View a markdown version of this page

Document-level controles de acesso - Amazon Quick
Como funcionaAtivar o gerenciamento de ACLReal-time verificação de acessoPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Document-level controles de acesso

Admin-managed SharePoint as bases de conhecimento oferecem suporte opcional ao controle de acesso em nível de documento. Quando ativado, o Amazon Quick sincroniza as listas de controle de acesso (ACLs) de cada SharePoint rastreamento. O sistema verifica as permissões de cada usuário no momento da consulta, para que os usuários só vejam as respostas dos documentos aos quais estão autorizados a acessar. SharePoint

Como funciona

Quando um usuário consulta um agente do Amazon Quick que usa uma base de SharePoint conhecimento gerenciada pelo administrador com o gerenciamento de ACL ativado, o sistema aplica controles de acesso em dois estágios:

  1. Pre-retrieval filtragem — O Amazon Quick realiza uma pesquisa semântica no índice vetorial para encontrar as passagens mais relevantes do documento. O sistema aplica listas de controle de acesso que foram sincronizadas SharePoint durante o último rastreamento. Isso produz um conjunto preliminar de documentos candidatos.

  2. Real-time verificação — O sistema verifica os documentos do candidato em tempo real, verificando o acesso atual do usuário consultor. SharePoint Somente os documentos que o usuário está atualmente autorizado a acessar são incluídos na resposta.

Essa abordagem de dois estágios fornece controle de acesso em nível de documento que permanece atualizado mesmo quando SharePoint as permissões mudam entre as sincronizações.

Ativar o gerenciamento de ACL

O gerenciamento de ACL é configurado durante a criação da base de conhecimento na etapa Configurações adicionais. Marque a caixa de seleção Controlar acesso a documentos com ACLs para ativá-la.

Importante

O gerenciamento de ACL não pode ser alterado após a criação da base de conhecimento. Se precisar alterar essa configuração, você deverá criar uma nova base de conhecimento.

Para habilitar o gerenciamento de ACL, o registro do aplicativo Entra deve ter as seguintes permissões:

  • User.Read.Alle GroupMember.Read.All no Microsoft Graph.

  • Sites.FullControl.Allno SharePoint recurso ou Sites.Selected com permissões por site concedidas.

Para obter mais informações sobre as melhores práticas de ACL, consulteMelhores práticas para gerenciar ACLs em bases de conhecimento.

Real-time verificação de acesso

O estágio de verificação em tempo real usa um fluxo OAuth delegado gerenciado automaticamente pelo Amazon Quick. O Quick cria e gerencia um aplicativo Microsoft Entra separado especificamente para essa finalidade. Nenhuma configuração do cliente é necessária para este aplicativo. É diferente do registro de aplicativo gerenciado pelo administrador que você criou durante a configuração e de qualquer aplicativo OAuth gerenciado pelo usuário.

  1. Um usuário faz uma pergunta no assistente de bate-papo rápido.

  2. Se a resposta envolver SharePoint conteúdo de uma base de ACL-enabled conhecimento, o Quick solicita que o usuário faça login SharePoint em.

  3. O usuário entra e aceita a caixa de diálogo de consentimento da Microsoft (se o consentimento do administrador não tiver sido concedido).

  4. O Quick usa o token delegado do usuário para verificar o acesso a cada documento candidato em tempo real.

  5. Somente os documentos aos quais o usuário atualmente tem acesso SharePoint são incluídos na resposta.

O login é uma etapa única. As credenciais delegadas usam um token de atualização e duram aproximadamente 90 dias.

Permissões delegadas

O aplicativo ACL em tempo real solicita as seguintes permissões delegadas:

Real-time ACL — permissões delegadas
Permissão Escopo Finalidade
Leia itens em todos os conjuntos de sites Sites.Read.All Verifique o acesso do usuário ao conteúdo SharePoint do site.
Leia seus arquivos Files.Read.All Verifique o acesso do usuário a arquivos específicos.
Veja seu perfil básico User.Read Identifique o usuário conectado.
Mantenha o acesso aos dados aos quais você concedeu acesso offline_access Atualize os tokens para que os usuários não precisem se autenticar novamente com frequência.

A verificação de ACL em tempo real usa um aplicativo Microsoft Entra separado daquele usado na configuração gerenciada pelo usuário ou no registro do aplicativo gerenciado pelo administrador. Se sua organização exigir o consentimento do administrador, um administrador deverá conceder o consentimento para cada aplicativo de forma independente.

Quando você ativa o gerenciamento de ACL durante a criação da base de conhecimento, o console Amazon Quick fornece um link direto para conceder o consentimento do administrador. Esse link é para o aplicativo ACL em tempo real. Se você for administrador do Microsoft 365, poderá conceder consentimento diretamente do console. Caso contrário, compartilhe o link com seu administrador.

Se o consentimento do administrador não for concedido, cada usuário verá a caixa de diálogo de consentimento na primeira consulta que envolve SharePoint conteúdo. Depois de aceitarem, eles não serão avisados novamente por aproximadamente 90 dias.

Para obter instruções detalhadas sobre como conceder o consentimento do administrador por meio da caixa de diálogo de consentimento ou do centro de administração do Microsoft Entra, consulteConceder consentimento do administrador em toda a organização.

Próximas etapas

Para obter mais informações sobre as melhores práticas de ACL, consulteMelhores práticas para gerenciar ACLs em bases de conhecimento. Para obter informações sobre a criação de bases de SharePoint conhecimento gerenciadas pelo administrador, consulte. Admin-managed configuração (credenciais de serviço)