View a markdown version of this page

Configurar credenciais de serviço - Amazon Quick
Pré-requisitosPermissõesValores coletados durante a configuraçãoEtapa 1: criar uma chave de assinatura assimétrica do AWS KMSEtapa 2: gerar um certificado autoassinadoEtapa 3: registrar um aplicativo no Microsoft Entra IDEtapa 3b: Conceder permissões em nível de site (somente Sites.Selected)Etapa 4: Conceder permissão ao Amazon Quick para a chave KMSPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar credenciais de serviço

Antes de criar a base de conhecimento no Amazon Quick, conclua as seguintes etapas de configuração no AWS Microsoft Entra ID. Você cria uma chave de assinatura KMS, gera um certificado, registra um aplicativo no Entra e concede permissão ao Amazon Quick para usar a chave.

Essa configuração envolve vários sistemas e pode exigir coordenação entre diferentes administradores em sua organização. A tabela a seguir resume cada etapa e a função necessária para concluí-la.

Etapas e funções de configuração
Etapa O que você faz Função necessária
1. Chave KMS Crie uma chave de assinatura assimétrica no AWS KMS. AWS administrador (acesso ao console KMS e IAM)
2. Certificado Gere um certificado autoassinado usando a chave pública KMS. Igual à Etapa 1 (AWS CLI e OpenSSL necessários)
3. Entrar no aplicativo Registre um aplicativo no Microsoft Entra, atribua permissões de API e faça o upload do certificado. Administrador global do Microsoft 365 ou administrador com função privilegiada
3b. Sites. Selecionados (opcional) Crie um aplicativo de administrador temporário e conceda permissões por site por meio da API do Microsoft Graph. Microsoft 365 Global Admin (igual à Etapa 3)
4. Acesso à chave KMS Conceda permissão ao Amazon Quick para usar a chave KMS para assinar. Administrador do Amazon Quick (Admin Pro)
5. Criar KB Crie a base de conhecimento no Amazon Quick usando as credenciais das etapas anteriores. Qualquer usuário do Amazon Quick (Author Pro ou Admin Pro)
dica

Em muitas organizações, uma única pessoa com acesso de administrador AWS e ao Microsoft 365 pode concluir todas as etapas. Se as responsabilidades forem divididas entre as equipes, compartilhe esta tabela para coordenar a configuração.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Uma AWS conta com uma instância ativa do Amazon Quick.

  • Acesso ao console AWS KMS (para criar a chave de assinatura).

  • Acesso de administrador do Amazon Quick (função Admin Pro) para conceder permissões de chave KMS.

  • Um inquilino do Microsoft 365 com o SharePoint Online.

  • Acesso de administrador global ou administrador com função privilegiada no Microsoft Entra ID.

  • OpenSSL 3.0 ou posterior e AWS CLI instalados localmente.

  • A AWS conta e a instância do Amazon Quick devem estar na mesma região.

Permissões

As permissões que você atribui dependem de duas opções:

  • Se você planeja ativar o controle de acesso em nível de documento (rastreamento de ACL).

  • Se você deseja conceder acesso a todos os SharePoint sites ou somente a sites específicos.

Escolha seu escopo de permissão

Por padrão, o registro do aplicativo Entra usa Sites.Read.All orSites.FullControl.All, que concede acesso a todos os SharePoint sites do seu locatário. Se sua organização exigir acesso com privilégios mínimos, você poderá usar em vez disso. Sites.Selected ComSites.Selected, o aplicativo só pode acessar sites aos quais você concede permissão explícita.

Comparação do escopo de permissão
Escopo Acesso Etapas adicionais
Todos os sites (padrão) O aplicativo pode ler todos os SharePoint sites do inquilino.
Sites.Selected O aplicativo só pode acessar sites que você concede explicitamente. Requer um aplicativo de administração temporário e uma chamada à API do Microsoft Graph para cada site. Consulte Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected).
nota

Se você usarSites.Selected, deverá conceder acesso a cada site individualmente. Qualquer novo site adicionado à base de conhecimento no futuro também exigirá uma concessão de permissão separada.

