View a markdown version of this page

Configurare le credenziali del servizio - Amazon Quick
PrerequisitiPermissionsValori raccolti durante la configurazioneFase 1: Creare una chiave di firma AWS asimmetrica KMSFase 2: Generazione di un certificato autofirmatoPassaggio 3: registrare un'applicazione in Microsoft Entra IDFase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.SelectedFase 4: concedere ad Amazon Quick l'autorizzazione per la chiave KMSFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare le credenziali del servizio

Prima di creare la knowledge base in Amazon Quick, completa i seguenti passaggi di configurazione in AWS e Microsoft Entra ID. Crei una chiave di firma KMS, generi un certificato, registri un'applicazione in Entra e concedi ad Amazon Quick l'autorizzazione all'uso della chiave.

Questa configurazione coinvolge più sistemi e potrebbe richiedere il coordinamento tra diversi amministratori dell'organizzazione. La tabella seguente riassume ogni passaggio e il ruolo necessario per completarlo.

Fasi e ruoli di configurazione
Fase Cosa fai Ruolo necessario
1. Chiave KMS Crea una chiave di firma asimmetrica in KMS. AWS AWS amministratore (accesso alle console KMS e IAM)
2. Certificato Genera un certificato autofirmato utilizzando la chiave pubblica KMS. Uguale al passaggio 1 (sono AWS richiesti CLI e OpenSSL)
3. Entra nell'app Registra un'applicazione in Microsoft Entra, assegna le autorizzazioni API e carica il certificato. Amministratore globale o amministratore con ruolo privilegiato di Microsoft 365
3b. Sites.Selected (opzionale) Crea un'app di amministrazione temporanea e concedi le autorizzazioni per sito tramite l'API Microsoft Graph. Microsoft 365 Global Admin (uguale alla Fase 3)
4. Accesso tramite chiave KMS Concedi ad Amazon Quick l'autorizzazione a utilizzare la chiave KMS per la firma. Amministratore Amazon Quick (Admin Pro)
5. Crea KB Crea la knowledge base in Amazon Quick utilizzando le credenziali dei passaggi precedenti. Qualsiasi utente Amazon Quick (Author Pro o Admin Pro)
Suggerimento

In molte organizzazioni, una sola persona con entrambi i diritti di amministratore AWS e Microsoft 365 può completare tutti i passaggi. Se le responsabilità sono suddivise tra i team, condividi questa tabella per coordinare la configurazione.

Prerequisiti

Prima di iniziare, assicurati di disporre di:

  • Un AWS account con un'istanza Amazon Quick attiva.

  • Accesso alla console AWS KMS (per creare la chiave di firma).

  • Accesso da amministratore Amazon Quick (ruolo Admin Pro) per la concessione delle autorizzazioni relative alle chiavi KMS.

  • Un tenant di Microsoft 365 con SharePoint Online.

  • Accesso da amministratore globale o amministratore con ruoli privilegiati in Microsoft Entra ID.

  • OpenSSL 3.0 o versione successiva e AWS CLI installata localmente.

  • L' AWS account e l'istanza Amazon Quick devono trovarsi nella stessa regione.

Permissions

Le autorizzazioni assegnate dipendono da due scelte:

  • Se intendete abilitare il controllo degli accessi a livello di documento (scansione ACL).

  • Sia che tu voglia concedere l'accesso a tutti i SharePoint siti o solo a siti specifici.

Scegli il tuo ambito di autorizzazione

Per impostazione predefinita, la registrazione all'app Entra utilizza Sites.Read.All orSites.FullControl.All, che consente l'accesso a tutti i SharePoint siti del tenant. Se la tua organizzazione richiede un accesso con privilegi minimi, puoi utilizzare invece. Sites.Selected ConSites.Selected, l'app può accedere solo ai siti a cui concedi esplicitamente l'autorizzazione.

Confronto dell'ambito di autorizzazione
Scope Accesso Passaggi aggiuntivi
Tutti i siti (impostazione predefinita) L'app può leggere tutti i SharePoint siti del tenant.
Sites.Selected L'app può accedere solo ai siti che concedi esplicitamente. Richiede un'app di amministrazione temporanea e una chiamata all'API Microsoft Graph per ogni sito. Per informazioni, consulta Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected.
Nota

Se lo utilizziSites.Selected, devi concedere l'accesso a ciascun sito singolarmente. Tutti i nuovi siti che verranno aggiunti alla knowledge base in futuro richiederanno inoltre una concessione di autorizzazione separata.

