View a markdown version of this page

Richten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive

Die Microsoft Entra App ID-Authentifizierung (ENTRA_APP_ID) ist die empfohlene Authentifizierungsmethode für eine OneDrive Datenquelle. Der Connector durchforstet Inhalte mit den OAuth 2.0-Client-Anmeldeinformationen (nur für Anwendungen) und verwendet dabei die Client-ID und den geheimen Schlüssel Ihrer Anwendung — es ist keine Benutzeranmeldung erforderlich. Dies ist die einzige Authentifizierungsmethode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt. Einen Vergleich mit der alternativen OAUTH2 Methode finden Sie unter. Authentifizierungsmethoden

Anmerkung

Ein Zertifikat ist nur erforderlich, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Beim reinen Inhalts-Crawling sind die Client-ID und der geheime Schlüssel die einzigen Anmeldeinformationen, die der Connector benötigt. Dies unterscheidet sich von einer SharePoint Datenquelle, bei der die Microsoft Entra App-Only ID-Authentifizierung immer ein Zertifikat erfordert.

Administratorzugriff erforderlich

Für dieses Setup ist ein Microsoft Entra ID-Administrator (Global Administrator oder Privileged Role Administrator) erforderlich, um die Anwendung zu registrieren, Berechtigungen zu konfigurieren und die Zustimmung des Administrators zu erteilen. In der folgenden Tabelle mit den Einrichtungsschritten und Rollen sind die für jeden Schritt erforderlichen Zugriffsrechte aufgeführt.

Einrichtungsschritte und Rollen

An diesem Verfahren sind sowohl ein Microsoft Entra ID-Administrator als auch ein AWS Administrator beteiligt. Je nachdem, wie die Zuständigkeiten in Ihrer Organisation aufgeteilt sind, können eine oder mehrere Personen diese Schritte ausführen. Die Schritte für das Zertifikat (Schritte 4—6 und 8) gelten nur, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Identifizieren Sie anhand der folgenden Tabelle, welcher Zugriff für jeden Schritt erforderlich ist.

Einrichtungsschritte und der jeweils erforderliche Zugriff
Schritt Was machst du Zugriff erforderlich
1. Registrieren Sie die Anwendung Erstellen Sie die Registrierung der Entra-App und notieren Sie die Kunden- und Mandanten-IDs. Microsoft Entra ID-Administrator (globaler Administrator oder Administrator mit privilegierter Rolle)
2. Fügen Sie Berechtigungen hinzu und erteilen Sie die Zustimmung Weisen Sie die Anwendungsberechtigungen für Ihre Konfiguration zu und erteilen Sie die Zustimmung des Administrators. Microsoft Entra ID-Administrator
3. Erstellen Sie einen geheimen Client-Schlüssel Erstellen Sie einen geheimen Clientschlüssel für die Anwendung und notieren Sie seinen Wert. Microsoft Entra ID-Administrator
4. Generieren Sie das Zertifikat (nur ACLs) Erstellen Sie ein selbstsigniertes Zertifikat und ein PKCS #12 (.p12) -Bundle mit OpenSSL. Jeder mit einem lokalen Terminal (OpenSSL erforderlich)
5. Laden Sie das öffentliche Zertifikat auf Entra hoch (nur ACLs) Fügen Sie das öffentliche Zertifikat zu den Schlüsseln der App-Registrierung hinzu. Microsoft Entra ID-Administrator
6. Laden Sie das Zertifikat auf Amazon S3 hoch (nur ACLs) Speichern Sie das .p12 Paket in einem Amazon S3 S3-Bucket. AWS Administrator (Amazon S3)
7. Erstellen des Geheimnisses Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. AWS Administrator (Secrets Manager)
8. Gewähren Sie der Servicerolle Zugriff auf das Zertifikat (nur ACLs) Fügen Sie Amazon S3 S3-Leseberechtigungen zu Ihrer Wissensdatenbank-Servicerolle hinzu. AWS Administrator (IAM)

