本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# SharePoint 連接器 V2.0
SharePoint 是一種協作網站建置服務,可用來自訂 Web 內容和建立頁面、網站、文件程式庫和清單。您可以使用 Amazon Kendra 為 SharePoint 資料來源編製索引。
Amazon Kendra 目前支援 SharePoint Online 和 SharePoint Server (2013、2016、2019 和 Subscription Edition)。
**注意**
SharePoint 連接器 V1.0 / SharePointConfiguration API 已於 2023 年結束。我們建議您遷移至或使用 SharePoint 連接器 V2.0 / TemplateConfiguration API。
如需對您的 Amazon Kendra SharePoint 資料來源連接器進行故障診斷,請參閱 [對資料來源進行故障診斷](troubleshooting-data-sources.md)。
**Topics**
+ [支援的功能](#supported-features-v2-sharepoint)
+ [先決條件](#prerequisites-v2-sharepoint)
+ [連線指示](#data-source-procedure-v2-sharepoint)
+ [備註](#sharepoint-notes)
## 支援的功能
Amazon Kendra SharePoint 資料來源連接器支援下列功能:
+ 欄位對應
+ 使用者存取控制
+ 包含/排除篩選條件
+ 完整和增量內容同步
+ 虛擬私有雲端 (VPC)
## 先決條件
在您可以使用 Amazon Kendra 為 SharePoint 資料來源編製索引之前,請在 SharePoint 和 AWS 帳戶中進行這些變更。
您必須提供身分驗證憑證,才能安全地存放在 AWS Secrets Manager 秘密中。
**注意**
建議定期更新或輪換憑證與機密。僅授予作業所需的最低存取層級,以確保自身安全。**我們不**建議您在資料來源和連接器版本 1.0 和 2.0 (如適用) 之間重複使用登入資料和秘密。
**在 SharePoint Online 中,請確定您有:**
+ 已複製您的 SharePoint 執行個體 URL。您輸入的主機 URL 格式為 {{https://yourdomain.com/sites/mysite}}。您的 URL 必須以 開頭`https`。
+ 已複製 SharePoint 執行個體 URL 的網域名稱。
+ 記下您的基本身分驗證登入資料,其中包含使用者名稱和密碼,以及連線至 SharePoint Online 的網站管理員許可。
+ 使用管理員帳號在 Azure 入口網站停用**安全預設值**。如需在 Azure 入口網站中管理安全預設設定的詳細資訊,請參閱 [Microsoft 文件以了解如何啟用/停用安全預設值](https://learn.microsoft.com/en-us/microsoft-365/business-premium/m365bp-conditional-access?view=o365-worldwide&tabs=secdefaults#security-defaults-1)。
+ 在 SharePoint 帳戶中停用多重要素驗證 (MFA),因此 Amazon Kendra 不會封鎖 爬取您的 SharePoint 內容。
+ **如果使用基本身分驗證以外的身分驗證類型:** 已複製 SharePoint 執行個體的租用戶 ID。如需如何尋找租用戶 ID 的詳細資訊,請參閱[尋找您的 Microsoft 365 租用戶 ID](https://learn.microsoft.com/en-us/sharepoint/find-your-office-365-tenant-id)。
+ 如果您需要使用 Microsoft Entra 遷移至雲端使用者身分驗證,請參閱[雲端身分驗證上的 Microsoft 文件](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/migrate-from-federation-to-cloud-authentication)。
+ **對於 OAuth 2.0 身分驗證和 OAuth 2.0 重新整理字符身分驗證:**請注意您的**基本身分驗證**憑證,其中包含您用來連線至 SharePoint Online 的使用者名稱和密碼,以及向 Azure AD 註冊 SharePoint 後產生的用戶端 ID 和用戶端密碼。
+ **如果您不是使用 ACL**,請新增下列許可:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/kendra/latest/dg/data-source-v2-sharepoint.html)
**注意**
僅當您需要對 OneNote 文件進行爬取時,才需使用 Note.Read.All 與 Sites.Read.All。
如果您想要抓取特定網站,許可可以限制為特定網站,而不是網域中所有可用的網站。您可以設定 **Sites.Selected (Application)** 許可。使用此 API 許可,您需要透過 Microsoft Graph API 在每個網站上明確設定存取許可。如需詳細資訊,請參閱 [Microsoft Sites.Selected 許可相關部落格](https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/develop-applications-that-use-sites-selected-permissions-for-spo/ba-p/3790476)。
+ **如果您使用的是 ACL**, 新增了下列許可:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/kendra/latest/dg/data-source-v2-sharepoint.html)
**注意**
GroupMember.Read.All 和 User.Read.All 只有在啟用 **Identity 爬蟲程式**時才需要。
