SharePoint コネクタ V2.0 - Amazon Kendra

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SharePoint コネクタ V2.0

SharePoint は、ウェブコンテンツをカスタマイズし、ページ、サイト、ドキュメントライブラリ、リストを作成するために使用できる共同ウェブサイト構築サービスです。 Amazon Kendra を使用して、 SharePoint データソースのインデックスを作成できます。

Amazon Kendra は現在、 SharePoint Online および SharePoint Server (2013、2016、2019、および Subscription Edition) をサポートしています。

注記

SharePoint コネクタ V1.0 / SharePointConfiguration APIは 2023 年に終了しました。 SharePoint コネクタ V2.0 / TemplateConfiguration APIWord への移行または使用をお勧めします。

Amazon Kendra SharePoint データソースコネクタのトラブルシューティングについては、「」を参照してくださいデータソースのトラブルシューティング

サポートされている機能

Amazon Kendra SharePoint データソースコネクタは、次の機能をサポートしています。

  • フィールドマッピング

  • ユーザーアクセスコントロール

  • 包含/除外フィルター

  • 完全および増分コンテンツ同期

  • 仮想プライベートクラウド (VPC)

前提条件

を使用して SharePoint データソース Amazon Kendra のインデックスを作成する前に、 SharePoint と AWS アカウントでこれらの変更を行ってください。

シー AWS Secrets Manager クレットに安全に保存されている認証情報を指定する必要があります。

注記

認証情報とシークレットは、定期的に更新またはローテーションすることをお勧めします。セキュリティに必要なアクセスレベルのみを提供してください。認証情報とシークレットを、データソース、コネクタバージョン 1.0 と 2.0 (該当する場合) で再利用することは推奨しません

In SharePoint Online で、以下を確認してください。

  • SharePoint インスタンスの URLs をコピーしました。入力するホスト URL の形式は です。https://yourdomain.sharepoint.com/sites/mysite。 URLは で始まりhttps、 が含まれている必要がありますsharepoint.com

  • SharePoint インスタンス URL のドメイン名をコピーしました。

  • ユーザー名とパスワードを含む基本的な認証情報と、 SharePoint Online に接続するためのサイト管理者アクセス許可を記録しました。

  • 管理者ユーザーを使用して Azure Portal の [セキュリティデフォルト] を無効にしました。Azure Portal でのセキュリティのデフォルト設定の管理の詳細については、セキュリティのデフォルトを有効または無効にする方法に関する Microsoft のドキュメントを参照してください。

  • が MFA コンテンツのクロールをブロック Amazon Kendra されないように、 SharePoint アカウントの多要素認証 ( SharePoint ) を無効にしました。

  • 基本認証以外の認証タイプを使用する場合: SharePoint インスタンスのテナント ID をコピーしました。テナント ID を確認する方法の詳細については、「Find your Microsoft 365 tenant ID」を参照してください。

  • Microsoft Entra でクラウドユーザー認証に移行する必要がある場合は、クラウド認証に関する Microsoft のドキュメントを参照してください。

  • OAuth 2.0 認証および OAuth 2.0 更新トークン認証の場合: SharePoint Online への接続に使用するユーザー名とパスワードと、Azure AD SharePoint への Word の登録後に生成されたクライアント ID とクライアントシークレットを含む基本的な認証情報を記録しました。

    • ACL を使用していない場合は、次のアクセス許可を追加しました。

      Microsoft Graph SharePoint
      • Notes.Read.All (アプリケーション) - すべての OneNote ノートブックを読み取る

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • AllSites.Read (委任) - すべてのサイトコレクションの項目を読み取る

      注記

      Note.Read.All および Sites.Read.All は、 OneNote ドキュメントをクロールする場合にのみ必要です。

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Sites.Selected (Application) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Microsoft の「Sites.Selected permissions」のブログを参照してください。

    • ACL を使用している場合は、次のアクセス許可を追加しました。

      Microsoft Graph SharePoint
      • Group.Member.Read.All (アプリケーション) - すべてのグループメンバーシップを読み取る

      • Notes.Read.All (アプリケーション) - すべての OneNote ノートブックを読み取る

      • Sites.FullControl。すべて (委任) - ドキュメントの ACLs を取得するために必要です

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • User.Read.All (アプリケーション) - すべてのユーザーの完全なプロフィールを読み取る

      • AllSites.Read (委任) - すべてのサイトコレクションの項目を読み取る

      注記

      GroupMember.Read.All と User.Read.All は、ID クローラーがアクティブ化されている場合にのみ必要です。

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Sites.Selected (Application) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Microsoft の「Sites.Selected permissions」のブログを参照してください。

