SharePoint 连接器 V2.0 - Amazon Kendra
支持的特征先决条件 连接说明注意

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SharePoint 连接器 V2.0

SharePoint 是一项协作建站服务,可用于自定义 Web 内容以及创建页面、站点、文档库和列表。您可以使用 … Amazon Kendra 为您的 SharePoint 数据源编制索引。

Amazon Kendra 目前支持 SharePoint 在线版和 SharePoint服务器版(2013 年、2016 年、2019 年和订阅版)。

注意

对 SharePoint 连接器 V1.0/的支持计划 SharePointConfiguration API于 2023 年结束。我们建议迁移到或使用 SharePoint 连接器 V2.0/ TemplateConfiguration API。

用于对您进行故障排除 Amazon Kendra SharePoint 数据源连接器,请参阅数据来源故障排除

支持的特征

Amazon Kendra SharePoint 数据源连接器支持以下功能:

  • 字段映射

  • 用户访问控制

  • 包含/排除筛选条件

  • 完整内容和增量内容同步

  • 虚拟私有云 (VPC)

先决条件

在你可以使用之前 Amazon Kendra 要索引您的 SharePoint 数据源,请在 SharePoint 和中进行这些更改 AWS 账户。

您需要提供身份验证凭证,这些凭据可以安全地存储在 AWS Secrets Manager 秘密。

注意

我们建议您定期刷新或轮换您的凭证和密码。为了安全起见,请仅提供必要的访问权限级别。我们建议不要跨数据来源以及连接器版本 1.0 和 2.0(如果适用)重复使用凭证和密钥。

在 “在 SharePoint 线” 中,请确保你有:

  • 已复制您的 SharePoint 实例URLs。URL您输入的主机格式为 https://yourdomain.sharepoint.com/sites/mysite。 您URL必须以开头https并包含sharepoint.com

  • 已复制您的 SharePoint 实例的域名URL。

  • 已记下您的基本身份验证凭据,其中包含用户名和密码,具有连接到 On SharePoint line 的站点管理员权限。

  • 使用管理用户在 Azure 门户中停用安全默认值。有关在 Azure 门户中管理安全默认设置的更多信息,请参阅 Microsoft 关于如何启用/禁用安全默认设置的文档

  • 已在您的 SharePoint账户中停用多因素身份验证 (MFA),这样 Amazon Kendra 不会被阻止抓取您的 SharePoint 内容。

  • 如果使用基本身份验证以外的身份验证类型:已复制 SharePoint 实例的租户 ID。有关如何查找租户 ID 的详细信息,请参阅查找您的 Microsoft 365 租户 ID

  • 如果你需要使用 Microsoft Entra 迁移到云用户身份验证,请参阅微软关于云身份验证的文档

  • 对于 OAuth 2.0 身份验证和 OAuth 2.0 刷新令牌身份验证:记下您的基本身份验证凭据,其中包含用于连接到 On SharePoint line 的用户名和密码以及注册 SharePoint 到 Azure AD 后生成的客户端 ID 和客户端密钥。

    • 如果您不使用 ACL,请添加以下权限:

      Microsoft Graph SharePoint

      • Notes.Read.All(应用程序)-阅读所有笔记本 OneNote

      • Sites.Read.All(应用程序)- 读取所有网站集合的项目

      • AllSites.Read(委托)-读取所有网站集中的项目
      注意

      Note.Read.All 和 Sites.Read.All 只有在你想抓取 Documents 时才是必填的。 OneNote

      如果您想抓取特定的网站,则权限可以仅限于特定的网站,而不是域中所有可用的网站。您可以配置 “站点”。选定(应用程序)权限。有了这个API权限,你需要通过 Microsoft Graph 明确设置每个网站的访问权限API。有关更多信息,请参阅 Microsoft 在 “站点” 上发布的博客。所选权限。

    • 如果您正在使用 ACL,请添加以下权限:

      Microsoft Graph SharePoint

      • Group.Member.Read.All(应用程序)- 读取所有组成员资格

      • Notes.Read.All(应用程序)-阅读所有笔记本 OneNote

      • 网站。 FullControl.All(已授权)-需要检索ACLs文档

      • Sites.Read.All(应用程序)- 读取所有网站集合的项目

      • User.Read.All(应用程序)- 读取所有用户的完整个人资料

      • AllSites.Read(委托)-读取所有网站集中的项目
      注意

      GroupMember只有激活 Identity Crawler 时,才需要.Read.All 和 User.Read.All。

      如果您想抓取特定的网站,则权限可以仅限于特定的网站,而不是域中所有可用的网站。您可以配置 “站点”。选定(应用程序)权限。有了这个API权限,你需要通过 Microsoft Graph 明确设置每个网站的访问权限API。有关更多信息,请参阅 Microsoft 在 “站点” 上发布的博客。所选权限。