Tutti i siti, solo contenuti (senza ACL)

Content-only autorizzazioni
"Hello, World!" Autorizzazione Tipo
Microsoft Graph Sites.Read.All Applicazione
SharePoint RIPOSO Sites.Read.All Applicazione

Tutti i siti, con scansione ACL

Autorizzazioni di scansione ACL
"Hello, World!" Autorizzazione Tipo
Microsoft Graph Sites.Read.All Applicazione
Microsoft Graph User.Read.All Applicazione
Microsoft Graph GroupMember.Read.All Applicazione
SharePoint RIPOSO Sites.FullControl.All Applicazione
Importante

Scegli le autorizzazioni per tutti i siti nelle tabelle precedenti o le Sites.Selected autorizzazioni nelle tabelle seguenti. Non combinarle entrambe. Se non sei sicuro, inizia con tutti i siti. Se necessario, puoi creare una nuova registrazione all'app Entra con un Sites.Selected secondo momento.

Sites.Selected — solo contenuti (senza ACL)

Sites.Selected autorizzazioni solo per il contenuto
"Hello, World!" Autorizzazione Tipo
Microsoft Graph Sites.Selected Applicazione
SharePoint RIPOSO Sites.Selected Applicazione

Sites.Selected — con scansione ACL

Sites.Selected autorizzazioni di scansione ACL
"Hello, World!" Autorizzazione Tipo
Microsoft Graph Sites.Selected Applicazione
Microsoft Graph User.Read.All Applicazione
Microsoft Graph GroupMember.Read.All Applicazione
SharePoint RIPOSO Sites.Selected Applicazione
Nota

OneNote crawling (Notes.Read.All) non è supportato nelle configurazioni gestite dall'amministratore. Microsoft ha ritirato i token solo per le app per le OneNote API il 31 marzo 2025. User-managed configurazione OneNote Usalo per i contenuti.

Valori raccolti durante la configurazione

La tabella seguente riassume i valori che crei o raccogli durante l'installazione e dove li utilizzi.

Riferimento ai valori
Valore Creato in fase Utilizzato in fase
ARN della chiave KMS 1 (KM) 2 (Certificato), 4 (IAM), Configurazione rapida
File di certificato (certificate.cer) 2 (Certificato) 3 (Inserisci upload)
Impronta digitale del certificato (base64url) 2 (Certificato) Configurazione rapida
ID dell'applicazione (client) 3 (Entra) Configurazione rapida
ID dell'elenco (tenant) 3 (Entra) Configurazione rapida
SharePoint URL del dominio Il tuo tenant M365 Configurazione rapida

Fase 1: Creare una chiave di firma AWS asimmetrica KMS

Amazon Quick utilizza una chiave asimmetrica AWS KMS per firmare asserzioni OAuth durante l'autenticazione con Microsoft Entra ID. La chiave privata non esce mai da KMS. Solo la chiave pubblica viene esportata e incorporata in un certificato che viene caricato nella registrazione dell'app Entra.

Crea la chiave KMS

  1. Apri la AWS console KMS.

  2. Nella sezione di navigazione a sinistra, scegli Chiavi gestite dal cliente.

  3. Scegli Crea chiave.

Configura la chiave

Nella pagina Configura chiave, imposta i seguenti valori:

Configurazione delle chiavi KMS
Impostazione Valore
Tipo di chiavi Asimmetrica
Utilizzo delle chiavi Sign and Verify (Firma e verifica)
Specifica della chiave RSA_2048
Origine del materiale della chiave KMS (consigliato)
Regionalità Single-Region chiave (impostazione predefinita). Multi-Region le chiavi non sono supportate.

Aggiungere etichette

Nella pagina Aggiungi etichette, inserisci un alias per la chiave. Ad esempio: quick-sharepoint-service-auth.

Nota

Le autorizzazioni di amministratore e utilizzo delle chiavi nelle pagine seguenti sono facoltative. Le impostazioni predefinite sono sufficienti per questa configurazione. Concedi ad Amazon Quick l'accesso alla chiave separatamente nella Fase 4.