  • Azure AD アプリ専用認証の場合: Azure AD に SharePoint を登録した後に生成したプライベートキーとクライアント ID。また、X.509 証明書にも注意してください。

    • ACL を使用していない場合は、次のアクセス許可を追加しました。

      SharePoint
      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目とリストにアクセスするために必要です

      注記

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Sites.Selected (Application) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Microsoft の「Sites.Selected permissions」のブログを参照してください。

    • ACL を使用している場合は、次のアクセス許可を追加しました。

      SharePoint
      • Sites.FullControl。すべて (アプリケーション) - ドキュメントの ACLs を取得するために必要です

      注記

      特定のサイトをクロールする場合、アクセス許可は、ドメインで利用可能なすべてのサイトではなく、特定のサイトに制限できます。Sites.Selected (Application) アクセス許可を設定します。この API アクセス許可では、Microsoft Graph API を使用してすべてのサイトにアクセス許可を明示的に設定する必要があります。詳細については、Microsoft の「Sites.Selected permissions」のブログを参照してください。

  • For SharePoint App-Only 認証: SharePoint App Only にアクセス許可を付与するときに生成された SharePoint クライアント ID とクライアントシークレット、および Azure AD に SharePoint アプリを登録したときに生成された クライアント ID とクライアントシークレットを記録しました。

    注記

    SharePoint アプリのみの認証は SharePoint 2013 バージョンではサポートされていません。

    • (オプション) OneNote ドキュメントをクロールし、ID クローラーを使用している場合は、次のアクセス許可を追加しました。

      Microsoft Graph
      • GroupMember.Read.All (アプリケーション) — すべてのグループメンバーシップを読み取る

      • Notes.Read.All (アプリケーション) - すべての OneNote ノートブックを読み取る

      • Sites.Read.All (アプリケーション) - すべてのサイトコレクションの項目を読み取る

      • User.Read.All (アプリケーション) - すべてのユーザーの完全なプロフィールを読み取る

    注記

    基本認証と API アプリのみの認証を使用してエンティティをクロールする場合、 SharePoint アクセス許可は必要ありません。

In SharePoint Server で、以下があることを確認します。

  • SharePoint インスタンスの URLs と URLs SharePoint のドメイン名をコピーしました。入力するホスト URL の形式は です。https://yourcompany/sites/mysite。 URLは で始まる必要がありますhttps

    注記

    (オンプレミス/サーバー) Amazon Kendra に含まれるエンドポイント情報が、データソース設定の詳細で指定されたエンドポイント情報 AWS Secrets Manager と同じかどうかを確認します。混乱する代理問題は、ユーザーがアクションを実行するアクセス許可がないにもかかわらず、 Amazon Kendra をプロキシとして使用して設定された秘密にアクセスし、アクションを実行するセキュリティの問題です。後でエンドポイント情報を変更する場合は、新しいシークレットを作成してこの情報を同期する必要があります。

  • が MFA コンテンツのクロールをブロック Amazon Kendra されないように、 SharePoint アカウントの多要素認証 ( SharePoint ) を無効にしました。

  • アクセスコントロールに SharePoint App-Only 認証を使用する場合:

    • サイトレベルでアプリのみを登録したときに生成された SharePoint クライアント ID をコピーしました。クライアント ID 形式は ClientId@TenantId です。例えば、 などです ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

    • サイトレベルでアプリのみを登録したときに生成された SharePoint クライアントシークレットをコピーしました。

    注: クライアント IDs とクライアントシークレットは、アプリケーションのみの認証用に SharePoint Server を登録する場合にのみ単一サイトに対して生成されるため、 SharePoint のみの認証では 1 つのサイト URL のみがサポートされます。

    注記

    SharePoint アプリのみの認証は、 SharePoint 2013 バージョンではサポートされていません。

  • [カスタムドメイン付き E メール ID] をアクセス制御に使用する場合:

    • カスタム E メールドメイン値を記録しました。例:「amazon.com".

  • IDP 認可のドメインで E メール ID を使用する場合は、以下をコピーします。

    • LDAP Server Endpoint (プロトコルとポート番号を含む LDAP サーバーのエンドポイント)。例えば:ldap://example.com:389.

    • LDAP Search Base (LDAP ユーザーの検索ベース)。例えば:CN=Users,DC=sharepoint,DC=com.