Berechtigungsreferenz

Weisen Sie die Anwendungsberechtigungen zu, die Ihrer Konfiguration entsprechen. Bei allen Berechtigungen handelt es sich um Anwendungsberechtigungen (nicht delegiert), und für jede Genehmigung ist die Zustimmung des Administrators erforderlich. Beim reinen Inhalts-Crawling authentifiziert sich der Connector nur bei Microsoft Graph. Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, authentifiziert sich der Connector zusätzlich bei der SharePointREST-API, um den Zugriff bei der Abfrage zu überprüfen, da for Business von unterstützt wird. OneDrive SharePoint

Wichtig

Wenn Sie diese Berechtigungen im Entra-Portal hinzufügen, wählen Sie die Registerkarte Anwendungsberechtigungen und nicht Delegierte Berechtigungen. Application-only Die Authentifizierung verwendet Anwendungsberechtigungen.

Wählen Sie die Registerkarte für Ihre Konfiguration aus, um die genauen Berechtigungen zu sehen, die zugewiesen werden müssen.

Content only (no ACLs)
Nur Inhalt
API Berechtigung Zweck
Microsoft Graph Files.Read.All Lesen Sie die Dateien auf den Laufwerken der Benutzer.
Microsoft Graph Sites.Read.All Lesen Sie die OneDrive Websites, auf denen die Laufwerke der Benutzer gespeichert sind.
Microsoft Graph User.Read.All Zählen Sie die Benutzer auf, deren Laufwerke Sie crawlen.
With ACLs
Mit ACLs
API Berechtigung Zweck
Microsoft Graph Files.Read.All Lesen Sie die Dateien auf den Laufwerken der Benutzer.
Microsoft Graph Sites.Read.All Lesen Sie die OneDrive Websites, auf denen die Laufwerke der Benutzer gespeichert sind.
Microsoft Graph User.Read.All Zählen Sie Benutzer auf und lösen Sie sie nach ACLs auf Dokumentebene auf.
Microsoft Graph GroupMember.Read.All Löst die Gruppenmitgliedschaft für ACLs auf Dokumentebene auf.
SharePoint Sites.FullControl.All Überprüfen Sie den Zugriff jedes Benutzers auf ein Dokument zum Zeitpunkt der Abfrage. Sites.Read.Allist für diese Prüfung nicht ausreichend.
Anmerkung

Die SharePoint Sites.FullControl.All Berechtigung gewährt der Connector-Anwendung umfassenden Zugriff auf alle Standorte in Ihrem Mandanten. Gewähren Sie sie nur dieser Anwendung und schützen Sie die Anmeldeinformationen der Anwendung entsprechend.

Werte, die Sie während der Installation sammeln

Sie erstellen oder sammeln die folgenden Werte, während Sie die Schritte durcharbeiten. Sie verwenden sie, wenn Sie die Datenquelle erstellen. Details hierzu finden Sie unter Eine OneDrive Datenquelle Connect.

Referenz auf Werte
Wert Erstellt in Wird verwendet für
Anwendungs-(Client-)ID Schritt 1 Das Geheimnis (clientId).
Verzeichnis-ID (Mandanten-ID) Schritt 1 Die DatenquelletenantId.
Geheimer Wert des Kunden Schritt 3 Das Geheimnis (clientSecret).
Zertifikat — PKCS #12 -Bundle (.p12) und das zugehörige Passwort (nur ACLs) Schritt 4 Das Paket (Zertifikat plus privater Schlüssel) wird auf Amazon S3 hochgeladen (Schritt 6); das Passwort wird im Secret (certificatePassword) gespeichert.
Zertifikat — öffentliches Zertifikat (.cer) (nur ACLs) Schritt 4 Die öffentliche Hälfte desselben Zertifikats, hochgeladen in die Registrierung der Entra-App (Schritt 5).
Name und Schlüssel des Amazon S3 S3-Buckets (nur ACLs) Schritt 6 Die DatenquellecertificateS3Path.
ARN des Geheimnisses Schritt 7 Die DatenquellesecretArn.

Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID

  1. Melden Sie sich im Microsoft Entra Admin Center an.

  2. Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie unter Name einen aussagekräftigen Namen ein, z. B. bedrock-onedrive-connector

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.

  6. Lassen Sie das Feld Umleitungs-URI leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen verwendet, keinen interaktiven Anmeldefluss.

  7. Wählen Sie Registrieren aus.

  8. Notieren Sie sich auf der Seite mit der Anwendungsübersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen beide später.

Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators

Fügen Sie die Berechtigungen für Ihre Konfiguration von hinzuBerechtigungsreferenz.

  1. Wählen Sie in Ihrer App-Registrierung API-Berechtigungen und dann Berechtigung hinzufügen aus.

  2. Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nach jeder Microsoft Graph-Berechtigung für Ihre Konfiguration, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren, wählen Sie erneut Berechtigung hinzufügen aus. Wählen Sie SharePoint(unter Microsoft-APIs) dann Anwendungsberechtigungen aus. Wählen Sie Sites.FullControl.All und anschließend Berechtigungen hinzufügen aus.

  4. Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie. Ohne Zustimmung des Administrators kann die Anwendung nicht auf OneDrive Daten zugreifen.

Schritt 3: Erstellen Sie einen geheimen Clientschlüssel

OneDrive Beim Crawlen werden die Client-ID und der geheime Schlüssel der Anwendung verwendet, sodass ein geheimer Clientschlüssel sowohl für reine Inhalte als auch für Datenquellen erforderlich ist. ACL-enabled Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, verwendet der Connector den geheimen Clientschlüssel, um ein Microsoft Graph-Token abzurufen, das den OneDrive Host Ihres Mandanten auflöst, und das Zertifikat (aus Schritt 4), um das für die Zugriffsprüfung verwendete SharePoint Token abzurufen.

  1. Wählen Sie in Ihrer App-Registrierung Certificates & Secrets, dann Client Secrets und dann New Client Secret aus.

  2. Geben Sie eine Beschreibung ein, wählen Sie ein Ablaufdatum und klicken Sie auf Hinzufügen.

  3. Notieren Sie den geheimen Wert sofort — er wird nur einmal angezeigt. Notieren Sie den Wert, nicht die geheime ID.

Schritt 4 (nur ACLs): Generieren Sie das Authentifizierungszertifikat

Anmerkung

Dieser Schritt und die Schritte 5, 6 und 8 gelten nur, wenn Sie die Zugriffskontrolle auf Dokumentebene aktivieren. Wenn Sie nur Inhalte durchsuchen möchten, fahren Sie mit fort. Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis

Generieren Sie ein selbstsigniertes Zertifikat und verpacken Sie es als PKCS #12 () -Paket. .p12 Das Paket enthält sowohl das Zertifikat als auch seinen privaten Schlüssel, die durch ein Passwort geschützt sind. Sie laden das öffentliche Zertifikat auf Entra (Schritt 5) und das .p12 Paket auf Amazon S3 (Schritt 6) hoch. Wählen Sie die Registerkarte für Ihr Betriebssystem aus, um die Befehle zu sehen.

Anmerkung

Amazon Bedrock liest den privaten Schlüssel aus dem .p12 Paket, um Authentifizierungsbestätigungen zu signieren. Daher muss das Paket kennwortgeschützt sein. Wählen Sie ein sicheres, zufälliges Passwort — Sie speichern es wie in Schritt 7 geheim. certificatePassword

Linux or macOS (OpenSSL)

Generieren Sie einen privaten Schlüssel und ein selbstsigniertes Zertifikat

openssl req -x509 -newkey rsa:2048 -keyout private_key.pem -out certificate.cer \ -days 365 -nodes \ -subj "/CN=bedrock-onedrive-connector"

Package Sie das Zertifikat und den Schlüssel als PKCS #12 (.p12) -Paket

Geben Sie ein sicheres Exportkennwort ein, wenn Sie dazu aufgefordert werden. Notieren Sie es für Schritt 7.

openssl pkcs12 -export -out certificate.p12 \ -inkey private_key.pem -in certificate.cer

Sie haben jetzt drei Dateien: den privaten Schlüssel (private_key.pem), das öffentliche Zertifikat (certificate.cer) und das Paket (certificate.p12). Sie laden das öffentliche Zertifikat in Schritt 5 auf Entra und das .p12 Paket in Schritt 6 auf Amazon S3 hoch.