如果您想要抓取特定網站,許可可以限制為特定網站,而不是網域中所有可用的網站。您可以設定 **Sites.Selected (Application)** 許可。使用此 API 許可,您需要透過 Microsoft Graph API 在每個網站上明確設定存取許可。如需詳細資訊,請參閱 [Microsoft Sites.Selected 許可相關部落格](https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/develop-applications-that-use-sites-selected-permissions-for-spo/ba-p/3790476)。
+ **針對 Azure AD 應用程式限定身分驗證:**在向 Azure AD 註冊 SharePoint 後產生的私有金鑰和用戶端 ID。另請注意 X.509 憑證。
+ **如果您不是使用 ACL**,請新增下列許可:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/kendra/latest/dg/data-source-v2-sharepoint.html)
**注意**
如果您想要抓取特定網站,許可可以限制為特定網站,而不是網域中所有可用的網站。您可以設定 **Sites.Selected (Application)** 許可。使用此 API 許可,您需要透過 Microsoft Graph API 在每個網站上明確設定存取許可。如需詳細資訊,請參閱 [Microsoft Sites.Selected 許可相關部落格](https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/develop-applications-that-use-sites-selected-permissions-for-spo/ba-p/3790476)。
+ **如果您使用的是 ACL**, 新增了下列許可:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/kendra/latest/dg/data-source-v2-sharepoint.html)
**注意**
如果您想要抓取特定網站,許可可以限制為特定網站,而不是網域中所有可用的網站。您可以設定 **Sites.Selected (Application)** 許可。使用此 API 許可,您需要透過 Microsoft Graph API 在每個網站上明確設定存取許可。如需詳細資訊,請參閱 [Microsoft Sites.Selected 許可相關部落格](https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/develop-applications-that-use-sites-selected-permissions-for-spo/ba-p/3790476)。
+ **對於僅限 SharePoint 應用程式的身分驗證:**記下在授予僅限 SharePoint 應用程式的許可時產生的 SharePoint 用戶端 ID 和用戶端秘密,以及在向 Azure AD 註冊 SharePoint 應用程式時產生的用戶端 ID 和用戶端秘密。
**注意**
SharePoint 2013 版本*不支援* SharePoint 應用程式限定驗證。
+ **(選用) 如果您要爬取 OneNote 文件並使用 **Identity 爬蟲程式****,請新增下列許可:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/kendra/latest/dg/data-source-v2-sharepoint.html)
**注意**
使用**基本身分驗證**和僅 SharePoint 應用程式身分驗證爬取實體不需要 API 許可。 ****
**在 SharePoint Server 中,請確定您有:**
+ 已複製 SharePoint URLs 和 SharePoint URLs的網域名稱。您輸入的主機 URL 格式為 {{https://yourcompany/sites/mysite}}。您的 URL 必須以 開頭`https`。
**注意**
(內部部署/伺服器) 會 Amazon Kendra 檢查 中包含的端點資訊是否 AWS Secrets Manager 與資料來源組態詳細資訊中指定的端點資訊相同。這有助於防止[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html),這是一個安全問題,其中使用者沒有執行動作的許可,但使用 Amazon Kendra 做為代理來存取設定的秘密並執行動作。如果您稍後變更端點資訊,則必須建立新的秘密才能同步此資訊。
+ 在 SharePoint 帳戶中停用多重要素驗證 (MFA),因此 Amazon Kendra 不會封鎖 爬取您的 SharePoint 內容。
+ 如果使用**僅 SharePoint 應用程式身分驗證**進行存取控制:
+ 已複製您在網站層級以應用程式限定方式註冊時所產生的 SharePoint 用戶端 ID。Client ID 格式為 ClientId@TenantId。例如:{{ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe}}。
+ 已複製您在網站層級以應用程式限定方式註冊時所產生的 SharePoint 用戶端密碼。
**注意:**在您為 SharePoint Server 註冊應用程式限定驗證時,系統僅會為單一網站產生用戶端 ID 和用戶端密碼,因此僅支援一個網站 URL 用於 SharePoint 應用程式限定驗證。
**注意**
SharePoint 2013 版本*不支援* SharePoint 應用程式限定驗證。
+ 如果使用**電子郵件 ID 搭配自訂網域**進行存取控制:
+ 已記下自訂電子郵件網域,例如:{{"amazon.com"}}。
+ 如果將**電子郵件 ID 與來自 IDP 授權的網域**搭配使用,請複製您的:
+ LDAP 伺服器端點 (LDAP 伺服器的端點,包括通訊協定和連接埠號碼)。例如:{{ldap://example.com:389}}。
+ LDAP 搜尋基礎 (LDAP 使用者的搜尋基礎)。例如:{{CN=Users,DC=SharePoint,DC=com}}。
+ LDAP 使用者名稱和 LDAP 密碼。