    • LDAP ユーザー名と LDAP パスワード。

  • 設定された NTLM 認証情報、またはユーザー名 (Word アカウントのユーザー名) とパスワード (SharePoint アカウントのパスワード) を含む設定された Kerberos SharePoint 認証情報のいずれか。

で AWS アカウント、以下があることを確認します。

  • Amazon Kendra インデックスを作成し、 API を使用している場合はインデックス ID を記録しました。

  • データソースの IAM ロールを作成し、 API を使用している場合は、 IAM ロールの ARN を記録しました。

    注記

    認証タイプと認証情報を変更する場合は、 IAM ロールを更新して正しい AWS Secrets Manager シークレット ID にアクセスする必要があります。

  • SharePoint 認証情報を AWS Secrets Manager シークレットに保存し、 API を使用している場合は、シークレットの ARN を記録しました。

    注記

    認証情報とシークレットは、定期的に更新またはローテーションすることをお勧めします。セキュリティに必要なアクセスレベルのみを提供してください。認証情報とシークレットを、データソース、コネクタバージョン 1.0 と 2.0 (該当する場合) で再利用することは推奨しません

既存の IAM ロールまたはシークレットがない場合は、 SharePoint データソースの接続時にコンソールを使用して新しい IAM ロールと Secrets Manager シークレットを作成できます Amazon Kendra。API を使用している場合は、既存の IAM ロールと Secrets Manager シークレットの ARN とインデックス ID を指定する必要があります。

接続手順

SharePoint データソース Amazon Kendra に接続するには、 が Amazon Kendra データにアクセスできるように、 SharePoint 認証情報の詳細を指定する必要があります。の SharePoint をまだ設定していない場合は、 Amazon Kendra 「」を参照してください前提条件

Console: SharePoint Online

SharePoint Online Amazon Kendra に接続するには

  1. にサインイン AWS Management Console し、 Amazon Kendra コンソールを開きます。

  2. 左側のナビゲーションペインで、[インデックス] を選択し、インデックスのリストから使用するインデックスを選択します。

    注記

    [インデックスの設定] で、[ユーザーアクセスコントロール] 設定を設定または編集できます。

  3. [使用開始] ページで、[データソースを追加] を選択します。

  4. データソースの追加ページで、SharePoint コネクタを選択し、コネクタの追加を選択します。バージョン 2 (該当する場合) を使用している場合は、「V2.0」タグが付いた SharePoint コネクタを選択します。

  5. [データソースの詳細を指定] ページで、次の情報を入力します。

    1. [名前と説明][データソース名] に、データソースの名前を入力します。ハイフン (-) は使用できますが、スペースは使用できません。

    2. (オプション) [説明] - オプションで、データソースの説明を入力します。

    3. デフォルト言語 - インデックスのドキュメントをフィルタリングする言語を選択します。特に指定しない限り、言語はデフォルトで英語に設定されます。ドキュメントのメタデータで指定された言語は、選択した言語よりも優先されます。

    4. タグ新しいタグを追加する - リソースを検索してフィルタリングしたり、 AWS コストを追跡したりするためのオプションのタグを含めます。

    5. [Next (次へ)] を選択します。

  6. [アクセスとセキュリティの定義] ページで、次の情報を入力します。

    1. ホスティング方法 - SharePointを選択します。

    2. URLs リポジトリに固有の Site SharePoint - SharePoint ホスト URLs を入力します。入力するホスト URLs の形式は です。https://yourdomain.sharepoint.com/sites/mysite。 URL はhttpsプロトコルで始まる必要があります。URLs を改行で区切ります。最大 100 URLs を追加できます。

    3. Domain - SharePoint ドメインを入力します。例えば、 URL のドメインは https://yourdomain.sharepoint.com/sites/mysite is yourdomain.

    4. 認可 - ACL があり、それをアクセスコントロールに使用する場合は、ドキュメントのアクセスコントロールリスト (ACL) 情報をオンまたはオフにします。ACL は、ユーザーとグループがアクセスできるドキュメントを指定します。ACL 情報は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングするために使用されます。詳細については、「User context filtering」を参照してください。

      ユーザー ID のタイプ、ユーザープリンシパル名、または Azure Portal から取得したユーザー E メールを選択することもできます。指定しない場合、E メールはデフォルトで使用されます。

    5. 認証 - 基本認証、OAuth 2.0、Azure AD アプリ専用認証、 SharePoint アプリ専用認証、または OAuth 2.0 更新トークン認証のいずれかを選択します。認証情報を保存する既存の AWS Secrets Manager シークレットを選択するか、シークレットを作成します。

      1. 基本認証を使用する場合、シークレットにはシークレット名、 SharePoint ユーザー名とパスワードが含まれている必要があります。

      2. OAuth 2.0 認証を使用する場合、シークレットには、 SharePoint テナント ID、シークレット名、 SharePoint ユーザー名、パスワード、Azure AD に SharePoint を登録するときに生成される Azure AD クライアント ID、および Azure AD に SharePoint を登録するときに生成される Azure AD クライアントシークレットが含まれている必要があります。