Scegli Salta per rivedere, quindi scegli Fine per creare la chiave.

Registra l'ARN della chiave

Dopo aver creato la chiave, apri la pagina dei dettagli della chiave e registra l'ARN della chiave. L'ARN ha il formato seguente:

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Questo valore è necessario nei passaggi 2, 4 e quando si crea la knowledge base in Quick.

Fase 2: Generazione di un certificato autofirmato

L'ID Microsoft Entra richiede un X.509 certificato per convalidare le asserzioni firmate. Poiché la chiave privata KMS non esce mai da AWS KMS, non è possibile utilizzarla direttamente con OpenSSL. Al contrario, si genera una coppia di key pair locale temporanea e si crea una richiesta di firma del certificato. Quindi, usa l'opzione -force_pubkey OpenSSL per iniettare la chiave pubblica KMS nel certificato finale. Il risultato è un certificato autofirmato la cui chiave pubblica corrisponde alla coppia di chiavi KMS.

Prerequisiti

  • AWS CLI installata e configurata.

  • OpenSSL 3.0 o versione successiva.

  • L'ARN della chiave KMS della fase 1.

Genera il certificato

Esegui i seguenti comandi in un terminale. Sostituisci i placeholder valori con i tuoi.

Verifica la versione di OpenSSL

openssl version

Conferma che l'output mostri la versione 3.0 o successiva.

Esporta la chiave pubblica KMS

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
Nota

Su macOS, usa base64 --decode o base64 -D dipende dal tuo ambiente shell.

Converti la chiave pubblica in formato PEM

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Genera una key pair locale temporanea

openssl genrsa -out temp_private_key.pem 2048

Crea una richiesta di firma del certificato

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Genera il certificato con la chiave pubblica KMS

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
Nota

OpenSSL visualizza l'avviso. Signature key and public key of cert do not match Ciò è previsto perché il certificato è firmato con la chiave locale temporanea ma contiene la chiave pubblica KMS. Il certificato è valido e funziona correttamente con Microsoft Entra.

Converti in formato DER per il caricamento con Entra

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Pulisci i file temporanei

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
Importante

Conserva il certificate.cer file. Lo carichi su Microsoft Entra ID nel passaggio 3.

Calcola l'impronta digitale del certificato

Esegui il comando seguente per calcolare l'impronta digitale con codifica base64url SHA-1 del certificato:

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Registra questo valore. Lo inserisci quando crei la knowledge base in Quick.

Nota

L'impronta digitale con codifica base64url è diversa dall'impronta esadecimale mostrata nel portale Microsoft Entra. Quick richiede il formato base64url.

Passaggio 3: registrare un'applicazione in Microsoft Entra ID

Questo passaggio è necessario indipendentemente dal fatto che si utilizzino le autorizzazioni per tutti i siti o. Sites.Selected L'unica differenza è rappresentata dalle autorizzazioni API assegnate nella sezione. Configura le autorizzazioni API

Registra l'applicazione

  1. Accedi al centro di amministrazione di Microsoft Entra.

  2. Nella barra di navigazione a sinistra, espandi Entra ID e scegli Registrazioni all'app.

  3. Scegli Nuova registrazione.

  4. In Nome, inserisci QuickSharePointServiceAuth.

  5. Per i tipi di account supportati, seleziona Account solo in questa directory organizzativa (tenant singolo).

  6. Lascia vuoto l'URI di reindirizzamento. Non è necessario un URI di reindirizzamento perché l'applicazione utilizza il flusso di credenziali del client, non un flusso di accesso interattivo.

  7. Scegli Registrati.

Registra i dettagli dell'applicazione

Nella pagina Panoramica dell'applicazione, registrate i seguenti valori:

Dettagli applicazione
Valore Location (Ubicazione)
ID dell’applicazione (client) Visualizzato nella pagina Panoramica in Essentials.
ID della directory (tenant) Mostrato nella pagina Panoramica in Essentials.

Configura le autorizzazioni API

Aggiungi le autorizzazioni che corrispondono al tuo caso d'uso. Scegli le autorizzazioni dalle tabelle nella Permissions sezione. Basate la selezione sull'ambito delle autorizzazioni (o su tutti i siti Sites.Selected) e sull'eventuale attivazione della scansione ACL.