+ 已設定的 NTLM 身分驗證憑證**或**已設定的 Kerberos 身分驗證憑證,其中包含使用者名稱 (SharePoint 帳戶使用者名稱) 和密碼 (SharePoint 帳戶密碼)。
**在您的 中 AWS 帳戶,請確定您有:**
+ [建立 Amazon Kendra 索引](https://docs.aws.amazon.com/kendra/latest/dg/create-index.html),如果使用 API, 會記下索引 ID。
+ 為您的資料來源[建立 IAM 角色](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds),如果使用 API, 會記下 IAM 角色的 ARN。
**注意**
如果您變更身分驗證類型和登入資料,則必須更新您的 IAM 角色以存取正確的 AWS Secrets Manager 秘密 ID。
+ 將您的 SharePoint 身分驗證登入資料存放在 AWS Secrets Manager 秘密中,如果使用 API, 會記下秘密的 ARN。
**注意**
建議定期更新或輪換憑證與機密。僅授予作業所需的最低存取層級,以確保自身安全。**我們不**建議您在資料來源以及連接器 1.0 和 2.0 版 (如適用) 之間重複使用登入資料和秘密。
如果您沒有現有的 IAM 角色或秘密,則可以在將 SharePoint 資料來源連線到 時,使用 主控台建立新的 IAM 角色和 Secrets Manager 秘密 Amazon Kendra。如果您使用的是 API,則必須提供現有 IAM 角色和 Secrets Manager 秘密的 ARN,以及索引 ID。
## 連線指示
若要 Amazon Kendra 連線至 SharePoint 資料來源,您必須提供 SharePoint 登入資料的詳細資訊, Amazon Kendra 才能存取您的資料。如果您尚未為 設定 SharePoint, Amazon Kendra 請參閱 [先決條件](#prerequisites-v2-sharepoint)。
------
#### [ Console: SharePoint Online ]
** Amazon Kendra 連線至 SharePoint Online**
1. 登入 AWS 管理主控台 並開啟 [Amazon Kendra 主控台](https://console.aws.amazon.com/kendra/)。
1. 從左側導覽窗格中,選擇**索引**,然後從索引清單中選擇您要使用的索引。
**注意**
您可以選擇在索引設定下設定或編輯**使用者存取控制**設定。 ****
1. 在**入門**頁面上,選擇**新增資料來源**。
1. 在**新增資料來源**頁面上,選擇 **SharePoint 連接器**,然後選擇**新增連接器**。如果使用第 2 版 (如適用),請選擇具有「V2.0」標籤的 **SharePoint 連接器**。
1. 在**指定資料來源詳細資訊**頁面上,輸入下列資訊:
1. 在**名稱和描述**中,針對**資料來源名稱** - 輸入資料來源的名稱。您可以包含連字號,但不能包含空格。
1. (選用) **描述** — 輸入資料來源的選用描述。
1. 在**預設語言** - 選擇語言來篩選索引的文件。除非您另有指定,否則語言預設為英文。文件中繼資料中指定的語言會覆寫選取的語言。
1. 在**標籤**中,針對**新增標籤** - 包含選用標籤,以搜尋和篩選您的資源或追蹤您的 AWS 成本。
1. 選擇**下一步**。
1. 在**定義存取和安全性**頁面上,輸入下列資訊:
1. **託管方法** - 選擇 **SharePoint Online**。
1. **SharePoint 儲存庫特定的網站 URLs **- 輸入 SharePoint 主機 URLs。您輸入的主機 URLs 格式為 {{https://yourdomain.sharepoint.com/sites/mysite}}。URL 必須以 `https` 通訊協定開頭。以新行分隔 URL。最多可以新增 100 個 URL。
1. **網域** - 輸入 SharePoint 網域。例如:URL {{https://yourdomain.sharepoint.com/sites/mysite}} 中的網域為 {{yourdomain}}。
1. **授權**:如果您有 ACL 並想要將其用於存取控制,請開啟或關閉文件的存取控制清單 (ACL) 資訊。ACL 指定使用者可以和群組存取哪些文件。ACL 資訊用於根據使用者或其群組對文件的存取來篩選搜尋結果。如需詳細資訊,請參閱[使用者內容篩選](https://docs.aws.amazon.com/kendra/latest/dg/user-context-filter.html#context-filter-user-incl-datasources)。
您也可以選擇使用者 ID 的類型,無論是使用者主體名稱還是從 Azure 入口網站擷取的使用者電子郵件。如果您未指定,預設會使用電子郵件。
1. **身分驗證** - 選擇基本、OAuth 2.0、Azure AD 僅應用程式身分驗證、SharePoint 僅應用程式身分驗證或 OAuth 2.0 重新整理權杖身分驗證。您可以選擇現有的 AWS Secrets Manager 秘密來存放身分驗證登入資料,或建立秘密。
1. 如果使用**基本身分驗證**,您的秘密必須包含秘密名稱、SharePoint 使用者名稱和密碼。
1. 如果使用 **OAuth 2.0 身分驗證**,您的秘密必須包含在 Azure AD 中註冊 SharePoint 時產生的 SharePoint 租用戶 ID、秘密名稱、SharePoint 使用者名稱、密碼、Azure AD 用戶端 ID,以及在 Azure AD 中註冊 SharePoint 時產生的 Azure AD 用戶端秘密。
1. 如果使用 **Azure AD 應用程式限定身分驗證**,您的秘密必須包含 SharePoint 租用戶 ID、Azure AD 自我簽署 X.509 憑證、秘密名稱、在 Azure AD 中註冊 SharePoint 時產生的 Azure AD 用戶端 ID,以及用於驗證 Azure AD 連接器的私有金鑰。