      3. Azure AD App-Only 認証を使用する場合、シークレットには、 SharePoint テナント ID、Azure AD 自己署名 X.509 証明書、シークレット名、Azure AD に SharePoint を登録したときに生成された Azure AD クライアント ID、および Azure AD のコネクタを認証するためのプライベートキーが含まれている必要があります。

      4. SharePoint App-Only 認証を使用する場合、シークレットには、テナントレベルでアプリのみを登録したときに生成した SharePoint テナント ID、シークレット名、 SharePoint クライアント ID、テナントレベルでアプリのみの登録時に生成した SharePoint クライアントシークレット、Azure AD に SharePoint を登録するときに生成した Azure AD クライアント ID、および Azure AD に SharePoint を登録するときに生成した Azure AD クライアントシークレットが含まれている必要があります。

        SharePoint クライアント ID の形式は です。ClientID@TenantId。 例えば、ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

      5. OAuth 2.0 更新トークン認証を使用する場合、シークレットには、 SharePoint テナント ID、シークレット名、Azure AD に SharePoint を登録したときに生成された一意の Azure AD クライアント ID、Azure AD に SharePoint を登録したときに生成された Azure AD クライアントシークレット、 SharePoint Amazon Kendra に接続するために生成された更新トークンが含まれている必要があります。

    6. Virtual Private Cloud (VPC) — VPC の使用を選択できます。その場合は、サブネットVPC セキュリティグループを追加する必要があります。

    7. ID クローラー - Amazon Kendraの ID クローラーを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントに ACL があり、ACL の使用を選択した場合は、 Amazon Kendra ID クローラーをオンにして検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、代わりに PutPrincipalMapping を使用してAPIユーザーコンテキストフィルタリングのためにユーザーおよびグループのアクセス情報をアップロードできます。

      ローカルグループマッピングまたは Azure Active Directory グループマッピングをクロールすることもできます。

      注記

      AD グループのマッピングクロールは、OAuth 2.0、OAuth 2.0 更新トークン、および SharePoint App Only 認証でのみ使用できます。

    8. IAM role - 既存の IAM ロールを選択するか、新しい IAM ロールを作成してリポジトリ認証情報にアクセスし、コンテンツにインデックスを作成します。

      注記

      IAM インデックスに使用される ロールは、データソースには使用できません。既存のロールがインデックスまたは FAQ に使用されているかどうか不明な場合は、エラーを避けるために新しいロールの作成を選択します。

    9. [Next (次へ)] を選択します。

  7. [同期設定の構成] ページで、次の情報を入力します。

    1. [同期の範囲] で、次のオプションから選択します。

      1. [エンティティの選択] - クロールするエンティティを選択します。[すべて] のエンティティをクロールするか、[ファイル][添付ファイル][リンク][ページ][イベント][コメント][リストデータ] を組み合わせてクロールするかを選択できます。

      2. [追加の設定] では、[エンティティ正規表現パターン] の場合 - [リンク][ページ][イベント] に正規表現パターンを追加して、すべてのドキュメントを同期する代わりに特定のエンティティを含めることができます。

      3. 正規表現パターン - すべてのドキュメントを同期する代わりに、ファイルパスファイル名ファイルタイプOneNote セクション名OneNote ページ名でファイルを含めたり除外したりするための正規表現パターンを追加します。最大 100 個を追加できます。

        注記

        OneNote クローリングは、OAuth 2.0、OAuth 2.0 更新トークン、および SharePoint App Only 認証でのみ使用できます。

    2. [同期モード] では、データソースのコンテンツが変更されたときのインデックスの更新方法を選択します。 Amazon Kendra でデータソースを初めて同期すると、デフォルトですべてのコンテンツが同期されます。

      • [完全同期] - 前回の同期ステータスに関係なく、すべてのコンテンツを同期します。

      • [新規または変更済みのドキュメントを同期] - 新規または変更済みのドキュメントのみを同期します。

      • [新規、変更済み、または削除されたドキュメントを同期] - 新規、変更済み、または削除されたドキュメントのみを同期します。

    3. 同期実行スケジュール、頻度 - データソースコンテンツを同期してインデックスを更新する頻度を選択します。

    4. [Next (次へ)] を選択します。

  8. [フィールドマッピングを設定] ページで、次の情報を入力します。

    1. デフォルトのデータソースフィールド - インデックスにマッピングする Amazon Kendra 、生成されたデフォルトのデータソースフィールドから選択します。

    2. [フィールドを追加] - カスタムデータソースフィールドを追加して、マッピング先のインデックスフィールド名とフィールドデータタイプを作成します。

    3. [Next (次へ)] を選択します。

  9. [確認と作成] ページで、入力した情報が正しいことを確認し、[データソースを追加] を選択します。このページで情報の編集を選択することもできます。データソースが正常に追加されると、データソースが [データソース] ページに表示されます。