Todos os sites — somente conteúdo (sem ACL)

Permissões somente de conteúdo
solicitações de Permissão Tipo
Microsoft Graph Sites.Read.All Aplicação
SharePoint DESCANSO Sites.Read.All Aplicação

Todos os sites — com rastreamento de ACL

Permissões de rastreamento de ACL
solicitações de Permissão Tipo
Microsoft Graph Sites.Read.All Aplicação
Microsoft Graph User.Read.All Aplicação
Microsoft Graph GroupMember.Read.All Aplicação
SharePoint DESCANSO Sites.FullControl.All Aplicação
Importante

Escolha as permissões para todos os sites nas tabelas anteriores ou as Sites.Selected permissões nas tabelas a seguir. Não combine os dois. Se você não tiver certeza, comece com todos os sites. Você pode criar um novo registro do aplicativo Entra Sites.Selected posteriormente, se necessário.

Sites.Selected — somente conteúdo (sem ACL)

Sites. Permissões selecionadas somente para conteúdo
solicitações de Permissão Tipo
Microsoft Graph Sites.Selected Aplicação
SharePoint DESCANSO Sites.Selected Aplicação

Sites.Selected — com rastreamento de ACL

Sites. Permissões de rastreamento de ACL selecionadas
solicitações de Permissão Tipo
Microsoft Graph Sites.Selected Aplicação
Microsoft Graph User.Read.All Aplicação
Microsoft Graph GroupMember.Read.All Aplicação
SharePoint DESCANSO Sites.Selected Aplicação
nota

OneNote crawling (Notes.Read.All) não é suportado na configuração gerenciada pelo administrador. A Microsoft retirou os tokens somente para aplicativos OneNote APIs em 31 de março de 2025. Use Configuração gerenciada pelo usuário para OneNote conteúdo.

Valores coletados durante a configuração

A tabela a seguir resume os valores que você cria ou coleta durante a configuração e onde você os usa.

Referência de valores
Valor Criado na etapa Usado na etapa
ARN da chave KMS 1 (KM) 2 (Certificado), 4 (IAM), Configuração rápida
Arquivo de certificado (certificate.cer) 2 (Certificado) 3 (Insira o upload)
Impressão digital do certificado (base64url) 2 (Certificado) Configuração rápida
ID do aplicativo (cliente) 3 (Entrar) Configuração rápida
ID do diretório (inquilino) 3 (Entrar) Configuração rápida
SharePoint URL do domínio Seu inquilino do M365 Configuração rápida

Etapa 1: criar uma chave de assinatura assimétrica do AWS KMS

O Amazon Quick usa uma chave assimétrica AWS KMS para assinar OAuth declarações ao se autenticar com o Microsoft Entra ID. A chave privada nunca sai do KMS. Somente a chave pública é exportada e incorporada em um certificado que é carregado no registro do seu aplicativo Entra.

Crie a chave KMS

  1. Abra o AWS console do KMS.

  2. Na navegação esquerda, escolha Chaves gerenciadas pelo cliente.

  3. Escolha Criar chave.

Configurar a chave

Na página Configurar chave, defina os seguintes valores:

Configuração da chave do KMS
Configuração Valor
Tipo de chave Assimétrica
Uso da chave Assinar e verificar
Especificação da chave RSA_2048
Origem do material de chave KMS (recomendado)
Regionalidade Chave de região única (padrão). As chaves multirregionais não são suportadas.

Adicionar rótulos

Na página Adicionar rótulos, insira um alias para a chave. Por exemplo: quick-sharepoint-service-auth.

nota

As permissões de administrador e uso de chaves nas páginas a seguir são opcionais. Os padrões são suficientes para essa configuração. Você concede ao Amazon Quick acesso à chave separadamente na Etapa 4.