1. 如果使用**僅限 SharePoint App 身分驗證**,您的秘密必須包含 SharePoint 您在租用戶層級註冊應用程式時產生的 SharePoint 租用戶 ID、在租用戶層級註冊僅限應用程式時產生的 SharePoint 用戶端秘密、在 Azure AD 中註冊 SharePoint 時產生的 Azure AD 用戶端 ID,以及在您向 Azure AD 註冊 SharePoint 時產生的 Azure AD 用戶端秘密。
SharePoint 用戶端 ID 格式為 {{ClientID@TenantId}}。例如:{{ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe}}。
1. 如果使用 **OAuth 2.0 重新整理字符身分驗證**,您的秘密必須包含在 Azure AD 中註冊 SharePoint 時產生的 SharePoint 租用戶 ID、秘密名稱、唯一 Azure AD 用戶端 ID、將 SharePoint 註冊至 Azure AD 時產生的 Azure AD 用戶端秘密、重新整理為 Amazon Kendra 連線至 SharePoint 而產生的字符。
1. **Virtual Private Cloud (VPC)** — 您可以選擇使用 VPC。若是如此,您必須新增**子網路**和 **VPC 安全群組**。
1. **身分爬蟲程式** - 指定是否開啟 Amazon Kendra的身分爬蟲程式。身分爬蟲程式會使用文件的存取控制清單 (ACL) 資訊,根據使用者或其群組對文件的存取來篩選搜尋結果。如果您有文件的 ACL 並選擇使用您的 ACL,您也可以選擇開啟 Amazon Kendra身分爬蟲程式,以設定搜尋結果[的使用者內容篩選](https://docs.aws.amazon.com/kendra/latest/dg/user-context-filter.html#context-filter-user-incl-datasources)。否則,如果關閉身分識別編目程式,則所有文件都可公開搜尋。如果您想要使用文件的存取控制,而身分識別編目程式為關閉狀態,您可以改用 [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html) API 來上傳使用者和群組存取資訊,以供使用者內容篩選使用。
您也可以選擇網路爬取本機群組映射或 Azure Active Directory 群組映射。
**注意**
AD 群組映射爬取僅適用於 OAuth 2.0、OAuth 2.0 重新整理字符和僅限 SharePoint 應用程式身分驗證。
1. **IAM role** - 選擇現有 IAM 角色或建立新的 IAM 角色,以存取您的儲存庫登入資料和索引內容。
**注意**
IAM 用於索引的 角色無法用於資料來源。如果您不確定現有角色是否用於索引或常見問答集,請選擇**建立新角色**以避免錯誤。
1. 選擇**下一步**。
1. 在**設定同步設定**頁面上,輸入下列資訊:
1. 在**同步範圍**中,從下列選項擇一使用:
1. **選取實體** - 選擇您要抓取的實體。您可以選擇網路爬取**所有**實體或**檔案**、**附件**、**連結****頁面**、**事件**、**評論**和**清單資料的**任意組合。
1. **在其他組態**中,針對**實體規則運算式模式** — 新增**連結**、**頁面**和**事件**的規則表達式模式,以包含特定實體,而不是同步所有文件。
1. **Regex 模式** — 新增規則表達式模式,依**檔案路徑**、**檔案名稱**、**檔案類型**、**OneNote 區段名稱**和 **OneNote 頁面名稱**來包含或排除檔案,而不是同步所有文件。您最多可以新增 100 個。
**注意**
OneNote 爬取僅適用於 OAuth 2.0、OAuth 2.0 重新整理權杖和僅限 SharePoint 應用程式身分驗證。
1. 針對**同步模式**,選擇您希望在資料來源內容變更時更新索引的方式。您的資料來源第一次與 Amazon Kendra 同步時,系統會依預設同步所有內容。
+ **完整同步** — 無論先前同步狀態為何,皆會同步所有內容。
+ **新增或修改的文件同步** - 僅同步新的或修改的文件。
+ **新增、修改或刪除的文件同步** - 僅同步新增、修改和刪除的文件。
1. 在**同步執行排程**中,針對**頻率** - 選擇同步資料來源內容和更新索引的頻率。
1. 選擇**下一步**。
1. 在**設定欄位映射**頁面上,輸入下列資訊:
1. **預設資料來源欄位** - 從您要映射到索引的 Amazon Kendra 產生的預設資料來源欄位中選取 。
1. **新增欄位** - 新增自訂資料來源欄位,以建立要映射的索引欄位名稱和欄位資料類型。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,檢查您輸入的資訊是否正確,然後選取**新增資料來源**。您也可以選擇從此頁面編輯您的資訊。成功新增資料來源後,您的**資料來源**將顯示在資料來源頁面上。
------
#### [ Console: SharePoint Server ]
** Amazon Kendra 連線至 SharePoint**
1. 登入 AWS 管理主控台 並開啟 [Amazon Kendra 主控台](https://console.aws.amazon.com/kendra/)。
1. 從左側導覽窗格中,選擇**索引**,然後從索引清單中選擇您要使用的索引。
**注意**
您可以選擇在索引設定下設定或編輯**使用者存取控制**設定。 ****
1. 在**入門**頁面上,選擇**新增資料來源**。
1. 在**新增資料來源**頁面上,選擇 **SharePoint 連接器**,然後選擇**新增連接器**。如果使用第 2 版 (如適用),請選擇具有「V2.0」標籤的 **SharePoint 連接器**。
1. 在**指定資料來源詳細資訊**頁面上,輸入下列資訊:
1. 在**名稱和描述**中,針對**資料來源名稱** - 輸入資料來源的名稱。您可以包含連字號,但不能包含空格。
1. (選用) **描述** — 輸入資料來源的選用描述。
1. 在**預設語言** - 選擇語言來篩選索引的文件。除非您另有指定,否則語言預設為英文。文件中繼資料中指定的語言會覆寫選取的語言。
1. 在**標籤**中,針對**新增標籤** - 包含選用標籤,以搜尋和篩選您的資源或追蹤您的 AWS 成本。