  • 对于 Azure AD 仅限应用程序的身份验证:私钥和注册 SharePoint 到 Azure AD 后生成的客户端 ID。还要注意 X.509 证书。

    • 如果您不使用 ACL,请添加以下权限:

      SharePoint

      • Sites.Read.All(应用程序)-需要访问所有网站集中的项目和列表
      注意

      如果您想抓取特定的网站,则权限可以仅限于特定的网站,而不是域中所有可用的网站。您可以配置 “站点”。选定(应用程序)权限。有了这个API权限,你需要通过 Microsoft Graph 明确设置每个网站的访问权限API。有关更多信息,请参阅 Microsoft 在 “站点” 上发布的博客。所选权限。

    • 如果您正在使用 ACL,请添加以下权限:

      SharePoint

      • 网站。 FullControl.All(应用程序)-检索文档所必需ACLs的
      注意

      如果您想抓取特定的网站,则权限可以仅限于特定的网站,而不是域中所有可用的网站。您可以配置 “站点”。选定(应用程序)权限。有了这个API权限,你需要通过 Microsoft Graph 明确设置每个网站的访问权限API。有关更多信息,请参阅 Microsoft 在 “站点” 上发布的博客。所选权限。

  • 对于 SharePoint 仅限应用程序的身份验证:记下在授予 “仅限 SharePoint 应用程序” 权限时生成的客户端 ID 和客户端密钥,以及向 Azure AD 注册 SharePoint 应用程序时生成的客户端 ID 和客户端密钥。 SharePoint

    注意

    SharePoint SharePoint 2013 版本支持仅限应用程序的身份验证。

    • (可选)如果您正在搜索 OneNote文档并使用 Id entity Crawler,请添加以下权限:

      Microsoft Graph

      • GroupMember.Read.All(应用程序)-读取所有群组成员资格

      • Notes.Read.All(应用程序)-阅读所有笔记本 OneNote

      • Sites.Read.All(应用程序)- 读取所有网站集合的项目

      • User.Read.All(应用程序)- 读取所有用户的完整个人资料
    注意

    使用基本身份验证和仅限 SharePoint应用程序的身份验证来抓取实体不需要任何API权限。

在 SharePoint Server 中,请确保你有:

  • 已复制您的 SharePoint 实例URLs和您的域名 SharePoint URLs。URL您输入的主机格式为 https://yourcompany/sites/mysite。 你URL必须从开始https

    注意

    (本地/服务器) Amazon Kendra 检查端点信息是否包含在 AWS Secrets Manager 与您的数据源配置详细信息中指定的端点信息相同。这有助于防止混乱的副手问题,这是一个安全问题,即用户无权执行操作但使用 Amazon Kendra 作为代理访问配置的密钥并执行操作。如果以后更改端点信息,则必须创建一个新密钥来同步此信息。

  • 已在您的 SharePoint账户中停用多因素身份验证 (MFA),这样 Amazon Kendra 不会被阻止抓取您的 SharePoint 内容。

  • 如果使用SharePoint 仅限应用程序的身份验证进行访问控制:

    • 已复制您在站点级别注册 “仅限应用程序” 时生成的 SharePoint 客户端 ID。客户端 ID 格式为 ClientId @ TenantId。例如,ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

    • 已复制您在站点级别注册 “仅限应用程序” 时生成的 SharePoint 客户端密钥。

    注意:由于只有在注册 SharePoint 服务器进行仅限应用程序身份验证时,才会为单个站点生成客户端IDs和客户端密钥,URL因此仅支持一个站点进行仅 SharePoint 应用程序身份验证。

    注意

    SharePoint SharePoint 2013 版本支持仅限应用程序的身份验证。

  • 如果使用带有自定义域名的电子邮件 ID 进行访问控制:

    • 记下了您的自定义电子邮件域名值,例如:”amazon.com".

  • 如果使用带有IDP授权域名的电子邮件 ID,请复制您的:

    • LDAP服务器端点(LDAP服务器端点,包括协议和端口号)。例如:ldap://example.com:389.