Escolha Ignorar para revisão e, em seguida, escolha Concluir para criar a chave.

Grave o ARN da chave

Depois que a chave for criada, abra a página de detalhes da chave e registre o ARN da chave. O ARN tem o seguinte formato:

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Você precisa desse valor nas etapas 2, 4 e ao criar a base de conhecimento no Quick.

Etapa 2: gerar um certificado autoassinado

O Microsoft Entra ID exige um certificado X.509 para validar declarações assinadas. Como a chave privada do KMS nunca sai do AWS KMS, você não pode usá-la diretamente com o OpenSSL. Em vez disso, você gera um key pair local temporário e cria uma solicitação de assinatura de certificado. Em seguida, use a opção -force_pubkey OpenSSL para injetar a chave pública KMS no certificado final. O resultado é um certificado autoassinado cuja chave pública corresponde ao par de chaves KMS.

Pré-requisitos

  • AWS CLI instalada e configurada.

  • OpenSSL 3.0 ou posterior.

  • O ARN da chave KMS da Etapa 1.

Gere o certificado

Execute os comandos a seguir em um terminal. Substitua placeholder os valores pelos seus.

Verifique a versão do OpenSSL

openssl version

Confirme se a saída mostra a versão 3.0 ou posterior.

Exportar a chave pública do KMS

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
nota

No macOS, use base64 --decode ou base64 -D dependendo do seu ambiente de shell.

Converta a chave pública para o formato PEM

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Gere um par de chaves local temporário

openssl genrsa -out temp_private_key.pem 2048

Crie uma solicitação de assinatura de certificado

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Gere o certificado com a chave pública KMS

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
nota

O OpenSSL exibe o aviso. Signature key and public key of cert do not match Isso é esperado porque o certificado é assinado com a chave local temporária, mas contém a chave pública do KMS. O certificado é válido e funciona corretamente com o Microsoft Entra.

Converta para o formato DER para upload do Entra

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Limpar arquivos temporários

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
Importante

Guarde o certificate.cer arquivo. Você o carrega para o Microsoft Entra ID na Etapa 3.

Calcule a impressão digital do certificado

Execute o comando a seguir para calcular a impressão digital SHA-1 codificada em base64url do certificado:

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Registre esse valor. Você o insere ao criar a base de conhecimento no Quick.

nota

A impressão digital codificada em base64url é diferente da impressão digital hexadecimal mostrada no portal Microsoft Entra. O Quick requer o formato base64url.

Etapa 3: registrar um aplicativo no Microsoft Entra ID

Essa etapa é necessária independentemente de você usar permissões para todos os sites ouSites.Selected. A única diferença é quais permissões de API você atribui na Configurar permissões de API seção.

Registre o aplicativo

  1. Faça login no centro de administração do Microsoft Entra.

  2. No painel de navegação à esquerda, expanda Entra ID e escolha Registros de aplicativos.

  3. Escolha Novo registro.

  4. Em Nome, digite QuickSharePointServiceAuth.

  5. Para Tipos de conta compatíveis, selecione Contas somente neste diretório organizacional (inquilino único).

  6. Deixe o URI de redirecionamento em branco. Um URI de redirecionamento não é necessário porque o aplicativo usa o fluxo de credenciais do cliente, não um fluxo de login interativo.

  7. Escolha Registrar.

Registre os detalhes do aplicativo

Na página Visão geral do aplicativo, registre os seguintes valores:

Detalhes da aplicação
Valor Local
ID da aplicação (cliente) Mostrado na página Visão geral em Essentials.
ID do diretório (locatário) Mostrado na página Visão geral em Essentials.

Configurar permissões de API

Adicione as permissões que correspondem ao seu caso de uso. Escolha as permissões nas tabelas da Permissões seção. Baseie sua seleção no escopo da permissão (todos os sites ou Sites.Selected) e se você habilita o rastreamento de ACL.