1. 選擇**下一步**。
1. 在**定義存取和安全性**頁面上,輸入下列資訊:
1. **託管方法** - 選擇 **SharePoint Server**。
1. **選擇 SharePoint 版本** - 選擇 **SharePoint 2013**、**SharePoint 2016**、**SharePoint 2019** 和 **SharePoint (訂閱版本)**。
1. **SharePoint 儲存庫特定的網站 URLs **- 輸入 SharePoint 主機 URLs。輸入的主機 URL 格式須為 {{https://yourcompany/sites/mysite}}。URL 必須以 `https` 通訊協定開頭。以新行分隔 URL。最多可以新增 100 個 URL。
1. **網域** - 輸入 SharePoint 網域。例如,URL {{https://yourcompany/sites/mysite}} 中的網域是{{您的公司}}
1. **SSL 憑證位置** - 輸入 SSL 憑證檔案的 Amazon S3 路徑。
1. (選用) 針對 **Web 代理** — 輸入主機名稱 (不含 `http://`或 `https://`通訊協定),以及主機 URL 傳輸通訊協定所使用的連接埠號碼。連接埠號碼的有效數值範圍為 0 至 65535。
1. **授權**:如果您有 ACL 並想要將其用於存取控制,請開啟或關閉文件的存取控制清單 (ACL) 資訊。ACL 指定使用者可以和群組存取哪些文件。ACL 資訊用於根據使用者或其群組對文件的存取來篩選搜尋結果。如需詳細資訊,請參閱[使用者內容篩選](https://docs.aws.amazon.com/kendra/latest/dg/user-context-filter.html#context-filter-user-incl-datasources)。
對於 SharePoint Server,您可以從下列 ACL 選項中選擇:
1. **具有來自 IDP 之網域的電子郵件 ID** - 使用者 ID 是以從基礎身分提供者 (IDP) 擷取其網域的電子郵件 IDs 為基礎。您可以在身分**驗證**中提供秘密中的 IDP Secrets Manager 連線詳細資訊。
1. **具有自訂網域的電子郵件 ID** - 使用者 ID 是以自訂電子郵件網域值為基礎。例如:{{「amazon.com」}}。電子郵件網域將用於建構電子郵件 ID 模組以供進行存取控制。您必須輸入您的自訂電子郵件網域。
1. **Domain\\User with Domain** - 使用者 ID 是使用 Domain\\User ID 格式建構。您需要提供有效的網域名稱。例如:{{「sharepoint2019」}}來建構存取控制。
1. 針對**身分驗證**,選擇僅 SharePoint 應用程式身分驗證、NTLM 身分驗證或 Kerberos 身分驗證。您可以選擇現有的 AWS Secrets Manager 秘密來存放身分驗證登入資料,或建立秘密。
1. 如果使用 **NTLM 身分驗證**或 **Kerberos 身分驗證**,您的秘密必須包含秘密名稱、SharePoint 使用者名稱和密碼。
若使用**由 IDP 提供且含網域的電子郵件 ID**,請另外輸入以下資訊:
+ **LDAP 伺服器端點** - LDAP 伺服器的端點,包括通訊協定和連接埠號碼。例如:{{ldap://example.com:389}}。
+ **LDAP 搜尋基礎** - LDAP 使用者的搜尋基礎。例如:{{CN=Users,DC=SharePoint,DC=com}}。
+ **LDAP 使用者名稱** — LDAP 使用者名稱。
+ **LDAP 密碼** — LDAP 密碼。
1. 如果使用**僅限 SharePoint 應用程式的身分驗證**,您的秘密必須包含秘密名稱、在網站層級註冊僅限應用程式時產生的 SharePoint 用戶端 ID、在網站層級註冊僅限應用程式時產生的 SharePoint 用戶端秘密。
SharePoint 用戶端 ID 格式為 {{ClientID@TenantId}}。例如:{{ffa956f3-8f89-44e7-b0e4-49670756342c@888d0b57-69f1-4fb8-957f-e1f0bedf82fe}}。
**注意:**在您為 SharePoint Server 註冊應用程式限定驗證時,系統僅會為單一網站產生用戶端 ID 和用戶端密碼,因此僅支援一個網站 URL 用於 SharePoint 應用程式限定驗證。
若使用**由 IDP 提供且含網域的電子郵件 ID**,請另外輸入以下資訊:
+ **LDAP 伺服器端點** - LDAP 伺服器的端點,包括通訊協定和連接埠號碼。例如:{{ldap://example.com:389}}。
+ **LDAP 搜尋基礎** - LDAP 使用者的搜尋基礎。例如:{{CN=Users,DC=SharePoint,DC=com}}。
+ **LDAP 使用者名稱** - LDAP 使用者名稱。
+ **LDAP 密碼** — LDAP 密碼。
1. **Virtual Private Cloud (VPC)** — 您可以選擇使用 VPC。若是如此,您必須新增**子網路**和 **VPC 安全群組**。
1. **身分爬蟲程式** - 指定是否開啟 Amazon Kendra的身分爬蟲程式。身分爬蟲程式會使用文件的存取控制清單 (ACL) 資訊,根據使用者或其群組對文件的存取來篩選搜尋結果。如果您有文件的 ACL 並選擇使用您的 ACL,您也可以選擇開啟 Amazon Kendra身分爬蟲程式,以設定搜尋結果[的使用者內容篩選](https://docs.aws.amazon.com/kendra/latest/dg/user-context-filter.html#context-filter-user-incl-datasources)。否則,如果關閉身分識別編目程式,則所有文件都可公開搜尋。如果您想要使用文件的存取控制,而身分識別編目程式為關閉狀態,您可以改用 [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html) API 來上傳使用者和群組存取資訊,以供使用者內容篩選使用。
您也可以選擇網路爬取本機群組映射或 Azure Active Directory 群組映射。
