As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar credenciais de serviço
Antes de criar a base de conhecimento no Amazon Quick, conclua as seguintes etapas de configuração no AWS Microsoft Entra ID. Você cria uma chave de assinatura KMS, gera um certificado, registra um aplicativo no Entra e concede permissão ao Amazon Quick para usar a chave.
Essa configuração envolve vários sistemas e pode exigir coordenação entre diferentes administradores em sua organização. A tabela a seguir resume cada etapa e a função necessária para concluí-la.
**Etapas e funções de configuração**
| Etapa | O que você faz | Função necessária |
| --- | --- | --- |
| 1. Chave KMS | Crie uma chave de assinatura assimétrica no AWS KMS. | AWS administrador (acesso ao console KMS e IAM) |
| 2. Certificado | Gere um certificado autoassinado usando a chave pública KMS. | Igual à Etapa 1 (AWS CLI e OpenSSL necessários) |
| 3. Entrar no aplicativo | Registre um aplicativo no Microsoft Entra, atribua permissões de API e faça o upload do certificado. | Administrador global do Microsoft 365 ou administrador com função privilegiada |
| 3b. Sites. Selecionados (opcional) | Crie um aplicativo de administrador temporário e conceda permissões por site por meio da API do Microsoft Graph. | Microsoft 365 Global Admin (igual à Etapa 3) |
| 4. Acesso à chave KMS | Conceda permissão ao Amazon Quick para usar a chave KMS para assinar. | Administrador do Amazon Quick (Admin Pro) |
| 5. Criar KB | Crie a base de conhecimento no Amazon Quick usando as credenciais das etapas anteriores. | Qualquer usuário do Amazon Quick (Author Pro ou Admin Pro) |
**dica**
Em muitas organizações, uma única pessoa com acesso de administrador AWS e ao Microsoft 365 pode concluir todas as etapas. Se as responsabilidades forem divididas entre as equipes, compartilhe esta tabela para coordenar a configuração.
## Pré-requisitos
Antes de começar, verifique se você tem o seguinte:
+ Uma AWS conta com uma instância ativa do Amazon Quick.
+ Acesso ao console AWS KMS (para criar a chave de assinatura).
+ Acesso de administrador do Amazon Quick (função Admin Pro) para conceder permissões de chave KMS.
+ Um inquilino do Microsoft 365 com o SharePoint Online.
+ Acesso de administrador global ou administrador com função privilegiada no Microsoft Entra ID.
+ OpenSSL 3.0 ou posterior e AWS CLI instalados localmente.
+ A AWS conta e a instância do Amazon Quick devem estar na mesma região.
## Permissões
As permissões que você atribui dependem de duas opções:
+ Se você planeja ativar o controle de acesso em nível de documento (rastreamento de ACL).
+ Se você deseja conceder acesso a todos os SharePoint sites ou somente a sites específicos.
### Escolha seu escopo de permissão
Por padrão, o registro do aplicativo Entra usa `Sites.Read.All` or`Sites.FullControl.All`, que concede acesso a todos os SharePoint sites do seu locatário. Se sua organização exigir acesso com privilégios mínimos, você poderá usar em vez disso. `Sites.Selected` Com`Sites.Selected`, o aplicativo só pode acessar sites aos quais você concede permissão explícita.
**Comparação do escopo de permissão**
| Escopo | Acesso | Etapas adicionais |
| --- | --- | --- |
| Todos os sites (padrão) | O aplicativo pode ler todos os SharePoint sites do inquilino. | — |
| Sites.Selected | O aplicativo só pode acessar sites que você concede explicitamente. | Requer um aplicativo de administração temporário e uma chamada à API do Microsoft Graph para cada site. Consulte [Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected)](#sharepoint-kb-admin-sites-selected). |
**nota**
Se você usar`Sites.Selected`, deverá conceder acesso a cada site individualmente. Qualquer novo site adicionado à base de conhecimento no futuro também exigirá uma concessão de permissão separada.
**Todos os sites — somente conteúdo (sem ACL)**
**Permissões somente de conteúdo**
| solicitações de | Permissão | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Read.All | Aplicação |
| SharePoint DESCANSO | Sites.Read.All | Aplicação |
**Todos os sites — com rastreamento de ACL**
**Permissões de rastreamento de ACL**
| solicitações de | Permissão | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Read.All | Aplicação |
| Microsoft Graph | User.Read.All | Aplicação |
| Microsoft Graph | GroupMember.Read.All | Aplicação |
| SharePoint DESCANSO | Sites.FullControl.All | Aplicação |
**Importante**
Escolha as permissões para todos os sites nas tabelas anteriores ou as `Sites.Selected` permissões nas tabelas a seguir. Não combine os dois. Se você não tiver certeza, comece com todos os sites. Você pode criar um novo registro do aplicativo Entra `Sites.Selected` posteriormente, se necessário.
