View a markdown version of this page

Controles de acesso em nível de documento - Amazon Quick
Como funcionaAtivar o gerenciamento de ACLVerificação de acesso em tempo realPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles de acesso em nível de documento

As bases de SharePoint conhecimento gerenciadas pelo administrador oferecem suporte opcional ao controle de acesso em nível de documento. Quando ativado, o Amazon Quick sincroniza as listas de controle de acesso (ACLs) SharePoint de cada rastreamento. O sistema verifica as permissões de cada usuário no momento da consulta, para que os usuários só vejam as respostas dos documentos aos quais estão autorizados a acessar. SharePoint

Como funciona

Quando um usuário consulta um agente do Amazon Quick que usa uma base de SharePoint conhecimento gerenciada pelo administrador com o gerenciamento de ACL ativado, o sistema aplica controles de acesso em dois estágios:

  1. Filtragem de pré-recuperação — O Amazon Quick realiza uma pesquisa semântica no índice vetorial para encontrar as passagens mais relevantes do documento. O sistema aplica listas de controle de acesso que foram sincronizadas SharePoint durante o último rastreamento. Isso produz um conjunto preliminar de documentos candidatos.

  2. Verificação em tempo real — O sistema verifica os documentos do candidato em tempo real, verificando o acesso atual do usuário consultor. SharePoint Somente os documentos que o usuário está atualmente autorizado a acessar são incluídos na resposta.

Essa abordagem de dois estágios fornece controle de acesso em nível de documento que permanece atualizado mesmo quando SharePoint as permissões mudam entre as sincronizações.

Ativar o gerenciamento de ACL

O gerenciamento de ACL é configurado durante a criação da base de conhecimento na etapa Configurações adicionais. Marque a ACLs caixa de seleção Controlar acesso ao documento com para ativá-la.

Importante

O gerenciamento de ACL não pode ser alterado após a criação da base de conhecimento. Se precisar alterar essa configuração, você deverá criar uma nova base de conhecimento.

Para habilitar o gerenciamento de ACL, o registro do aplicativo Entra deve ter as seguintes permissões:

  • User.Read.Alle GroupMember.Read.All no Microsoft Graph.

  • Sites.FullControl.Allno SharePoint recurso ou Sites.Selected com permissões por site concedidas.

Para obter mais informações sobre as melhores práticas de ACL, consulteMelhores práticas para gerenciamento ACLs em bases de conhecimento.

Verificação de acesso em tempo real

O estágio de verificação em tempo real usa um OAuth fluxo delegado gerenciado automaticamente pelo Amazon Quick. O Quick cria e gerencia um aplicativo Microsoft Entra separado especificamente para essa finalidade. Nenhuma configuração do cliente é necessária para este aplicativo. É diferente do registro de aplicativo gerenciado pelo administrador que você criou durante a configuração e de qualquer aplicativo gerenciado pelo usuário. OAuth

  1. Um usuário faz uma pergunta no assistente de bate-papo rápido.

  2. Se a resposta envolver SharePoint conteúdo de uma base de conhecimento habilitada para ACL, o Quick solicitará que o usuário faça login em. SharePoint

  3. O usuário entra e aceita a caixa de diálogo de consentimento da Microsoft (se o consentimento do administrador não tiver sido concedido).

  4. O Quick usa o token delegado do usuário para verificar o acesso a cada documento candidato em tempo real.

  5. Somente os documentos aos quais o usuário atualmente tem acesso SharePoint são incluídos na resposta.

O login é uma etapa única. As credenciais delegadas usam um token de atualização e duram aproximadamente 90 dias.

Permissões delegadas

O aplicativo ACL em tempo real solicita as seguintes permissões delegadas:

ACL em tempo real — permissões delegadas
Permissão Escopo Finalidade
Leia itens em todos os conjuntos de sites Sites.Read.All Verifique o acesso do usuário ao conteúdo SharePoint do site.
Leia seus arquivos Files.Read.All Verifique o acesso do usuário a arquivos específicos.
Veja seu perfil básico User.Read Identifique o usuário conectado.
Mantenha o acesso aos dados aos quais você concedeu acesso offline_access Atualize os tokens para que os usuários não precisem se autenticar novamente com frequência.

A verificação de ACL em tempo real usa um aplicativo Microsoft Entra separado daquele usado na configuração gerenciada pelo usuário ou no registro do aplicativo gerenciado pelo administrador. Se sua organização exigir o consentimento do administrador, um administrador deverá conceder o consentimento para cada aplicativo de forma independente.

Quando você ativa o gerenciamento de ACL durante a criação da base de conhecimento, o console Amazon Quick fornece um link direto para conceder o consentimento do administrador. Esse link é para o aplicativo ACL em tempo real. Se você for administrador do Microsoft 365, poderá conceder consentimento diretamente do console. Caso contrário, compartilhe o link com seu administrador.

Se o consentimento do administrador não for concedido, cada usuário verá a caixa de diálogo de consentimento na primeira consulta que envolve SharePoint conteúdo. Depois de aceitarem, eles não serão avisados novamente por aproximadamente 90 dias.

Para obter instruções detalhadas sobre como conceder o consentimento do administrador por meio da caixa de diálogo de consentimento ou do centro de administração do Microsoft Entra, consulteConceder consentimento do administrador em toda a organização.

Próximas etapas

Para obter mais informações sobre as melhores práticas de ACL, consulteMelhores práticas para gerenciamento ACLs em bases de conhecimento. Para obter informações sobre a criação de bases de SharePoint conhecimento gerenciadas pelo administrador, consulte. Configuração gerenciada pelo administrador (credenciais de serviço)