Solo contenuti: Microsoft Graph

  • Sites.Read.All

Solo contenuto: SharePoint

  • Sites.Read.All

Scansione ACL — Microsoft Graph (aggiuntivo)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

Ricerca per indicizzazione ACL — SharePoint

  • Sites.FullControl.All

Nota

Sites.FullControl.Allè necessario per la scansione ACL perché l'API SharePoint REST richiede autorizzazioni di controllo completo per leggere le assegnazioni di autorizzazioni a livello di sito e di elemento. Se lo stai utilizzando, consulta il set di autorizzazioni alternativo. Sites.Selected Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected

  1. Nella barra di navigazione a sinistra della registrazione dell'app, scegli Autorizzazioni API.

  2. Scegli Aggiungi un'autorizzazione.

  3. Scegli Microsoft Graph.

  4. Scegli Autorizzazioni dell'applicazione.

  5. Cerca e seleziona le autorizzazioni Microsoft Graph richieste per il tuo caso d'uso, quindi scegli Aggiungi autorizzazioni.

  6. Scegli nuovamente Aggiungi un'autorizzazione.

  7. Scegli SharePoint(sotto le API Microsoft).

  8. Scegli Autorizzazioni dell'applicazione.

  9. Cerca e seleziona le SharePoint autorizzazioni richieste per il tuo caso d'uso, quindi scegli Aggiungi autorizzazioni.

Importante

Seleziona la scheda Autorizzazioni dell'applicazione, non Autorizzazioni delegate. Admin-managed la configurazione utilizza il flusso di credenziali del client, che richiede le autorizzazioni dell'applicazione.

  1. Nella pagina delle autorizzazioni API, scegli Concedi il consenso dell'amministratore per [La tua organizzazione].

  2. Conferma il consenso quando richiesto.

Importante

È richiesto il consenso dell'amministratore per le autorizzazioni dell'applicazione. Senza di esso, l'applicazione non può accedere ai SharePoint dati.

Carica il certificato

  1. Nella barra di navigazione a sinistra della registrazione dell'app, scegli Certificati e segreti.

  2. Scegliere la scheda Certificates (Certificati).

  3. Scegli Carica certificato.

  4. Seleziona il certificate.cer file che hai generato nel passaggio 2.

  5. Scegliere Aggiungi.

Nota

Il portale Entra mostra l'impronta digitale del certificato in formato esadecimale. È diversa dall'impronta digitale con codifica base64url calcolata nella Fase 2. Utilizzate il valore base64url quando configurate la knowledge base in Quick.

Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected

Se hai scelto Sites.Selected come ambito di autorizzazione, devi concedere esplicitamente all'app Amazon Quick Entra l'accesso a ciascun SharePoint sito. Ciò richiede un'app di amministrazione temporanea con l'Sites.FullControl.Allautorizzazione a chiamare l'API Microsoft Graph.

Salta questo passaggio se utilizzi l'ambito di autorizzazione per tutti i siti (Sites.Read.AlloSites.FullControl.All).

Ottieni l'ID del sito per ogni sito SharePoint

È necessario l'ID del sito per ogni SharePoint sito a cui desideri concedere l'accesso. Per ottenere un Site ID:

  1. Nel browser, accedi al SharePoint sito (ad esempio,https://yourcompany.sharepoint.com/sites/SiteName).

  2. Aggiungi /_api/site/id all'URL e premi Invio. Ad esempio: https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. La pagina visualizza una risposta XML contenente l'ID del sito (un GUID). Registra questo valore.

Ripetere l'operazione per ogni sito che si desidera includere nella knowledge base.

Crea un'app di amministrazione temporanea

L'app di amministrazione viene utilizzata solo per concedere autorizzazioni a livello di sito alla tua app Amazon Quick. Puoi eliminarla dopo aver completato questo passaggio.

  1. Nell'interfaccia di amministrazione di Microsoft Entra, vai a Registrazioni app e scegli Nuova registrazione.

  2. Per Nome, inserisci un nome descrittivo, ad esempio. Quick-SharePoint-PermissionGranter

  3. Per i tipi di account supportati, seleziona Account solo in questa directory organizzativa (tenant singolo).

  4. Lascia vuoto l'URI di reindirizzamento e scegli Registra.

  5. Registra l'ID dell'applicazione (client) dalla pagina Panoramica.

  6. Scegli Autorizzazioni API, quindi Aggiungi un'autorizzazione.

  7. Scegli Microsoft Graph, quindi Autorizzazioni dell'applicazione. Cerca e selezionaSites.FullControl.All. Scegli Add Permissions (Aggiungi autorizzazioni).