Console: SharePoint Server

SharePoint Amazon Kendra に接続するには

  1. にサインイン AWS Management Console し、 Amazon Kendra コンソールを開きます。

  2. 左側のナビゲーションペインで、[インデックス] を選択し、インデックスのリストから使用するインデックスを選択します。

    注記

    [インデックスの設定] で、[ユーザーアクセスコントロール] 設定を設定または編集できます。

  3. [使用開始] ページで、[データソースを追加] を選択します。

  4. データソースの追加ページで、SharePoint コネクタを選択し、コネクタの追加を選択します。バージョン 2 (該当する場合) を使用している場合は、「V2.0」タグが付いた SharePoint コネクタを選択します。

  5. [データソースの詳細を指定] ページで、次の情報を入力します。

    1. [名前と説明][データソース名] に、データソースの名前を入力します。ハイフン (-) は使用できますが、スペースは使用できません。

    2. (オプション) [説明] - オプションで、データソースの説明を入力します。

    3. デフォルト言語 - インデックスのドキュメントをフィルタリングする言語を選択します。特に指定しない限り、言語はデフォルトで英語に設定されます。ドキュメントのメタデータで指定された言語は、選択した言語よりも優先されます。

    4. タグ新しいタグを追加する - リソースを検索してフィルタリングしたり、 AWS コストを追跡したりするためのオプションのタグを含めます。

    5. [Next (次へ)] を選択します。

  6. [アクセスとセキュリティの定義] ページで、次の情報を入力します。

    1. ホスティング方法 - SharePoint サーバーを選択します。

    2. Select SharePoint Version - SharePoint 2013SharePoint 2016SharePoint 2019、WordSharePoint (Subscription Edition) のいずれかを選択します。

    3. URLs リポジトリに固有の Site SharePoint - SharePoint ホスト URLs を入力します。入力するホスト URLs の形式は です。https://yourcompany/sites/mysite。 URL はhttpsプロトコルで始まる必要があります。URLs を改行で区切ります。最大 100 URLs を追加できます。

    4. Domain - SharePoint ドメインを入力します。例えば、 URL のドメインは https://yourcompany/sites/mysite is yourcompany

    5. SSL 証明書の場所 - SSL 証明書ファイルへの Amazon S3 パスを入力します。

    6. (オプション) ウェブプロキシの場合 - ホスト名 ( http://または https://プロトコルなし) と、ホスト URL トランスポートプロトコルで使用されるポート番号を入力します。ポート番号の数値は 0~65535 の間である必要があります。

    7. 認可 - ACL があり、それをアクセスコントロールに使用する場合は、ドキュメントのアクセスコントロールリスト (ACL) 情報をオンまたはオフにします。ACL は、ユーザーとグループがアクセスできるドキュメントを指定します。ACL 情報は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングするために使用されます。詳細については、「User context filtering」を参照してください。

      For SharePoint Server は、次の ACL オプションから選択できます。

      1. IDP からのドメインを持つ E メール ID - ユーザー ID は、基盤となる ID プロバイダー (IDs) からフェッチされたドメインを持つ E メール IDP に基づいています。認証の一部として、シークレットに Secrets Manager IDP 接続の詳細を指定します。

      2. カスタムドメインを持つ E メール ID - ユーザー ID は、カスタム E メールドメイン値に基づいています。たとえば、「amazon.com「」。 E メールドメインは、アクセスコントロール用の E メール ID を作成するために使用されます。カスタム E メールドメインを入力する必要があります。

      3. Domain\User with Domain - ユーザー ID は Domain\User ID 形式を使用して構築されます。有効なドメイン名を指定する必要があります。例えば:"sharepoint2019" アクセスコントロールを構築するための 。

    8. 認証 では、 SharePoint App-Only 認証、NTLM 認証、または Kerberos 認証のいずれかを選択します。認証情報を保存する既存の AWS Secrets Manager シークレットを選択するか、シークレットを作成します。

      1. NTLM 認証または Kerberos 認証を使用する場合は、シークレット名、 SharePoint ユーザー名とパスワードをシークレットに含める必要があります。

        IDP のドメインで E メール ID を使用する場合は、以下も入力します。

        • LDAP Server Endpoint — プロトコルとポート番号を含む LDAP サーバーのエンドポイント。例えば:ldap://example.com:389.

        • LDAP Search Base — LDAP ユーザーの検索ベース。例えば:CN=Users,DC=sharepoint,DC=com.