    • LDAP搜索库(LDAP用户的搜索库)。例如:CN=Users,DC=sharepoint,DC=com.

    • LDAP用户名和LDAP密码。

  • 要么是已配置的NTLM身份验证凭据,要是配置的包含用户名(SharePoint 帐户用户名)和密码(SharePoint 帐户密码)的 Kerberos 身份验证凭据。

在你的 AWS 账户,请确保你有:

  • 创建了一个 Amazon Kendra 索引,如果使用API,则记下索引 ID。

  • 创建了一个 IAM 您的数据源的角色,如果使用API,则注ARN明了 IAM 角色。

    注意

    如果您更改了身份验证类型和凭证,则必须更新您的 IAM 角色可以访问正确的 AWS Secrets Manager 秘密身份证。

  • 将您的 SharePoint 身份验证凭证存储在 AWS Secrets Manager secret,如果使用API,则记下该秘密ARN的内容。

    注意

    我们建议您定期刷新或轮换您的凭证和密码。为了安全起见,请仅提供必要的访问权限级别。我们建议不要跨数据来源以及连接器版本 1.0 和 2.0(如果适用)重复使用凭证和密钥。

如果你没有现有 IAM 角色或密钥,你可以使用控制台创建新的 IAM 角色和 Secrets Manager 将 SharePoint 数据源连接到 secret Amazon Kendra。 如果您使用的是API,则必须提供现有ARN的 IAM 角色和 Secrets Manager 密钥和索引 ID。

连接说明

要连接 Amazon Kendra 对于您的 SharePoint 数据源,您必须提供 SharePoint 凭据的详细信息,以便 Amazon Kendra 可以访问您的数据。如果您尚未 SharePoint 配置 Amazon Kendra 见先决条件

Console: SharePoint Online

要连接 Amazon Kendra 转到 SharePoint 在线

  1. 登录 AWS Management Console 然后打开 Amazon Kendra 控制台

  2. 在左侧导航窗格中,选择索引,然后从索引列表中选择要使用的索引。

    注意

    您可以选择在索引设置下配置或编辑您的用户访问控制设置。

  3. 入门页面上,选择添加数据来源

  4. 添加数据源页面上,选择SharePoint 连接器,然后选择添加连接器。如果使用版本 2(如果适用),请选择带有 “V2.0” 标签的SharePoint 连接器

  5. 指定数据来源详细信息页面上输入以下信息:

    1. 名称和描述中,在数据来源名称中输入您的数据来源的名称。可以包含连字符,但不能包含空格。

    2. (可选)说明 - 为数据来源输入说明。

    3. 使用默认语言-选择一种语言来筛选文档中的索引。除非另行指定,否则语言默认为英语。在文档元数据中指定的语言会覆盖所选语言。

    4. 标签中,用于添加新标签-包括可选标签以搜索和筛选您的资源或跟踪您的资源 AWS 成本。

    5. 选择下一步

  6. 定义访问权限和安全性页面上,请输入以下信息:

    1. 托管方式-选择SharePoint在线

    2. SharePoint存储库的URLs特定站点-输入 SharePoint 主机URLs。URLs您输入的主机格式为 https://yourdomain.sharepoint.com/sites/mysite。 URL必须以https协议开头。URLs用新行分隔。您最多可以添加 100 URLs。

    3. -输入 SharePoint 域。例如,中的域 URL https://yourdomain.sharepoint.com/sites/mysiteyourdomain.

    4. 授权-打开或关闭文档的访问控制列表 (ACL) 信息(如果您有ACL并想将其用于访问控制)。ACL指定用户和群组可以访问哪些文档。该ACL信息用于根据用户或其群组对文档的访问权限筛选搜索结果。有关更多信息,请参阅用户上下文筛选

      你也可以选择用户 ID 的类型,无论是用户主体名称还是从 Azure 门户获取的用户电子邮件。如果您未指定,则默认使用电子邮件。

    5. 身份验证-选择基本、OAuth 2.0、仅限 Azure AD 应用程序身份验证、仅限应用程序身份验证或 OAuth 2.0 SharePoint 刷新令牌身份验证。你要么选择现有的 AWS Secrets Manager secret 用于存储您的身份验证凭证或创建密钥。