**注意**
AD 群組映射爬取僅適用於 SharePoint 應用程式身分驗證。
1. **IAM role** - 選擇現有 IAM 角色或建立新的 IAM 角色,以存取您的儲存庫登入資料和索引內容。
**注意**
IAM 用於索引的 角色無法用於資料來源。如果您不確定現有角色是否用於索引或常見問答集,請選擇**建立新角色**以避免錯誤。
1. 選擇**下一步**。
1. 在**設定同步設定**頁面上,輸入下列資訊:
1. 在**同步範圍**中,從下列選項擇一使用:
1. **選取實體** - 選擇您要抓取的實體。您可以選擇 來編目**所有**實體或**檔案**、**附件**、**連結****頁面**、**事件**和**清單資料的**任意組合。
1. **在其他組態**中,針對**實體 regex 模式**—新增**連結**、**頁面**和**事件**的規則表達式模式,以包含特定實體,而不是同步所有文件。
1. **Regex 模式** — 新增規則表達式模式,依**檔案路徑****檔案名稱 檔案類型******、**OneNote 區段名稱**和 **OneNote 頁面名稱**來包含或排除檔案,而不是同步所有文件。您最多可以新增 100 個。
**注意**
OneNote 爬取僅適用於 SharePoint 應用程式身分驗證。
1. **同步模式** - 選擇您希望在資料來源內容變更時更新索引的方式。當您 Amazon Kendra 第一次使用 同步資料來源時,預設會爬取所有內容並編製索引。如果初始同步失敗,即使您未選擇完全同步做為同步模式選項,仍必須執行資料的完整同步。
+ 完全同步:全新編製所有內容的索引,每次資料來源與索引同步時取代現有的內容。
+ 新的、修改過的同步:每次資料來源與索引同步時,僅索引新的和修改的內容。 Amazon Kendra 可以使用資料來源的機制來追蹤自上次同步以來變更的內容和索引內容。
+ 新的、已修改、已刪除的同步:每次資料來源與索引同步時,僅索引新的、已修改和已刪除的內容。 Amazon Kendra 可以使用資料來源的機制來追蹤自上次同步以來變更的內容和索引內容。
1. 在**同步執行排程**中,針對**頻率** - 選擇同步資料來源內容和更新索引的頻率。
1. 選擇**下一步**。
1. 在**設定欄位映射**頁面上,輸入下列資訊:
1. **預設資料來源欄位** - 從您要映射到索引的 Amazon Kendra 產生預設資料來源欄位中選取 。
1. **新增欄位** - 新增自訂資料來源欄位,以建立要映射的索引欄位名稱和欄位資料類型。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,檢查您輸入的資訊是否正確,然後選取**新增資料來源**。您也可以選擇從此頁面編輯您的資訊。成功新增資料來源後,您的**資料來源**將顯示在資料來源頁面上。
------
#### [ API ]
** Amazon Kendra 連線至 SharePoint**
您必須使用 [TemplateConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_TemplateConfiguration.html) API [指定資料來源結構描述](https://docs.aws.amazon.com/kendra/latest/dg/ds-schemas.html)的 JSON。您必須提供下列資訊:
+ **資料來源** - 當您使用 [https://docs.aws.amazon.com/kendra/latest/dg/API_TemplateConfiguration.html](https://docs.aws.amazon.com/kendra/latest/dg/API_TemplateConfiguration.html) JSON 結構描述`SHAREPOINTV2`時,指定資料來源類型。當您呼叫 [https://docs.aws.amazon.com/kendra/latest/dg/API_CreateDataSource.html](https://docs.aws.amazon.com/kendra/latest/dg/API_CreateDataSource.html) API `TEMPLATE`時,也請將資料來源指定為 。
+ **儲存庫端點中繼資料** - 指定 SharePoint 執行個體`siteUrls`的 `tenantID``domain`和 。
+ **同步模式** - 指定 Amazon Kendra 如何在資料來源內容變更時更新索引。當您 Amazon Kendra 第一次使用 同步資料來源時,預設會爬取所有內容並編製索引。如果初始同步失敗,即使您未選擇完全同步做為同步模式選項,仍必須執行資料的完整同步。您可以選擇:
+ `FORCED_FULL_CRAWL` 以重新編製所有內容的索引,每次資料來源與索引同步時都會取代現有的內容。
+ `FULL_CRAWL` 每次資料來源與索引同步時, 只會編製新內容、修改內容和已刪除內容的索引。 Amazon Kendra 可以使用資料來源的機制來追蹤自上次同步以來變更的內容變更和索引內容。
+ `CHANGE_LOG` 每次資料來源與索引同步時, 只會編製新內容和修改內容的索引。 Amazon Kendra 可以使用資料來源的機制來追蹤自上次同步以來變更的內容變更和索引內容。
+ **身分爬蟲程式** - 指定是否開啟 Amazon Kendra的身分爬蟲程式。身分爬蟲程式會使用文件的存取控制清單 (ACL) 資訊,根據使用者或其群組對文件的存取來篩選搜尋結果。如果您有文件的 ACL 並選擇使用 ACL,您也可以選擇開啟 Amazon Kendra身分爬蟲程式,以設定搜尋結果[的使用者內容篩選](https://docs.aws.amazon.com/kendra/latest/dg/user-context-filter.html#context-filter-user-incl-datasources)。否則,如果關閉身分識別編目程式,則所有文件都可公開搜尋。如果您想要使用文件的存取控制,而身分識別編目程式為關閉狀態,您可以改用 [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html) API 來上傳使用者和群組存取資訊,以供使用者內容篩選使用。
**注意**
只有在您將 `crawlAcl`設定為 時,才能使用身分爬蟲程式`true`。