        • LDAP username - LDAP ユーザー名。

        • LDAP Password - LDAP パスワード。

      2. SharePoint App-Only 認証を使用する場合、シークレットにはシークレット名、サイトレベルでの App Only の登録時に生成した SharePoint クライアント ID、サイトレベルでの App Only の登録時に生成した SharePoint クライアントシークレットを含める必要があります。

        SharePoint クライアント ID の形式は です。ClientID@TenantId。 例えば、ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

        注: クライアント IDs およびクライアントシークレットは、アプリケーションのみの認証用に SharePoint Server を登録する場合にのみ単一サイトに対して生成されるため、URL のみの認証では 1 つのサイト SharePoint のみがサポートされます。

        IDP のドメインで E メール ID を使用する場合は、以下も入力します。

        • LDAP Server Endpoint — プロトコルとポート番号を含む LDAP サーバーのエンドポイント。例えば:ldap://example.com:389.

        • LDAP Search Base — LDAP ユーザーの検索ベース。例えば:CN=Users,DC=sharepoint,DC=com.

        • LDAP username - LDAP ユーザー名。

        • LDAP Password - LDAP パスワード。

    9. Virtual Private Cloud (VPC) — VPC の使用を選択できます。その場合は、サブネットVPC セキュリティグループを追加する必要があります。

    10. ID クローラー - Amazon Kendraの ID クローラーを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントに ACL があり、その ACL を使用することを選択した場合は、 Amazon Kendra ID クローラをオンにして、検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、API PutPrincipalMapping を使用してユーザーコンテキストフィルタリングのためにユーザーおよびグループのアクセス情報をアップロードできます。

      ローカルグループマッピングまたは Azure Active Directory グループマッピングをクロールすることもできます。

      注記

      AD グループのマッピングクロールは、 SharePoint アプリのみの認証でのみ使用できます。

    11. IAM role - 既存の IAM ロールを選択するか、新しい IAM ロールを作成してリポジトリ認証情報にアクセスし、コンテンツにインデックスを作成します。

      注記

      IAM インデックスに使用される ロールは、データソースには使用できません。既存のロールがインデックスまたは FAQ に使用されているかどうか不明な場合は、エラーを避けるために新しいロールの作成を選択します。

    12. [Next (次へ)] を選択します。

  7. [同期設定の構成] ページで、次の情報を入力します。

    1. [同期の範囲] で、次のオプションから選択します。

      1. [エンティティの選択] - クロールするエンティティを選択します。[すべて] のエンティティをクロールするか、[ファイル][添付ファイル][リンク][ページ][イベント][リストデータ] を組み合わせてクロールするかを選択できます。

      2. [追加の設定] では、[エンティティ正規表現パターン] の場合 - [リンク][ページ][イベント] に正規表現パターンを追加して、すべてのドキュメントを同期する代わりに特定のエンティティを含めることができます。

      3. 正規表現パターン - 正規表現パターンを追加して、すべてのドキュメントを同期する代わりに、ファイルパスファイル名OneNote セクション名OneNote ページ名でファイルを含めたり除外したりします。最大 100 個を追加できます。

        注記

        OneNote クローリングは、 SharePoint アプリのみの認証でのみ使用できます。

    2. [同期モード] - データソースのコンテンツが変更されたときのインデックスの更新方法を選択します。データソースを Amazon Kendra と初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択しなくても、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。

      • 完全同期: データソースがインデックスと同期するたびに、既存のコンテンツを置き換えて、すべてのコンテンツのインデックスを作成します。

      • 新しい、変更された同期: データソースがインデックスと同期するたびに、新しいコンテンツと変更されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、前回の同期以降に変更されたコンテンツとインデックスコンテンツを追跡できます。

      • 新規、変更、削除された同期: データソースがインデックスと同期するたびに、新規、変更、削除されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、コンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

    3. 同期実行スケジュール、頻度 - データソースコンテンツを同期してインデックスを更新する頻度を選択します。

    4. [Next (次へ)] を選択します。

  8. [フィールドマッピングを設定] ページで、次の情報を入力します。

    1. デフォルトのデータソースフィールド - インデックスにマッピングする Amazon Kendra 、生成されたデフォルトのデータソースフィールドから選択します。

    2. [フィールドを追加] - カスタムデータソースフィールドを追加して、マッピング先のインデックスフィールド名とフィールドデータタイプを作成します。

    3. [Next (次へ)] を選択します。

  9. [確認と作成] ページで、入力した情報が正しいことを確認し、[データソースを追加] を選択します。このページで情報の編集を選択することもできます。データソースが正常に追加されると、データソースが [データソース] ページに表示されます。

API

SharePoint Amazon Kendra に接続するには

JSON を使用してデータソーススキーマTemplateConfigurationWord を指定する必要があります。 APIこれには、以下の情報を入力する必要があります。

  • データソース - を使用するSHAREPOINTV2ときにデータソースタイプを として指定します。 TemplateConfiguration JSONスキーマ。また、 を呼び出すTEMPLATEときにデータソースを として指定します。 CreateDataSource API.