      1. 如果使用基本身份验证,则您的密钥必须包含机密名称、 SharePoint 用户名和密码。

      2. 如果使用 OAuth2.0 身份验证,则密钥必须包括 SharePoint 租户 ID、密钥名称、 SharePoint 用户名、密码、在 Azure AD SharePoint 中注册时生成的 Azure AD 客户端 ID 以及在 Azure AD SharePoint 中注册时生成的 Azure AD 客户端密钥。

      3. 如果使用仅限 Azure AD 应用程序的身份验证,则您的密钥必须包括 SharePoint 租户 ID、Azure AD 自签名 X.509 证书、密钥名称、在 Azure AD SharePoint 中注册时生成的 Azure AD 客户端 ID 以及用于对 Azure AD 连接器进行身份验证的私钥。

      4. 如果使用SharePoint仅限应用程序的身份验证,则您的密钥必须包括 SharePoint 租户 ID、密钥名称、在租户级别注册仅限应用程序时生成的 SharePoint 客户端 ID、在租户级别注册仅限应用程序时生成的 SharePoint 客户端密钥、在 Azure AD SharePoint 中注册时生成的 Azure AD 客户端 ID 以及注册 SharePoint 到 Azure AD 时生成的 Azure AD 客户端密钥。

        SharePoint 客户端 ID 格式为 ClientID@TenantId。 例如,ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

      5. 如果使用 OAuth2.0 刷新令牌身份验证,则您的密钥必须包括 SharePoint 租户 ID、密钥名称、在 Azure AD SharePoint 中注册时生成的唯一 Azure AD 客户端 ID、注册到 Azure AD 时生成的 Azure AD 客户端密钥、 SharePoint 为连接而生成的刷新令牌 Amazon Kendra 到 SharePoint。

    6. 虚拟私有云 (VPC)-您可以选择使用. VPC 如果是,则必须添加子网VPC安全组

    7. 身份搜寻器-指定是否开启 Amazon Kendra的身份搜寻器。Identity Crawler 使用文档的访问控制列表 (ACL) 信息,根据用户或其群组对文档的访问权限筛选搜索结果。如果你的文档ACL有并选择使用你的ACL,那么你也可以选择开启 Amazon Kendra的身份搜寻器,用于配置搜索结果的用户上下文过滤。否则,如果身份搜寻器已关闭,则可以公开搜索所有文档。如果您想对文档使用访问控制并且身份搜寻器已关闭,则也可以使用上传用户和群组访问信息PutPrincipalMappingAPI以进行用户上下文筛选。

      你也可以选择抓取本地组映射或 Azure Active Directory 组映射。

      注意

      AD 组映射抓取仅适用于 OAuth 2.0、OAuth 2.0 刷新令牌和仅限 SharePoint 应用程序的身份验证。

    8. IAM 角色 —选择现有角色 IAM 角色或创建一个新的 IAM 角色来访问您的存储库凭据和索引内容。

      注意

      IAM 用于索引的角色不能用于数据源。如果您不确定是将现有角色用于索引还是FAQ,请选择创建新角色以避免出错。

    9. 选择下一步

  7. 配置同步设置页面上,请输入以下信息:

    1. 同步范围中,从以下选项中进行选择:

      1. 选择实体 - 选择要爬取的实体。您可以选择爬取所有实体或文件附件链接页面事件备注列表数据的任意组合。

      2. 其他配置中,对于实体正则表达式模式 - 为链接页面事件添加正则表达式模式以包含特定实体,而不是同步所有文档。

      3. 正则@@ 表达式模式-添加正则表达式模式,通过文件路径、文件名、文件类型、OneNote 章节名称OneNote 页面名称来包含或排除文件,而不是同步所有文档。最多可以添加 100 个。

        注意

        OneNote 抓取仅适用于 OAuth 2.0、OAuth 2.0 刷新令牌和仅限 SharePoint 应用程序的身份验证。

    2. 对于同步模式 - 选择在数据来源内容发生变化时更新索引的方式。当您将数据源与同步时 Amazon Kendra 默认情况下,所有内容都是首次同步。

      • 完全同步 - 无论之前的同步状态如何,都同步所有内容。

      • 同步新增或修改的文档 - 仅同步新增或修改的文档。

      • 同步新增、修改或删除的文档 - 仅同步新增、修改和删除的文档。

    3. 同步运行计划中,对于频率-选择同步数据源内容和更新索引的频率。

    4. 选择下一步

  8. 设置字段映射页面上,请输入以下信息:

    1. 默认数据源字段-从中选择 Amazon Kendra 生成了要映射到索引的默认数据源字段。

    2. 添加字段 - 添加自定义数据来源字段以创建要映射到的索引字段名称和字段数据类型。

    3. 选择下一步

  9. 查看和创建页面上,请检查输入的信息是否正确,然后选择添加数据来源。您也可以选择在此页面上编辑信息。成功添加数据来源后,您的数据来源将显示在数据来源页面上。

Console: SharePoint Server

要连接 Amazon Kendra 到 SharePoint

  1. 登录 AWS Management Console 然后打开 Amazon Kendra 控制台

  2. 在左侧导航窗格中,选择索引,然后从索引列表中选择要使用的索引。

    注意

    您可以选择在索引设置下配置或编辑您的用户访问控制设置。

  3. 入门页面上,选择添加数据来源

  4. 添加数据源页面上,选择SharePoint 连接器,然后选择添加连接器。如果使用版本 2(如果适用),请选择带有 “V2.0” 标签的SharePoint 连接器

  5. 指定数据来源详细信息页面上输入以下信息:

    1. 名称和描述中,在数据来源名称中输入您的数据来源的名称。可以包含连字符,但不能包含空格。

    2. (可选)说明 - 为数据来源输入说明。

    3. 使用默认语言-选择一种语言来筛选文档中的索引。除非另行指定,否则语言默认为英语。在文档元数据中指定的语言会覆盖所选语言。

    4. 标签中,用于添加新标签-包括可选标签以搜索和筛选您的资源或跟踪您的资源 AWS 成本。

    5. 选择下一步

  6. 定义访问权限和安全性页面上,请输入以下信息:

    1. 托管方法-选择SharePoint服务器。

    2. 选择 SharePoint版本-选择 SharePoint 2013 年、SharePoint 201 6 年、201 SharePoint 9 年SharePoint (订阅版)

    3. SharePoint存储库的URLs特定站点-输入 SharePoint 主机URLs。URLs您输入的主机格式为 https://yourcompany/sites/mysite。 URL必须以https协议开头。URLs用新行分隔。您最多可以添加 100 URLs。

    4. -输入 SharePoint 域。例如,中的域 URL https://yourcompany/sites/mysiteyourcompany

    5. SSL证书位置 —输入 Amazon S3 您的SSL证书文件的路径。

    6. (可选)对于 Web 代理-输入主机名(不带http://https://协议)和主机URL传输协议使用的端口号。端口号的数值必须介于 0 和 65535 之间。

    7. 授权-打开或关闭文档的访问控制列表 (ACL) 信息(如果您有ACL并想将其用于访问控制)。ACL指定用户和群组可以访问哪些文档。该ACL信息用于根据用户或其群组对文档的访问权限筛选搜索结果。有关更多信息,请参阅用户上下文筛选

      对于 SharePoint 服务器,您可以从以下ACL选项中进行选择:

      1. 域名来自 IDP —用户 ID 的电子邮件 IDs ID 基于从底层身份提供商获取的域名的电子邮件 () IDP。你IDP在你的 Secrets Manager 作为身份验证一部分的密钥。

      2. 带有自定义域的电子邮件 ID-用户 ID 基于自定义电子邮件域值。例如,”amazon.com“。 电子邮件域将用于构造用于访问控制的电子邮件 ID。您必须输入您的自定义电子邮件域名。

      3. 域\ 带域的用户-用户 ID 是使用 “域\ 用户 ID” 格式构造的。您需要提供有效的域名。例如:"sharepoint2019" 来构造访问控制。

    8. 对于身份验证,请选择 SharePoint 仅限应用程序的身份验证、身份验证或 Kerberos NTLM 身份验证。你要么选择现有的 AWS Secrets Manager secret 用于存储您的身份验证凭证或创建密钥。

      1. 如果使用NTLM身份验证Kerberos 身份验证,则您的密钥必须包含密钥名称、 SharePoint 用户名和密码。

        如果使用电子邮件ID作为域名来源 IDP,请同时输入您的:

        • LDAP服务器端点-LDAP 服务器端点,包括协议和端口号。例如:ldap://example.com:389.

        • LDAP搜索库-搜索LDAP用户群。例如:CN=Users,DC=sharepoint,DC=com.

        • LDAP用户名-您的LDAP用户名。

        • LDAP密码-您的LDAP密码。

      2. 如果使用SharePoint仅限应用程序的身份验证,则您的密钥必须包含密钥名称,即您在站点级别注册仅限应用程序时生成的客户 SharePoint端 ID,在站点级别注册仅限应用程序时生成的 SharePoint 客户端密钥。

        SharePoint 客户端 ID 格式为 ClientID@TenantId。 例如,ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe.