Somente conteúdo — Microsoft Graph

  • Sites.Read.All

Somente conteúdo — SharePoint

  • Sites.Read.All

Rastreamento de ACL — Microsoft Graph (adicional)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

Rastreamento do ACL — SharePoint

  • Sites.FullControl.All

nota

Sites.FullControl.Allé necessário para o rastreamento da ACL porque a API SharePoint REST exige permissões de controle total para ler as atribuições de permissão no nível do site e no nível do item. Se você estiver usandoSites.Selected, consulte Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected) o conjunto de permissões alternativo.

  1. Na navegação à esquerda do registro do seu aplicativo, escolha Permissões da API.

  2. Escolha Adicionar uma permissão.

  3. Escolha Microsoft Graph.

  4. Escolha Permissões do aplicativo.

  5. Pesquise e selecione as permissões necessárias do Microsoft Graph para seu caso de uso e escolha Adicionar permissões.

  6. Escolha Adicionar uma permissão novamente.

  7. Escolha SharePoint(em Microsoft APIs).

  8. Escolha Permissões do aplicativo.

  9. Pesquise e selecione as SharePoint permissões necessárias para seu caso de uso e escolha Adicionar permissões.

Importante

Selecione a guia Permissões do aplicativo, não Permissões delegadas. A configuração gerenciada pelo administrador usa o fluxo de credenciais do cliente, que requer permissões do aplicativo.

  1. Na página de permissões da API, escolha Conceder consentimento do administrador para [Sua organização].

  2. Confirme o consentimento quando solicitado.

Importante

O consentimento do administrador é necessário para as permissões do aplicativo. Sem isso, o aplicativo não pode acessar SharePoint os dados.

Faça o upload do certificado

  1. No painel de navegação à esquerda do registro do seu aplicativo, escolha Certificados e segredos.

  2. Escolha a guia Certificados.

  3. Escolha Carregar certificado.

  4. Selecione o certificate.cer arquivo que você gerou na Etapa 2.

  5. Escolha Adicionar.

nota

O portal Entra exibe a impressão digital do certificado em formato hexadecimal. Isso é diferente da impressão digital codificada em base64url que você calculou na Etapa 2. Use o valor base64url ao configurar a base de conhecimento no Quick.

Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected)

Se você escolher Sites.Selected como escopo de permissão, deverá conceder explicitamente ao seu aplicativo Amazon Quick Entra acesso a cada SharePoint site. Isso requer um aplicativo de administrador temporário com Sites.FullControl.All permissão para chamar a API do Microsoft Graph.

Ignore esta etapa se você estiver usando o escopo de permissão para todos os sites (Sites.Read.AllouSites.FullControl.All).

Obtenha o ID do site para cada SharePoint site

Você precisa do ID do site para cada SharePoint site ao qual deseja conceder acesso. Para obter um ID do site:

  1. No seu navegador, navegue até o SharePoint site (por exemplo,https://yourcompany.sharepoint.com/sites/SiteName).

  2. Anexe /_api/site/id ao URL e pressione Enter. Por exemplo: https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. A página exibe uma resposta XML contendo o ID do site (um GUID). Registre esse valor.

Repita o procedimento para cada site que você deseja incluir na base de conhecimento.

Crie um aplicativo de administração temporário

O aplicativo de administração é usado somente para conceder permissões em nível de site ao seu aplicativo Amazon Quick. Você pode excluí-lo depois de concluir esta etapa.

  1. No centro de administração do Microsoft Entra, acesse Registros de aplicativos e escolha Novo registro.

  2. Em Nome, insira um nome descritivo, comoQuick-SharePoint-PermissionGranter.

  3. Para Tipos de conta compatíveis, selecione Contas somente neste diretório organizacional (inquilino único).

  4. Deixe o URI de redirecionamento em branco e escolha Registrar.

  5. Registre a ID do aplicativo (cliente) na página Visão geral.

  6. Escolha permissões de API e, em seguida, adicione uma permissão.

  7. Escolha Microsoft Graph e, em seguida, Permissões do aplicativo. Pesquise e selecioneSites.FullControl.All. Escolha Adicionar permissões.