  • リポジトリエンドポイントメタデータ - SharePoint インスタンスsiteUrlstenantIDdomainと を指定します。

  • 同期モード - データソースコンテンツが変更されたときに Amazon Kendra がインデックスを更新する方法を指定します。データソースを Amazon Kendra と初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択しなくても、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。以下のいずれかから選択できます。

    • FORCED_FULL_CRAWL データソースがインデックスと同期するたびに既存のコンテンツを置き換えて、すべてのコンテンツに新しいインデックスを作成します。

    • FULL_CRAWL は、データソースがインデックスと同期するたびに、新規、変更、削除されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、コンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

    • CHANGE_LOG は、データソースがインデックスと同期するたびに、新しいコンテンツと変更されたコンテンツのインデックスのみを作成します。 Amazon Kendra は、データソースのメカニズムを使用して、コンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

  • ID クローラー - Amazon Kendraの ID クローラーを有効にするかどうかを指定します。ID クローラは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて検索結果をフィルタリングします。ドキュメントに ACL があり、ACL の使用を選択した場合は、 Amazon Kendra ID クローラをオンにして検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合、ID クローラがオフになっていると、すべてのドキュメントをパブリックに検索できます。ドキュメントのアクセスコントロールを使用し、ID クローラがオフになっている場合は、API PutPrincipalMapping を使用してユーザーコンテキストフィルタリングのためにユーザーおよびグループのアクセス情報をアップロードできます。

    注記

    ID クローラーは、 crawlAclを に設定している場合にのみ使用できますtrue

  • リポジトリの追加プロパティ - 以下を指定します。

    • (Azure AD の場合) s3bucketNames3certificateName を使用して Azure AD 自己署名 X.509 証明書を保存します。

    • 使用する認証タイプ (auth_Type)。、、OAuth2OAuth2AppOAuth2CertificateBasicNTLMOAuth2_RefreshTokenおよび のいずれかですKerberos

    • 使用するバージョン (versionOnlineServer または 。Server を使用する場合、onPremVersion201320162019、または SubscriptionEdition としてさらに指定できます。

  • シークレット Amazon リソースネーム (ARN) - ARN アカウントで作成した認証情報を含む Secrets Manager シークレットの Amazon リソースネーム ( SharePoint ) を指定します。

    SharePoint Online を使用する場合は、Basic、OAuth 2.0、Azure AD アプリ専用、 SharePoint アプリ専用のいずれかの認証を選択できます。認証オプションごとにシークレットに含める必要がある最小限の JSON 構造を次に示します。

    • 基本認証

      { "userName": "SharePoint account user name", "password": "SharePoint account password" }
    • OAuth 2.0 認証

      { "clientId": "client id generated when registering SharePoint with Azure AD", "clientSecret": "client secret generated when registering SharePoint with Azure AD", "userName": "SharePoint account user name", "password": "SharePoint account password" }
    • Azure AD アプリ専用認証

      { "clientId": "client id generated when registering SharePoint with Azure AD", "privateKey": "private key to authorize connection with Azure AD" }
    • SharePoint App-Only 認証

      { "clientId": "client id generated when registering SharePoint for App Only at Tenant Level", "clientSecret": "client secret generated when registering SharePoint for App Only at Tenant Level", "adClientId": "client id generated while registering SharePoint with Azure AD", "adClientSecret": "client secret generated while registering SharePoint with Azure AD" }
    • OAuth 2.0 更新トークン認証

      { "clientId": "client id generated when registering SharePoint with Azure AD", "clientSecret": "client secret generated when registering SharePoint with Azure AD", "refreshToken": "refresh token generated to connect to SharePoint" }

    SharePoint Server を使用する場合は、 SharePoint App-Only 認証、NTLM 認証、Kerberos 認証のいずれかを選択できます。認証オプションごとにシークレットに含める必要がある最小限の JSON 構造を次に示します。

    • SharePoint アプリケーションのみの認証

      { "siteUrlsHash": "Hash representation of SharePoint site URLs", "clientId": "client id generated when registering SharePoint for App Only at Site Level", "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level" }
    • SharePoint 認可からのドメインによる IDP アプリ専用認証

      { "siteUrlsHash": "Hash representation of SharePoint site URLs", "clientId": "client id generated when registering SharePoint for App Only at Site Level", "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level", "ldapUrl": "LDAP Account url eg. ldap://example.com:389", "baseDn": "LDAP Account base dn eg. CN=Users,DC=sharepoint,DC=com", "ldapUser": "LDAP account user name", "ldapPassword": "LDAP account password" }
    • (サーバーのみ) NTLM または Kerberos 認証

