View a markdown version of this page

Document-level controlli di accesso - Amazon Quick
Come funzionaAbilita la gestione ACLReal-time verifica dell'accessoFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Document-level controlli di accesso

Admin-managed SharePoint Le knowledge base supportano opzionalmente il controllo degli accessi a livello di documento. Se abilitato, Amazon Quick sincronizza gli elenchi di controllo degli accessi (ACL) SharePoint durante ogni scansione. Il sistema verifica le autorizzazioni di ciascun utente al momento della richiesta, in modo che gli utenti vedano solo le risposte dei documenti a cui sono autorizzati ad accedere. SharePoint

Come funziona

Quando un utente interroga un agente Amazon Quick che utilizza una SharePoint knowledge base gestita dall'amministratore con la gestione ACL abilitata, il sistema applica i controlli di accesso in due fasi:

  1. Pre-retrieval filtraggio: Amazon Quick esegue una ricerca semantica nell'indice vettoriale per trovare i passaggi del documento più pertinenti. Il sistema applica gli elenchi di controllo degli accessi sincronizzati durante l'ultima scansione. SharePoint Questo produce una serie preliminare di documenti per i candidati.

  2. Real-time verifica: il sistema verifica i documenti dei candidati in tempo reale controllando l'accesso corrente dell'utente richiedente. SharePoint Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.

Questo approccio in due fasi fornisce un controllo degli accessi a livello di documento che rimane aggiornato anche quando le SharePoint autorizzazioni cambiano tra una sincronizzazione e l'altra.

Abilita la gestione ACL

La gestione ACL viene configurata durante la creazione della knowledge base nel passaggio Impostazioni aggiuntive. Seleziona la casella di controllo Controlla l'accesso ai documenti con ACL per abilitarla.

Importante

La gestione degli ACL non può essere modificata dopo la creazione della knowledge base. Se è necessario modificare questa impostazione, è necessario creare una nuova knowledge base.

Per abilitare la gestione ACL, la registrazione dell'app Entra deve disporre delle seguenti autorizzazioni:

  • User.Read.Alle GroupMember.Read.All su Microsoft Graph.

  • Sites.FullControl.Allsulla SharePoint risorsa o Sites.Selected con le autorizzazioni per sito concesse.

Per ulteriori informazioni sulle best practice ACL, consulta. Procedure consigliate per la gestione degli ACL nelle knowledge base

Real-time verifica dell'accesso

La fase di verifica in tempo reale utilizza un flusso OAuth delegato gestito automaticamente da Amazon Quick. Quick crea e gestisce un'applicazione Microsoft Entra separata appositamente per questo scopo. Non è richiesta alcuna configurazione da parte del cliente per questa app. È distinta sia dalla registrazione dell'app gestita dall'amministratore che hai creato durante la configurazione sia da qualsiasi app OAuth gestita dall'utente.

  1. Un utente pone una domanda nell'assistente di chat rapida.

  2. Se la risposta riguarda il SharePoint contenuto di una ACL-enabled knowledge base, Quick richiede all'utente di accedere a. SharePoint

  3. L'utente accede e accetta la finestra di dialogo di consenso di Microsoft (se il consenso dell'amministratore non è stato concesso).

  4. Quick utilizza il token delegato dell'utente per verificare l'accesso a ciascun documento candidato in tempo reale.

  5. Nella risposta SharePoint sono inclusi solo i documenti a cui l'utente ha attualmente accesso.

L'accesso avviene una sola volta. Le credenziali delegate utilizzano un token di aggiornamento e durano circa 90 giorni.

Autorizzazioni delegate

L'app ACL in tempo reale richiede le seguenti autorizzazioni delegate:

Real-time ACL: autorizzazioni delegate
Autorizzazione Scope Scopo
Leggi gli elementi in tutte le raccolte del sito Sites.Read.All Verifica l'accesso degli utenti ai contenuti SharePoint del sito.
Leggi i tuoi file Files.Read.All Verifica l'accesso degli utenti a file specifici.
Visualizza il tuo profilo di base User.Read Identifica l'utente che ha effettuato l'accesso.
Mantieni l'accesso ai dati a cui gli hai dato accesso offline_access Aggiorna i token in modo che gli utenti non debbano riautenticarsi frequentemente.

Il controllo ACL in tempo reale utilizza un'applicazione Microsoft Entra separata da quella utilizzata nella configurazione gestita dall'utente o nella registrazione dell'app gestita dall'amministratore. Se l'organizzazione richiede il consenso dell'amministratore, un amministratore deve concedere il consenso per ciascuna applicazione in modo indipendente.

Quando abiliti la gestione ACL durante la creazione della knowledge base, la console Amazon Quick fornisce un collegamento diretto per concedere il consenso dell'amministratore. Questo collegamento è per l'applicazione ACL in tempo reale. Se sei un amministratore di Microsoft 365, puoi concedere il consenso direttamente dalla console. Altrimenti, condividi il link con il tuo amministratore.

Se il consenso dell'amministratore non viene concesso, ogni utente visualizza la finestra di dialogo relativa al consenso alla prima richiesta che riguarda il SharePoint contenuto. Dopo l'accettazione, non verranno più richieste per circa 90 giorni.

Per istruzioni dettagliate sulla concessione del consenso dell'amministratore tramite la finestra di dialogo per il consenso o l'interfaccia di amministrazione di Microsoft Entra, vedereConcedi il consenso amministrativo a livello di organizzazione.

Fasi successive

Per ulteriori informazioni sulle best practice ACL, consulta. Procedure consigliate per la gestione degli ACL nelle knowledge base Per informazioni sulla creazione di SharePoint knowledge base gestite dall'amministratore, vedere. Admin-managed configurazione (credenziali di servizio)