+ **儲存庫其他屬性** - 指定:
+ (適用於 Azure AD) `s3bucketName`和 `s3certificateName` 您使用 來存放 Azure AD 自我簽署的 X.509 憑證。
+ 您使用的身分驗證類型 (`auth_Type`),無論是 `OAuth2`、`OAuth2App`、`OAuth2Certificate`、`Basic``OAuth2_RefreshToken`、 `NTLM`和 `Kerberos`。
+ 您使用的版本 (`version`),無論是 `Server`或 `Online`。如果您使用 `Server`,您可以進一步指定 `onPremVersion`為 `2013`、`2019`、 `2016`或 `SubscriptionEdition`。
+ **機密 Amazon Resource Name (ARN)** — 提供 Secrets Manager 機密的 Amazon Resource Name (ARN),其中包含您在 SharePoint 帳戶中建立的身分驗證憑證。
如果您使用 SharePoint Online,您可以選擇 Basic、OAuth 2.0、僅限 Azure AD 應用程式和僅限 SharePoint 應用程式身分驗證。以下是每個身分驗證選項必須位於秘密中的最小 JSON 結構:
+ **基本身分驗證**
```
{
"userName": "{{SharePoint account user name}}",
"password": "{{SharePoint account password}}"
}
```
+ **OAuth 2.0 身分驗證**
```
{
"clientId": "{{client id generated when registering SharePoint with Azure AD}}",
"clientSecret": "{{client secret generated when registering SharePoint with Azure AD}}",
"userName": "{{SharePoint account user name}}",
"password": "{{SharePoint account password}}"
}
```
+ **Azure AD 僅應用程式身分驗證**
```
{
"clientId": "{{client id generated when registering SharePoint with Azure AD}}",
"privateKey": "{{private key to authorize connection with Azure AD}}"
}
```
+ **SharePoint 僅限應用程式身分驗證**
```
{
"clientId": "{{client id generated when registering SharePoint for App Only at Tenant Level}}",
"clientSecret": "{{client secret generated when registering SharePoint for App Only at Tenant Level}}",
"adClientId": "{{client id generated while registering SharePoint with Azure AD}}",
"adClientSecret": "{{client secret generated while registering SharePoint with Azure AD}}"
}
```
+ **OAuth 2.0 重新整理權杖身分驗證 **
```
{
"clientId": "{{client id generated when registering SharePoint with Azure AD}}",
"clientSecret": "{{client secret generated when registering SharePoint with Azure AD}}",
"refreshToken": "{{refresh token generated to connect to SharePoint}}"
}
```
如果您使用 SharePoint Server,您可以在 SharePoint 應用程式限定身分驗證、NTLM 身分驗證和 Kerberos 身分驗證之間進行選擇。以下是每個身分驗證選項必須位於秘密中的最小 JSON 結構:
+ ** SharePoint 應用程式限定身分驗證 **
```
{
"siteUrlsHash": "{{Hash representation of SharePoint site URLs}}",
"clientId": "{{client id generated when registering SharePoint for App Only at Site Level}}",
"clientSecret": "{{client secret generated when registering SharePoint for App Only at Site Level}}"
}
```
+ ** 使用 IDP 授權中的網域進行 SharePoint 應用程式限定身分驗證**
```
{
"siteUrlsHash": "{{Hash representation of SharePoint site URLs}}",
"clientId": "{{client id generated when registering SharePoint for App Only at Site Level}}",
"clientSecret": "{{client secret generated when registering SharePoint for App Only at Site Level}}",
"ldapUrl": "{{LDAP Account url eg. ldap://example.com:389}}",
"baseDn": "{{LDAP Account base dn eg. CN=Users,DC=sharepoint,DC=com}}",
"ldapUser": "{{LDAP account user name}}",