**Sites.Selected — somente conteúdo (sem ACL)**
**Sites. Permissões selecionadas somente para conteúdo**
| solicitações de | Permissão | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Selected | Aplicação |
| SharePoint DESCANSO | Sites.Selected | Aplicação |
**Sites.Selected — com rastreamento de ACL**
**Sites. Permissões de rastreamento de ACL selecionadas**
| solicitações de | Permissão | Tipo |
| --- | --- | --- |
| Microsoft Graph | Sites.Selected | Aplicação |
| Microsoft Graph | User.Read.All | Aplicação |
| Microsoft Graph | GroupMember.Read.All | Aplicação |
| SharePoint DESCANSO | Sites.Selected | Aplicação |
**nota**
OneNote crawling (`Notes.Read.All`) não é suportado na configuração gerenciada pelo administrador. A Microsoft retirou os tokens somente para aplicativos OneNote APIs em 31 de março de 2025. Use [Configuração gerenciada pelo usuário](sharepoint-kb-user-managed.md) para OneNote conteúdo.
## Valores coletados durante a configuração
A tabela a seguir resume os valores que você cria ou coleta durante a configuração e onde você os usa.
**Referência de valores**
| Valor | Criado na etapa | Usado na etapa |
| --- | --- | --- |
| ARN da chave KMS | 1 (KM) | 2 (Certificado), 4 (IAM), Configuração rápida |
| Arquivo de certificado (certificate.cer) | 2 (Certificado) | 3 (Insira o upload) |
| Impressão digital do certificado (base64url) | 2 (Certificado) | Configuração rápida |
| ID do aplicativo (cliente) | 3 (Entrar) | Configuração rápida |
| ID do diretório (inquilino) | 3 (Entrar) | Configuração rápida |
| SharePoint URL do domínio | Seu inquilino do M365 | Configuração rápida |
## Etapa 1: criar uma chave de assinatura assimétrica do AWS KMS
O Amazon Quick usa uma chave assimétrica AWS KMS para assinar OAuth declarações ao se autenticar com o Microsoft Entra ID. A chave privada nunca sai do KMS. Somente a chave pública é exportada e incorporada em um certificado que é carregado no registro do seu aplicativo Entra.
### Crie a chave KMS
1. Abra o [AWS console do KMS](https://console.aws.amazon.com/kms).
1. Na navegação esquerda, escolha **Chaves gerenciadas pelo cliente**.
1. Escolha **Criar chave**.
### Configurar a chave
Na página **Configurar chave**, defina os seguintes valores:
**Configuração da chave do KMS**
| Configuração | Valor |
| --- | --- |
| Tipo de chave | Assimétrica |
| Uso da chave | Assinar e verificar |
| Especificação da chave | RSA\$12048 |
| Origem do material de chave | KMS (recomendado) |
| Regionalidade | Chave de região única (padrão). As chaves multirregionais não são suportadas. |
### Adicionar rótulos
Na página **Adicionar rótulos**, insira um alias para a chave. Por exemplo: `quick-sharepoint-service-auth`.
**nota**
As permissões de administrador e uso de chaves nas páginas a seguir são opcionais. Os padrões são suficientes para essa configuração. Você concede ao Amazon Quick acesso à chave separadamente na Etapa 4.
Escolha **Ignorar para revisão** e, em seguida, escolha **Concluir** para criar a chave.
### Grave o ARN da chave
Depois que a chave for criada, abra a página de detalhes da chave e registre o **ARN da chave**. O ARN tem o seguinte formato:
```
arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
Você precisa desse valor nas etapas 2, 4 e ao criar a base de conhecimento no Quick.
## Etapa 2: gerar um certificado autoassinado
O Microsoft Entra ID exige um certificado X.509 para validar declarações assinadas. Como a chave privada do KMS nunca sai do AWS KMS, você não pode usá-la diretamente com o OpenSSL. Em vez disso, você gera um key pair local temporário e cria uma solicitação de assinatura de certificado. Em seguida, use a opção `-force_pubkey` OpenSSL para injetar a chave pública KMS no certificado final. O resultado é um certificado autoassinado cuja chave pública corresponde ao par de chaves KMS.