      { "siteUrlsHash": "Hash representation of SharePoint site URLs", "userName": "SharePoint account user name", "password": "SharePoint account password" }
    • (サーバーのみ) NTLM 認可からのドメインによる IDP または Kerberos 認証

      { "siteUrlsHash": "Hash representation of SharePoint site URLs", "userName": "SharePoint account user name", "password": "SharePoint account password", "ldapUrl": "ldap://example.com:389", "baseDn": "CN=Users,DC=sharepoint,DC=com", "ldapUser": "LDAP account user name", "ldapPassword": "LDAP account password" }
  • IAM role - を呼び出しCreateDataSourceて IAM ロールに Secrets Manager シークレットへのアクセス許可を付与し、 SharePoint コネクタと に必要なパブリック APIs を呼び出すRoleArnタイミングを指定します Amazon Kendra。詳細については、「IAM Roles for SharePoint data sources」を参照してください。

オプションで、次の機能を追加することもできます。

  • Virtual Private Cloud (VPC) - を呼び出すVpcConfigurationときに を指定しますCreateDataSource。詳細については、「を使用する Amazon Kendra ように を設定する Amazon VPC」を参照してください。

  • 包含フィルターと除外フィルター - 特定のファイル、 OneNotes、およびその他のコンテンツを含めるか除外するかを指定できます。

    注記

    ほとんどのデータソースは、フィルターと呼ばれる包含または除外パターンである正規表現パターンを使用しています。包含フィルターを指定すると、包含フィルターに一致するコンテンツのみのインデックスが作成されます。包含フィルターに一致しないドキュメントのインデックスは作成されません。包含フィルターと除外フィルターを指定した場合、除外フィルターに一致するドキュメントは、包含フィルターと一致してもインデックスは作成されません。

  • フィールドマッピング - 選択すると、 SharePoint データソースフィールドを Amazon Kendra インデックスフィールドにマッピングします。詳細については、データソースフィールドのマッピングを参照してください。

    注記

    がドキュメント Amazon Kendra を検索するには、ドキュメント本文フィールドまたはドキュメントと同等のドキュメント本文が必要です。データソースのドキュメント本文フィールド名をインデックスフィールド名 にマッピングする必要があります_document_body。その他のすべてのフィールドはオプションです。

設定するその他の重要な JSON キーのリストについては、SharePoint テンプレートスキーマ」を参照してください。

メモ

  • コネクタは [ファイル] エンティティのカスタムフィールドマッピングのみをサポートします。

  • すべての SharePoint Server バージョンでは、ACL トークンは小文字である必要があります。IDP からのドメインを持つ E メールと、カスタムドメインワードを持つ E メール ID の場合: ACL user@sharepoint2019.comDomain\User with Domain ACL の場合、次に例を示します。sharepoint2013\user.

  • コネクタは、 SharePoint 2013 の変更ログモード/新規または変更されたコンテンツの同期をサポートしていません。

  • エンティティ名に%文字が含まれている場合、コネクタは API の制限によりこれらのファイルをスキップします。

  • OneNote は、テナント ID を使用してコネクタによってのみクロールでき、OAuth 2.0、OAuth 2.0 更新トークン、または SharePoint Online でアクティブ化された SharePoint App Only 認証でのみクロールできます。

  • コネクタは、ドキュメントの名前が変更された場合でも、デフォルト名のみを使用して a OneNote ドキュメントの最初のセクションをクロールします。

  • コネクタは、リンクに加えてクロールするエンティティとしてページファイルが選択されている場合にのみ、 SharePoint 2019、 SharePoint Online、および Subscription Edition でリンクをクロールします

  • リンクがクロールするエンティティとして選択されている場合、コネクタは SharePoint 2013 と SharePoint 2016 のリンクをクロールします。

  • コネクタがリストの添付ファイルとコメントをクロールするのは、クロール対象のエンティティとして [リストデータ] も選択されている場合のみです。

  • コネクタがイベント添付ファイルをクロールするのは、クロール対象のエンティティとして [イベント] も選択されている場合のみです。

  • For SharePoint Online バージョンの場合、ACL トークンは小文字になります。たとえば、ユーザープリンシパル名が の場合 MaryMajor@domain.com Azure ポータルでは、ACL Connector の SharePoint トークンは になります。marymajor@domain.com.

  • Identity Crawler for SharePoint Online and Server で、ネストされたグループをクロールする場合は、ローカルおよび AD グループのクロールをアクティブ化する必要があります。

  • SharePoint Online を使用していて、Azure Portal のユーザープリンシパル名が大文字と小文字の組み合わせである場合、API SharePoint は内部的に小文字に変換します。このため、 Amazon Kendra SharePoint コネクタは小文字で ACL を設定します。