  8. Escolha Conceder consentimento do administrador para [Sua organização] e confirme.

  9. Escolha Certificados e segredos e, em seguida, Novo segredo do cliente. Insira uma descrição, escolha um período de expiração e escolha Adicionar.

  10. Registre o valor secreto imediatamente. Esse valor só é exibido uma vez.

Importante

Copie o valor secreto, não o ID secreto. O valor é a string mais longa usada para autenticação.

Obtenha um token de acesso

Use as credenciais do aplicativo de administrador para recuperar um OAuth token do Microsoft Entra. Substitua placeholder os valores pelo ID do cliente, valor secreto e ID do locatário do seu aplicativo administrativo.

macOS e Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Janelas (PowerShell)

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

A resposta contém um access_token campo. Registre esse valor para a próxima etapa.

Conceda permissões em nível de site

Use o token de administrador para conceder ao seu aplicativo Amazon Quick Entra fullcontrol acesso a cada SharePoint site. Substitua placeholder os valores pelo ID do site, pelo token administrativo, pelo ID do aplicativo cliente e pelo nome de exibição da Etapa 3.

macOS e Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Janelas (PowerShell)

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Uma resposta bem-sucedida inclui "roles": ["fullcontrol"] o ID do aplicativo cliente no grantedToIdentities campo.

Importante

Repita esse comando para cada SharePoint site que você deseja incluir na base de conhecimento. Todos os novos sites adicionados no future também exigem uma concessão de permissão separada.

Limpeza

Depois de conceder permissões para todos os sites necessários, você pode excluir o aplicativo de administração temporário do centro de administração do Microsoft Entra. As permissões no nível do site que você concedeu permanecem em vigor independentemente do aplicativo de administração.

nota

O aplicativo de administração temporário é usado somente em seu ambiente local para chamar a API do Microsoft Graph. O Amazon Quick nunca vê ou tem acesso ao aplicativo de administrador ou às suas credenciais. Somente as credenciais do aplicativo cliente são fornecidas ao Amazon Quick quando você cria a base de conhecimento.

Etapa 4: Conceder permissão ao Amazon Quick para a chave KMS

O Amazon Quick precisa de permissão para usar a chave KMS para assinar OAuth declarações. Você concede essa permissão no console de administração do Amazon Quick.

nota

Esta etapa requer acesso de administrador do Amazon Quick (função Admin Pro). Se você não for administrador, peça ao administrador do Amazon Quick que conclua essa etapa usando a chave KMS ARN da Etapa 1.

Importante

Se sua organização gerencia sua própria função de serviço Amazon Quick IAM, as seguintes etapas do console podem não se aplicar. Em vez disso, certifique-se de que a função tenha kms:Sign permissão no ARN da chave KMS da Etapa 1.

  1. No Amazon Quick, escolha Gerenciar conta no painel de navegação esquerdo.

  2. Em Permissões, escolha AWS recursos.

  3. Na página de AWS recursos, vá até AWS Key Management Service e marque a caixa de seleção.

  4. Escolha Selecionar teclas.

  5. Na caixa de diálogo Selecionar chaves KMS, insira o ARN da chave KMS que você gravou na Etapa 1 e escolha Adicionar.

  6. A chave ARN aparece na lista. Escolha Terminar.

  7. Escolha Salvar na parte inferior da página de AWS recursos.

Próximas etapas

Depois de concluir a configuração, crie a conexão da base de conhecimento SharePoint on-line no Amazon Quick. Para instruções, consulte Crie a base de conhecimento no Amazon Quick.