        注意:由于只有在注册 SharePoint 服务器进行仅限应用程序身份验证时,才会为单个站点生成客户端IDs和客户端密钥,URL因此仅支持一个站点进行仅 SharePoint 应用程序身份验证。

        如果使用电子邮件ID作为域名来源 IDP,请同时输入您的:

        • LDAP服务器端点-LDAP 服务器端点,包括协议和端口号。例如:ldap://example.com:389.

        • LDAP搜索库-搜索LDAP用户群。例如:CN=Users,DC=sharepoint,DC=com.

        • LDAP用户名-您的LDAP用户名。

        • LDAP密码-您的LDAP密码。

    9. 虚拟私有云 (VPC)-您可以选择使用. VPC 如果是,则必须添加子网VPC安全组

    10. 身份搜寻器-指定是否开启 Amazon Kendra的身份搜寻器。Identity Crawler 使用文档的访问控制列表 (ACL) 信息,根据用户或其群组对文档的访问权限筛选搜索结果。如果你的文档ACL有并选择使用你的ACL,那么你也可以选择开启 Amazon Kendra的身份搜寻器,用于配置搜索结果的用户上下文过滤。否则,如果身份搜寻器已关闭,则可以公开搜索所有文档。如果您想对文档使用访问控制并且身份搜寻器已关闭,则也可以使用上传用户和群组访问信息PutPrincipalMappingAPI以进行用户上下文筛选。

      你也可以选择抓取本地组映射或 Azure Active Directory 组映射。

      注意

      AD 组映射抓取仅适用于 SharePoint 应用程序身份验证。

    11. IAM 角色 —选择现有角色 IAM 角色或创建一个新的 IAM 角色来访问您的存储库凭据和索引内容。

      注意

      IAM 用于索引的角色不能用于数据源。如果您不确定是将现有角色用于索引还是FAQ,请选择创建新角色以避免出错。

    12. 选择下一步

  7. 配置同步设置页面上,请输入以下信息:

    1. 同步范围中,从以下选项中进行选择:

      1. 选择实体 - 选择要爬取的实体。您可以选择爬取所有实体或文件附件链接页面事件列表数据的任意组合。

      2. 其他配置中,对于实体正则表达式模式 - 为链接页面事件添加正则表达式模式以包含特定实体,而不是同步所有文档。

      3. 正则@@ 表达式模式-添加正则表达式模式,通过文件路径文件名文件类型、OneNote章节名称OneNote页面名称来包含或排除文件,而不是同步所有文档。最多可以添加 100 个。

        注意

        OneNote 抓取仅适用于 “仅限 SharePoint 应用程序” 的身份验证。

    2. 同步模式 - 选择在数据来源内容发生变化时更新索引的方式。当您将数据源与同步时 Amazon Kendra 默认情况下,首次对所有内容进行抓取和索引。如果初始同步失败,即使您没有选择完全同步作为同步模式选项,也必须对数据进行完全同步。

      • 完全同步:对所有内容进行新索引,每次数据源与索引同步时都会替换现有内容。

      • 修改后的全新同步:每次数据源与索引同步时,仅为新增和修改过的内容编制索引。 Amazon Kendra 可以使用数据源的机制来跟踪内容更改并索引自上次同步以来更改的内容。

      • 新增、已修改、已删除的同步:每次数据源与索引同步时,仅索引新内容、修改内容和已删除内容。 Amazon Kendra 可以使用数据源的机制来跟踪内容更改并索引自上次同步以来更改的内容。

    3. 同步运行计划中,对于频率-选择同步数据源内容和更新索引的频率。

    4. 选择下一步

  8. 设置字段映射页面上,请输入以下信息:

    1. 默认数据源字段-从中选择 Amazon Kendra 生成了要映射到索引的默认数据源字段。

    2. 添加字段 - 添加自定义数据来源字段以创建要映射到的索引字段名称和字段数据类型。

    3. 选择下一步

  9. 查看和创建页面上,请检查输入的信息是否正确,然后选择添加数据来源。您也可以选择在此页面上编辑信息。成功添加数据来源后,您的数据来源将显示在数据来源页面上。

API

要连接 Amazon Kendra 到 SharePoint

必须使用指定JSON数据源架构TemplateConfigurationAPI。您必须提供以下信息:

  • 数据源-将数据源类型指定为使用SHAREPOINTV2时的类型 TemplateConfigurationJSON架构。还要指定数据源,就像调用TEMPLATE时一样 CreateDataSource API.