### Pré-requisitos
+ AWS CLI instalada e configurada.
+ OpenSSL 3.0 ou posterior.
+ O ARN da chave KMS da Etapa 1.
### Gere o certificado
Execute os comandos a seguir em um terminal. Substitua *placeholder* os valores pelos seus.
**Verifique a versão do OpenSSL**
```
openssl version
```
Confirme se a saída mostra a versão 3.0 ou posterior.
**Exportar a chave pública do KMS**
```
aws kms get-public-key \
--key-id KMS_KEY_ARN \
--region REGION \
--output text \
--query PublicKey | base64 --decode > public_key.der
```
**nota**
No macOS, use `base64 --decode` ou `base64 -D` dependendo do seu ambiente de shell.
**Converta a chave pública para o formato PEM**
```
openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem
```
**Gere um par de chaves local temporário**
```
openssl genrsa -out temp_private_key.pem 2048
```
**Crie uma solicitação de assinatura de certificado**
```
openssl req -new \
-key temp_private_key.pem \
-out cert.csr \
-subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"
```
**Gere o certificado com a chave pública KMS**
```
openssl x509 -req \
-in cert.csr \
-signkey temp_private_key.pem \
-out certificate.pem \
-days 730 \
-force_pubkey kms_public_key.pem
```
**nota**
O OpenSSL exibe o aviso. `Signature key and public key of cert do not match` Isso é esperado porque o certificado é assinado com a chave local temporária, mas contém a chave pública do KMS. O certificado é válido e funciona corretamente com o Microsoft Entra.
**Converta para o formato DER para upload do Entra**
```
openssl x509 -in certificate.pem -outform DER -out certificate.cer
```
**Limpar arquivos temporários**
```
rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
```
**Importante**
Guarde o `certificate.cer` arquivo. Você o carrega para o Microsoft Entra ID na Etapa 3.
### Calcule a impressão digital do certificado
Execute o comando a seguir para calcular a impressão digital SHA-1 codificada em base64url do certificado:
```
openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='
```
Registre esse valor. Você o insere ao criar a base de conhecimento no Quick.
**nota**
A impressão digital codificada em base64url é diferente da impressão digital hexadecimal mostrada no portal Microsoft Entra. O Quick requer o formato base64url.
## Etapa 3: registrar um aplicativo no Microsoft Entra ID
Essa etapa é necessária independentemente de você usar permissões para todos os sites ou`Sites.Selected`. A única diferença é quais permissões de API você atribui na [Configurar permissões de API](#sharepoint-kb-admin-entra-permissions) seção.
### Registre o aplicativo
1. Faça login no [centro de administração do Microsoft Entra](https://entra.microsoft.com/).
1. No painel de navegação à esquerda, expanda **Entra ID** e escolha **Registros de aplicativos.**
1. Escolha **Novo registro**.
1. Em **Nome**, digite `QuickSharePointServiceAuth`.
1. Para **Tipos de conta compatíveis**, selecione **Contas somente neste diretório organizacional (inquilino único)**.
1. Deixe o **URI de redirecionamento** em branco. Um URI de redirecionamento não é necessário porque o aplicativo usa o fluxo de credenciais do cliente, não um fluxo de login interativo.
1. Escolha **Registrar**.
### Registre os detalhes do aplicativo
Na página **Visão geral do** aplicativo, registre os seguintes valores:
**Detalhes da aplicação**
| Valor | Local |
| --- | --- |
| ID da aplicação (cliente) | Mostrado na página Visão geral em Essentials. |
| ID do diretório (locatário) | Mostrado na página Visão geral em Essentials. |
### Configurar permissões de API
Adicione as permissões que correspondem ao seu caso de uso. Escolha as permissões nas tabelas da [Permissões](#sharepoint-kb-admin-config-permissions) seção. Baseie sua seleção no escopo da permissão (todos os sites ou Sites.Selected) e se você habilita o rastreamento de ACL.
**Somente conteúdo — Microsoft Graph**
+ `Sites.Read.All`
**Somente conteúdo — SharePoint**
+ `Sites.Read.All`
**Rastreamento de ACL — Microsoft Graph (adicional)**
+ `Sites.Read.All`
+ `User.Read.All`
+ `GroupMember.Read.All`
**Rastreamento do ACL — SharePoint**
+ `Sites.FullControl.All`
**nota**
`Sites.FullControl.All`é necessário para o rastreamento da ACL porque a API SharePoint REST exige permissões de controle total para ler as atribuições de permissão no nível do site e no nível do item. Se você estiver usando`Sites.Selected`, consulte [Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected)](#sharepoint-kb-admin-sites-selected) o conjunto de permissões alternativo.
