akses pengguna ke konten SharePoint situs.
Baca file Anda Files.Read.All Verifikasi akses pengguna ke file tertentu.
Lihat profil dasar Anda User.Read Identifikasi pengguna yang masuk.
Pertahankan akses ke data yang telah Anda berikan aksesnya offline_access Segarkan token sehingga pengguna tidak perlu sering melakukan autentikasi ulang.

Pemeriksaan ACL real-time menggunakan aplikasi Microsoft Entra terpisah dari yang digunakan dalam penyiapan yang dikelola pengguna atau pendaftaran aplikasi yang dikelola admin. Jika organisasi Anda memerlukan persetujuan admin, administrator harus memberikan persetujuan untuk setiap aplikasi secara independen.

Saat Anda mengaktifkan manajemen ACL selama pembuatan basis pengetahuan, konsol Amazon Quick menyediakan tautan langsung untuk memberikan persetujuan admin. Tautan ini untuk aplikasi ACL real-time. Jika Anda adalah administrator Microsoft 365, Anda dapat memberikan persetujuan langsung dari konsol. Jika tidak, bagikan tautan dengan administrator Anda.

Jika persetujuan admin tidak diberikan, setiap pengguna melihat dialog persetujuan pada kueri pertama mereka yang melibatkan SharePoint konten. Setelah menerima, mereka tidak diminta lagi selama kurang lebih 90 hari.

Untuk petunjuk terperinci tentang pemberian persetujuan admin melalui dialog persetujuan atau pusat admin Microsoft Entra, lihat. Berikan persetujuan admin di seluruh organisasi

Langkah selanjutnya

Untuk informasi selengkapnya tentang praktik terbaik ACL, lihatPraktik terbaik untuk mengelola ACL di basis pengetahuan. Untuk informasi tentang membuat basis SharePoint pengetahuan yang dikelola admin, lihat. Admin-managed penyiapan (kredensyal layanan)