  • 存储库端点元数据-指定 SharePoint 实例siteUrlstenantIDdomain和。

  • 同步模式-指定方式 Amazon Kendra 当您的数据源内容发生变化时,应更新您的索引。当您将数据源与同步时 Amazon Kendra 默认情况下,首次对所有内容进行抓取和索引。如果初始同步失败,即使您没有选择完全同步作为同步模式选项,也必须对数据进行完全同步。您可以选择:

    • FORCED_FULL_CRAWL对所有内容进行全新索引,每次数据源与索引同步时都要替换现有内容。

    • FULL_CRAWL每次数据源与索引同步时,仅对新的、修改过的和已删除的内容编制索引。 Amazon Kendra 可以使用数据源的机制来跟踪内容更改并索引自上次同步以来更改的内容。

    • CHANGE_LOG每次数据源与索引同步时,仅索引新的和修改过的内容。 Amazon Kendra 可以使用数据源的机制来跟踪内容更改并索引自上次同步以来更改的内容。

  • 身份搜寻器-指定是否开启 Amazon Kendra的身份搜寻器。Identity Crawler 使用文档的访问控制列表 (ACL) 信息,根据用户或其群组对文档的访问权限筛选搜索结果。如果你的文档ACL有并选择使用你的ACL,那么你也可以选择开启 Amazon Kendra的身份搜寻器,用于配置搜索结果的用户上下文过滤。否则,如果身份搜寻器已关闭,则可以公开搜索所有文档。如果您想对文档使用访问控制并且身份搜寻器已关闭,则也可以使用上传用户和群组访问信息PutPrincipalMappingAPI以进行用户上下文筛选。

    注意

    只有当您将设置为时,身份搜寻器才可用crawlAcltrue

  • 存储库其他属性 - 指定:

    • (适用于 Azure AD)s3bucketNames3certificateName你可以用来存储 Azure AD 自签名 X.509 证书。

    • 您使用的身份验证类型 (auth_Type),是OAuth2OAuth2AppOAuth2CertificateBasicOAuth2_RefreshTokenNTLM、和Kerberos

    • 您使用的版本 (version),Server无论是Online。如果使用 Server,您可以进一步将 onPremVersion 指定为 201320162019SubscriptionEdition

  • 亚马逊秘密资源名称 (ARN)-提供亚马逊资源名称 (ARN) Secrets Manager 包含您在 SharePoint 账户中创建的身份验证凭证的密钥。

    如果使用 SharePoint 联机,则可以在基本身份验证、OAuth 2.0、仅限 Azure AD 应用程序身份验证和仅限 SharePoint 应用程序身份验证之间进行选择。以下是每个身份验证选项的密钥中必须包含的最低JSON结构:

    • 基本身份验证

      {
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • OAuth2.0 身份验证

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "clientSecret": "client secret generated when registering SharePoint with Azure AD",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • 仅限 Azure AD 应用程序的身份验证

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "privateKey": "private key to authorize connection with Azure AD"
}

    • SharePoint 仅限应用程序的身份验证

      {
    "clientId": "client id generated when registering SharePoint for App Only at Tenant Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Tenant Level",
    "adClientId": "client id generated while registering SharePoint with Azure AD",
    "adClientSecret": "client secret generated while registering SharePoint with Azure AD"
}

    • OAuth2.0 刷新令牌身份验证

      {
    "clientId": "client id generated when registering SharePoint with Azure AD",
    "clientSecret": "client secret generated when registering SharePoint with Azure AD",
    "refreshToken": "refresh token generated to connect to SharePoint"
}

    如果您使用 SharePoint 服务器,则可以在 SharePoint 仅限应用程序的身份验证、身份验证和 Kerberos NTLM 身份验证之间进行选择。以下是每个身份验证选项的密钥中必须包含的最低JSON结构:

    • SharePoint 仅限应用程序的身份验证

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "clientId": "client id generated when registering SharePoint for App Only at Site Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level" 
}