"ldapPassword": "{{LDAP account password}}"
}
```
+ **(僅限伺服器) NTLM 或 Kerberos 身分驗證 **
```
{
"siteUrlsHash": "{{Hash representation of SharePoint site URLs}}",
"userName": "{{SharePoint account user name}}",
"password": "{{SharePoint account password}}"
}
```
+ **(僅限伺服器) 使用來自 IDP 授權的網域進行 NTLM 或 Kerberos 身分驗證**
```
{
"siteUrlsHash": "{{Hash representation of SharePoint site URLs}}",
"userName": "{{SharePoint account user name}}",
"password": "{{SharePoint account password}}",
"ldapUrl": "{{ldap://example.com:389}}",
"baseDn": "{{CN=Users,DC=sharepoint,DC=com}}",
"ldapUser": "{{LDAP account user name}}",
"ldapPassword": "{{LDAP account password}}"
}
```
+ **IAM role**—指定`RoleArn`您何時呼叫 `CreateDataSource` 以提供 IAM 角色存取 Secrets Manager 秘密的許可,以及呼叫 SharePoint 連接器所需的公有 APIs 和 Amazon Kendra。如需詳細資訊,請參閱 [IAM SharePoint 資料來源的角色](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds)。
您也可以新增下列選用功能:
+ **Virtual Private Cloud (VPC)** — 指定`VpcConfiguration`何時呼叫 `CreateDataSource`。如需詳細資訊,請參閱[設定 Amazon Kendra 以使用 Amazon VPC](vpc-configuration.md)。
+ **包含和排除篩選條件** - 您可以指定是否包含或排除特定檔案、OneNotes 和其他內容。
**注意**
大多數資料來源使用規則表達式模式,作為包含或排除的篩選規則,稱為篩選條件。若您設定包含篩選條件,則只有符合該條件的內容會被編列索引。任何不符合包含篩選條件的文件都不會編製索引。如果您指定包含和排除篩選條件,則符合排除篩選條件的文件不會編製索引,即使它們符合包含篩選條件。
+ **欄位映射** - 選擇將 SharePoint 資料來源欄位映射至 Amazon Kendra 索引欄位。如需詳細資訊,請參閱[映射資料來源欄位](https://docs.aws.amazon.com/kendra/latest/dg/field-mapping.html)。
**注意**
需要文件內文欄位或文件內文對等項目, Amazon Kendra 才能搜尋您的文件。您必須將資料來源中的文件內文欄位名稱映射至索引欄位名稱 `_document_body`。所有其他欄位是選用的。
如需其他要設定之重要 JSON 金鑰的清單,請參閱 [SharePoint 範本結構描述](https://docs.aws.amazon.com/kendra/latest/dg/ds-schemas.html#ds-schema-sharepoint)。
------
## 備註
+ 連接器僅支援**檔案**實體的自訂欄位映射。
+ 在所有 SharePoint Server 版本中,ACL 字符皆須使用小寫格式。若使用**由 IDP 提供且含網域的電子郵件**或**含自訂網域的電子郵件 ID** 作為 ACL 格式,例如 {{user@sharepoint2019.com}}。若 ACL 使用 **Domain\\User with Domain** 格式,例如 {{SharePoint2013\\user}}。
+ 啟用存取控制清單 (ACLs) 時,由於 SharePoint API 限制,無法使用「僅同步新的或修改的內容」選項。建議改用「完整同步」或「新增/修改/刪除內容同步」模式;若需使用此模式,請停用 ACL。
+ 連接器不支援 SharePoint 2013 的變更日誌模式/**新增或修改的內容同步**。
+ 若實體名稱中含有 `%` 字元,連接器會因 API 限制而略過這些檔案。
+ OneNote 只能由連接器使用租用戶 ID,並啟用 OAuth 2.0、OAuth 2.0 重新整理字符或 SharePoint 僅限應用程式驗證進行爬取。
+ 即使文件已重新命名,連接器仍僅會以預設名稱爬取 OneNote 文件的第一個區段。
+ 連接器會在 SharePoint 2019、SharePoint Online 和 Subscription Edition 中編目連結,只有在**頁面**和**檔案**選取為除了**連結之外要編目的**實體時。
+ 如果將連結選取為要抓取的實體,則連接器會抓取 SharePoint 2013 和 SharePoint 2016 **中的連結**。
+ 連接器網路爬取只會在同時將**清單資料**選取為要網路爬取的實體時列出附件和註解。
+ 僅當**事件**亦被選為爬取實體時,連接器才會爬取事件附件。
+ 對於 SharePoint Online 版本,ACL 權杖大小寫。例如:若 Azure 入口網站中的**使用者主體名稱**為 {{MaryMajor@domain.com}},則 SharePoint Connector 中的 ACL 字符會轉為 {{marymajor@domain.com}}。
+ 在 SharePoint Online 和 Server 的 **Identity Crawler** 中,如果您想要編目巢狀群組,您必須啟用 Local 和 AD 群組編目。
+ 如果您使用的是 SharePoint Online,且 Azure 入口網站中的使用者主體名稱是大寫和小寫的組合,則 SharePoint API 會在內部將其轉換為小寫。因此, Amazon Kendra SharePoint 連接器會將 ACL 設定為小寫。