1. Na navegação à esquerda do registro do seu aplicativo, escolha **Permissões da API**.
1. Escolha **Adicionar uma permissão**.
1. Escolha **Microsoft Graph**.
1. Escolha **Permissões do aplicativo**.
1. Pesquise e selecione as permissões necessárias do Microsoft Graph para seu caso de uso e escolha **Adicionar permissões**.
1. Escolha **Adicionar uma permissão** novamente.
1. Escolha **SharePoint**(em Microsoft APIs).
1. Escolha **Permissões do aplicativo**.
1. Pesquise e selecione as SharePoint permissões necessárias para seu caso de uso e escolha **Adicionar permissões**.
**Importante**
Selecione a guia **Permissões do aplicativo**, não **Permissões delegadas**. A configuração gerenciada pelo administrador usa o fluxo de credenciais do cliente, que requer permissões do aplicativo.
### Conceder consentimento do administrador
1. Na página de **permissões da API**, escolha **Conceder consentimento do administrador para [Sua organização]**.
1. Confirme o consentimento quando solicitado.
**Importante**
O consentimento do administrador é necessário para as permissões do aplicativo. Sem isso, o aplicativo não pode acessar SharePoint os dados.
### Faça o upload do certificado
1. No painel de navegação à esquerda do registro do seu aplicativo, escolha **Certificados e segredos**.
1. Escolha a guia **Certificados**.
1. Escolha **Carregar certificado**.
1. Selecione o `certificate.cer` arquivo que você gerou na Etapa 2.
1. Escolha **Adicionar**.
**nota**
O portal Entra exibe a impressão digital do certificado em formato hexadecimal. Isso é diferente da impressão digital codificada em base64url que você calculou na Etapa 2. Use o valor base64url ao configurar a base de conhecimento no Quick.
## Etapa 3b: Conceder permissões em nível de site (somente Sites.Selected)
Se você escolher `Sites.Selected` como escopo de permissão, deverá conceder explicitamente ao seu aplicativo Amazon Quick Entra acesso a cada SharePoint site. Isso requer um aplicativo de administrador temporário com `Sites.FullControl.All` permissão para chamar a API do Microsoft Graph.
Ignore esta etapa se você estiver usando o escopo de permissão para todos os sites (`Sites.Read.All`ou`Sites.FullControl.All`).
### Obtenha o ID do site para cada SharePoint site
Você precisa do ID do site para cada SharePoint site ao qual deseja conceder acesso. Para obter um ID do site:
1. No seu navegador, navegue até o SharePoint site (por exemplo,`https://yourcompany.sharepoint.com/sites/SiteName`).
1. Anexe `/_api/site/id` ao URL e pressione Enter. Por exemplo: `https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id`
1. A página exibe uma resposta XML contendo o ID do site (um GUID). Registre esse valor.
Repita o procedimento para cada site que você deseja incluir na base de conhecimento.
### Crie um aplicativo de administração temporário
O aplicativo de administração é usado somente para conceder permissões em nível de site ao seu aplicativo Amazon Quick. Você pode excluí-lo depois de concluir esta etapa.
1. No [centro de administração do Microsoft Entra](https://entra.microsoft.com/), acesse **Registros de aplicativos** e escolha **Novo registro**.
1. Em **Nome**, insira um nome descritivo, como`Quick-SharePoint-PermissionGranter`.
1. Para **Tipos de conta compatíveis**, selecione **Contas somente neste diretório organizacional (inquilino único)**.
1. Deixe o **URI de redirecionamento** em branco e escolha **Registrar**.
1. Registre a **ID do aplicativo (cliente)** na página Visão geral.
1. Escolha **permissões de API** e, em seguida, **adicione uma permissão**.
1. Escolha **Microsoft Graph** e, em seguida, **Permissões do aplicativo**. Pesquise e selecione`Sites.FullControl.All`. Escolha **Adicionar permissões**.
1. Escolha **Conceder consentimento do administrador para [Sua organização]** e confirme.
1. Escolha **Certificados e segredos e**, em seguida, **Novo segredo do cliente**. Insira uma descrição, escolha um período de expiração e escolha **Adicionar**.
1. Registre o **valor** secreto imediatamente. Esse valor só é exibido uma vez.
**Importante**
Copie o **valor** secreto, não o ID secreto. O valor é a string mais longa usada para autenticação.