    • SharePoint 使用来自授权的域名进行仅限应用程序的身份验证 IDP

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "clientId": "client id generated when registering SharePoint for App Only at Site Level",
    "clientSecret": "client secret generated when registering SharePoint for App Only at Site Level",
    "ldapUrl": "LDAP Account url eg. ldap://example.com:389",
    "baseDn": "LDAP Account base dn eg. CN=Users,DC=sharepoint,DC=com",
    "ldapUser": "LDAP account user name",
    "ldapPassword": "LDAP account password"
}

    • (仅限服务器)NTLM或 Kerberos 身份验证

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password"
}

    • (仅限服务器)NTLM或使用来自授权的域进行 Kerberos 身份验证 IDP

      {
    "siteUrlsHash": "Hash representation of SharePoint site URLs",
    "userName": "SharePoint account user name",
    "password": "SharePoint account password",
    "ldapUrl": "ldap://example.com:389",
    "baseDn": "CN=Users,DC=sharepoint,DC=com",
    "ldapUser": "LDAP account user name",
    "ldapPassword": "LDAP account password"
}

  • IAM ro le —指定RoleArn何时调用CreateDataSource以提供 IAM 具有访问您权限的角色 Secrets Manager secret 并致电APIs所需的公众获取 SharePoint 连接器和 Amazon Kendra。 有关更多信息,请参阅 IAM SharePoint 数据源的角色

您还可以添加以下可选功能:

  • 虚拟私有云 (VPC)-指定VpcConfiguration何时致电CreateDataSource。有关更多信息,请参阅 配置 Amazon Kendra 使用 Amazon VPC

  • 包含和排除过滤器-您可以指定是包含还是排除某些文件和其他内容。 OneNotes

    注意

    大多数数据来源使用正则表达式模式,即称为筛选条件的包含或排除模式。如果您指定包含筛选条件,则只会为与包含筛选条件匹配的内容编制索引。不会为任何与包含筛选条件不匹配的文档编制索引。如果您指定包含和排除筛选条件,则不会为与排除筛选条件匹配的文档编制索引,即使它们与包含筛选条件相匹配。

  • 字段映射-选择将您的 SharePoint 数据源字段映射到 Amazon Kendra 索引字段。有关更多信息,请参阅映射数据来源字段

    注意

    必须填写文档正文字段或与您的文档相当的正文字段,以便 Amazon Kendra 搜索您的文档。您必须将数据源中的文档正文字段名称映射到索引字段名称_document_body。其他所有字段均为可选字段。

有关要配置的其他重要JSON密钥的列表,请参阅SharePoint 模板架构

注意

  • 连接器仅支持文件实体的自定义字段映射。

  • 对于所有 SharePoint 服务器版本,ACL令牌必须为小写。对于包含域名发件IDP人和带有自定义域名的电子邮件 ID 的电子邮件ACL,例如:user@sharepoint2019.com。 对于具有域的域\ 用户ACL,例如:sharepoint2013\user.

  • 连接器不支持 SharePoint 2013 年的更改日志模式/ 新内容或修改内容同步

  • 如果实体名称中包含字%符,则由于API限制,连接器将跳过这些文件。

  • OneNote 只能由连接器使用租户 ID 进行抓取,并激活了 OAuth 2.0、OAuth 2.0 刷新令牌或仅限 SharePoint 应用程序的身份验证 SharePoint 。

  • 连接器仅使用 OneNote 文档的默认名称抓取文档的第一部分,即使文档已重命名也是如此。

  • 连接器会抓取 SharePoint 2019 年、 SharePoint在线版和订阅版中的链接,前提是除了链接之外还选择 “页面” 和 “文件” 作为要抓取的实体。

  • 如果选择链接作为要抓取的实体,则连接器会在 SharePoint SharePoint 2013 年和 2016 年抓取链接

  • 仅当列表数据也被选为要爬取的实体时,连接器才会爬取列表附件和评论。

  • 仅当事件也被选为要爬取的实体时,连接器才会爬取事件附件。

  • 对于 SharePoint 在线版本,ACL令牌将使用小写。例如,如果用户主体名称MaryMajor@domain.com 在 Azure 门户中, SharePoint 连接器中的ACL令牌将是 marymajor@domain.com.

  • 在适用于 SharePoint 在线和服务器的 Ident ity Crawler 中,如果要抓取嵌套群组,则必须激活本地和 AD 组抓取。

  • 如果你使用的是 O SharePoint nline,并且 Azure 门户中的用户主体名称是大写和小写的组合,则 SharePoint API内部会将其转换为小写。正因为如此, Amazon Kendra SharePoint 连接器套装ACL为小写。