  8. Scegli Concedi il consenso dell'amministratore per [La tua organizzazione] e conferma.

  9. Scegli Certificati e segreti, quindi Nuovo segreto del cliente. Inserisci una descrizione, scegli un periodo di scadenza e scegli Aggiungi.

  10. Registra immediatamente il valore segreto. Questo valore viene visualizzato solo una volta.

Importante

Copia il valore segreto, non l'ID segreto. Il valore è la stringa più lunga utilizzata per l'autenticazione.

Ottieni un token di accesso

Usa le credenziali dell'app di amministrazione per recuperare un token OAuth da Microsoft Entra. Sostituisci i placeholder valori con l'ID client, il valore segreto e l'ID tenant dell'app di amministrazione.

macOS e Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Windows () PowerShell

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

La risposta contiene un access_token campo. Registra questo valore per il passaggio successivo.

Concedi autorizzazioni a livello di sito

Usa il token di amministrazione per concedere all'app Amazon Quick Entra fullcontrol l'accesso a ogni SharePoint sito. Sostituisci i placeholder valori con l'ID del sito, il token di amministrazione, l'ID dell'app client e il nome visualizzato dello Step 3.

macOS e Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Windows () PowerShell

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Una risposta corretta include "roles": ["fullcontrol"] l'ID dell'app client nel grantedToIdentities campo.

Importante

Ripeti questo comando per ogni SharePoint sito che desideri includere nella knowledge base. Tutti i nuovi siti che verranno aggiunti in futuro richiedono inoltre una concessione di autorizzazione separata.

Eliminazione

Dopo aver concesso le autorizzazioni a tutti i siti richiesti, puoi eliminare l'app di amministrazione temporanea dall'interfaccia di amministrazione di Microsoft Entra. Le autorizzazioni a livello di sito concesse rimangono valide indipendentemente dall'app di amministrazione.

Nota

L'app di amministrazione temporanea viene utilizzata solo nell'ambiente locale per chiamare l'API Microsoft Graph. Amazon Quick non vede né ha mai accesso all'app di amministrazione o alle sue credenziali. Quando crei la knowledge base, ad Amazon Quick vengono fornite solo le credenziali dell'app client.

Fase 4: concedere ad Amazon Quick l'autorizzazione per la chiave KMS

Amazon Quick necessita dell'autorizzazione per utilizzare la chiave KMS per firmare le asserzioni OAuth. Concedi questa autorizzazione dalla console di amministrazione di Amazon Quick.

Nota

Questo passaggio richiede l'accesso da amministratore ad Amazon Quick (ruolo Admin Pro). Se non sei un amministratore, chiedi all'amministratore di Amazon Quick di completare questo passaggio utilizzando l'ARN della chiave KMS della Fase 1.

Importante

Se la tua organizzazione gestisce il proprio ruolo di servizio Amazon Quick IAM, i seguenti passaggi della console potrebbero non essere applicabili. Assicurati invece che il ruolo disponga dell'kms:Signautorizzazione sulla chiave KMS ARN della Fase 1.

  1. In Amazon Quick, scegli Gestisci account dal riquadro di navigazione a sinistra.

  2. In Autorizzazioni, scegli AWS le risorse.

  3. Nella pagina delle AWS risorse, scorri fino a AWS Key Management Service e seleziona la casella di controllo.

  4. Scegli Seleziona tasti.

  5. Nella finestra di dialogo Seleziona chiavi KMS, inserisci l'ARN della chiave KMS che hai registrato nel passaggio 1 e scegli Aggiungi.

  6. La chiave ARN viene visualizzata nell'elenco. Scegli Fine.

  7. Scegli Salva nella parte inferiore della pagina delle AWS risorse.

Fasi successive

Dopo aver completato la configurazione, crea la connessione alla knowledge base SharePoint online in Amazon Quick. Per istruzioni, consulta Crea la knowledge base in Amazon Quick.