### Obtenha um token de acesso
Use as credenciais do aplicativo de administrador para recuperar um OAuth token do Microsoft Entra. Substitua *placeholder* os valores pelo ID do cliente, valor secreto e ID do locatário do seu aplicativo administrativo.
**macOS e Linux (bash)**
```
curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "grant_type=client_credentials" \
--data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
--data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
--data-urlencode "scope=https://graph.microsoft.com/.default"
```
**Janelas (PowerShell)**
```
$tokenResponse = Invoke-RestMethod `
-Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
-Method Post `
-ContentType "application/x-www-form-urlencoded" `
-Body @{
grant_type = "client_credentials"
client_id = "ADMIN_APP_CLIENT_ID"
client_secret = "ADMIN_APP_SECRET_VALUE"
scope = "https://graph.microsoft.com/.default"
}
$adminToken = $tokenResponse.access_token
```
A resposta contém um `access_token` campo. Registre esse valor para a próxima etapa.
### Conceda permissões em nível de site
Use o token de administrador para conceder ao seu aplicativo Amazon Quick Entra `fullcontrol` acesso a cada SharePoint site. Substitua *placeholder* os valores pelo ID do site, pelo token administrativo, pelo ID do aplicativo cliente e pelo nome de exibição da Etapa 3.
**macOS e Linux (bash)**
```
curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ADMIN_TOKEN" \
--data '{
"roles": ["fullcontrol"],
"grantedToIdentities": [{
"application": {
"id": "CLIENT_APP_ID",
"displayName": "CLIENT_APP_NAME"
}
}]
}'
```
**Janelas (PowerShell)**
```
$body = @{
roles = @("fullcontrol")
grantedToIdentities = @(
@{
application = @{
id = "CLIENT_APP_ID"
displayName = "CLIENT_APP_NAME"
}
}
)
} | ConvertTo-Json -Depth 10
Invoke-RestMethod `
-Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
-Method Post `
-Headers @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $adminToken"
} `
-Body $body
```
Uma resposta bem-sucedida inclui `"roles": ["fullcontrol"]` o ID do aplicativo cliente no `grantedToIdentities` campo.
**Importante**
Repita esse comando para cada SharePoint site que você deseja incluir na base de conhecimento. Todos os novos sites adicionados no future também exigem uma concessão de permissão separada.
### Limpeza
Depois de conceder permissões para todos os sites necessários, você pode excluir o aplicativo de administração temporário do centro de administração do Microsoft Entra. As permissões no nível do site que você concedeu permanecem em vigor independentemente do aplicativo de administração.
**nota**
O aplicativo de administração temporário é usado somente em seu ambiente local para chamar a API do Microsoft Graph. O Amazon Quick nunca vê ou tem acesso ao aplicativo de administrador ou às suas credenciais. Somente as credenciais do aplicativo cliente são fornecidas ao Amazon Quick quando você cria a base de conhecimento.
## Etapa 4: Conceder permissão ao Amazon Quick para a chave KMS
O Amazon Quick precisa de permissão para usar a chave KMS para assinar OAuth declarações. Você concede essa permissão no console de administração do Amazon Quick.
**nota**
Esta etapa requer acesso de administrador do Amazon Quick (função Admin Pro). Se você não for administrador, peça ao administrador do Amazon Quick que conclua essa etapa usando a chave KMS ARN da Etapa 1.
**Importante**
Se sua organização gerencia sua própria função de serviço Amazon Quick IAM, as seguintes etapas do console podem não se aplicar. Em vez disso, certifique-se de que a função tenha `kms:Sign` permissão no ARN da chave KMS da Etapa 1.
1. No Amazon Quick, escolha **Gerenciar conta** no painel de navegação esquerdo.
1. Em **Permissões**, escolha **AWS recursos**.
1. Na página de AWS recursos, vá até **AWS Key Management Service** e marque a caixa de seleção.
1. Escolha **Selecionar teclas**.
1. **Na caixa de diálogo **Selecionar chaves KMS**, insira o ARN da chave KMS que você gravou na Etapa 1 e escolha Adicionar.**
1. A chave ARN aparece na lista. Escolha **Terminar**.
1. Escolha **Salvar** na parte inferior da página de AWS recursos.
## Próximas etapas
Depois de concluir a configuração, crie a conexão da base de conhecimento SharePoint on-line no Amazon Quick. Para instruções, consulte [Crie a base de conhecimento no Amazon Quick](sharepoint-kb-admin-connection.md).