Windows (PowerShell)

Generieren Sie ein selbstsigniertes Zertifikat

Die folgenden PowerShell Befehle generieren ein selbstsigniertes 2048-Bit-RSA-Zertifikat mit einer Gültigkeitsdauer von einem Jahr und speichern es im Zertifikatsspeicher des aktuellen Benutzers. your-passwordErsetzen Sie es durch ein sicheres, zufälliges Passwort — Sie speichern es wie in Schritt 7 geheim. certificatePassword

$cert = New-SelfSignedCertificate ` -Subject "CN=bedrock-onedrive-connector" ` -CertStoreLocation "Cert:\CurrentUser\My" ` -KeyAlgorithm RSA ` -KeyLength 2048 ` -KeyExportPolicy Exportable ` -NotAfter (Get-Date).AddYears(1)

Exportieren Sie das öffentliche Zertifikat

Export-Certificate -Cert $cert -FilePath certificate.cer -Type CERT

Exportieren Sie das PKCS #12 (.p12) -Paket

$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText Export-PfxCertificate -Cert $cert -FilePath certificate.p12 -Password $password

Sie haben jetzt zwei Dateien: das öffentliche Zertifikat (certificate.cer) und das Bundle (certificate.p12). Sie laden das öffentliche Zertifikat in Schritt 5 auf Entra und das .p12 Paket in Schritt 6 auf Amazon S3 hoch.

Wichtig

Speichern Sie das .p12 Paket in Amazon S3 (nicht in der .pem .cer OR-Datei). Das Paket enthält den privaten Schlüssel, mit dem Amazon Bedrock sich SharePoint für die Zugriffsprüfung authentifiziert. Bewahren Sie ihn daher sicher auf. Document-level Für die Zugriffskontrolle ist das .p12 Format erforderlich.

Anmerkung

Das Zertifikat ist standardmäßig für ein Jahr gültig. Ein abgelaufenes Zertifikat führt dazu, dass alle Synchronisierungen fehlschlagen. Wechseln Sie das Zertifikat daher, bevor es abläuft. Um den Gültigkeitszeitraum zu ändern, passen Sie die -days Option (OpenSSL) oder das -NotAfter Argument (PowerShell) an. Informationen zu den Rotationsschritten finden Sie unterDas Zertifikat rotieren.

Schritt 5 (nur ACLs): Laden Sie das öffentliche Zertifikat auf Entra hoch

  1. Wählen Sie in Ihrer App-Registrierung Certificates & Secrets und dann den Tab Certificates aus.

  2. Wählen Sie Zertifikat hochladen und wählen Sie die certificate.cer Datei aus, die Sie in Schritt 4 generiert haben (nur das öffentliche Zertifikat — laden Sie niemals das .p12 Paket oder den privaten Schlüssel auf Entra hoch).

  3. Wählen Sie Hinzufügen aus.

Schritt 6 (nur ACLs): Laden Sie das Zertifikat auf Amazon S3 hoch

Laden Sie das .p12 Paket aus Schritt 4 in einen Amazon S3 S3-Bucket in derselben AWS Region wie Ihre Wissensdatenbank hoch. Notieren Sie sich den Bucket-Namen und den Schlüssel — Sie verwenden sie als DatenquellecertificateS3Path.

aws s3api put-object \ --bucket your-certificate-bucket \ --key certs/certificate.p12 \ --body certificate.p12 \ --server-side-encryption AES256
Anmerkung

Wir empfehlen, die serverseitige Verschlüsselung für das Zertifikatsobjekt zu aktivieren und den Bucket auf die Prinzipale zu beschränken, die ihn benötigen. Das Paket enthält den privaten Schlüssel.

Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis

Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. Schließen Sie für die Microsoft Entra App ID-Authentifizierung die folgenden Schlüssel-Wert-Paare ein:

  • clientId(erforderlich) — die Anwendungs-ID (Client) aus Schritt 1.

  • clientSecret(erforderlich) — der geheime Client-Wert aus Schritt 3.

  • certificatePassword(Nur Zugriffskontrolle auf Dokumentebene, empfohlen) — das Passwort, das Sie in Schritt 4 für das .p12 Bundle festgelegt haben. Lesen Sie den folgenden Hinweis.

Nur Inhalt (keine Zugriffskontrolle auf Dokumentebene)

{ "clientId": "your-client-id", "clientSecret": "your-client-secret" }

Mit Zugriffskontrolle auf Dokumentenebene

{ "clientId": "your-client-id", "clientSecret": "your-client-secret", "certificatePassword": "your-certificate-password" }

Erstellen Sie das Geheimnis mit: AWS Command Line Interface

aws secretsmanager create-secret \ --name bedrock-onedrive-creds \ --secret-string file://secret.json

Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.

Anmerkung

Wenn die Zugriffskontrolle auf Dokumentebene aktiviert ist, geben Sie das Passwort ein, das Sie bei der Erstellung des .p12 Bundles in Schritt 4 verwendet haben. certificatePassword Wenn Sie dieses Feld weglassen, öffnet Amazon Bedrock das Bundle mit der Client-ID Ihrer Anwendung als Passwort. Das Bundle muss also mit der Client-ID als Passwort erstellt worden sein. Wir empfehlen, stattdessen immer ein explizites Passwort mit hoher Entropie festzulegen.

Schritt 8 (nur ACLs): Gewähren Sie der Servicerolle Zugriff auf das Zertifikat

Ihre Wissensdatenbank-Servicerolle muss in der Lage sein, das Zertifikatsobjekt aus Amazon S3 zu lesen. Fügen Sie der Berechtigungsrichtlinie der Rolle die folgende Anweisung hinzu und ersetzen Sie den Bucket-Namen und den Schlüssel durch Ihre Werte.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ListCertificateBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::your-certificate-bucket"], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } }, { "Sid": "S3GetCertificate", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12", "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } } ] }
Anmerkung

Die Richtlinie ermöglicht neben dem Zertifikat auch den Lesezugriff auf eine optionale .metadata.json Datei. Amazon Bedrock benötigt diese Datei nicht; einschließlich der Berechtigung verhindert Zugriffsfehler, falls eine vorhanden ist.

Wenn das Zertifikatsobjekt mit einem AWS KMS-Schlüssel verschlüsselt ist

Der Upload-Befehl in Schritt 6 (nur ACLs): Laden Sie das Zertifikat auf Amazon S3 hoch verwendet S3-managed Amazon-Verschlüsselung (AES256), für die keine zusätzlichen Berechtigungen erforderlich sind. Wenn Sie stattdessen das Zertifikatsobjekt mit serverseitiger Amazon S3 S3-Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels (SSE-KMS) verschlüsseln, benötigt die Servicerolle auch eine kms:Decrypt Genehmigung für diesen Schlüssel, und die Richtlinie des Schlüssels muss es der Rolle ermöglichen, ihn zu verwenden. Für Objekte, die mit dem AWS verwalteten aws/s3 Schlüssel verschlüsselt wurden, ist diese zusätzliche Genehmigung nicht erforderlich.

{ "Sid": "KmsDecryptCertificate", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["arn:aws:kms:us-west-2:123456789012:key/your-key-id"] }

Den vollständigen Satz der Berechtigungen für Knowledge Base-Servicerollen finden Sie unterBerechtigungen für den Zugriff auf Ihre Datenquellen.

Nächste Schritte

Sie haben jetzt die Anmeldeinformationen, die Sie zum Erstellen der Datenquelle benötigen: den geheimen ARN, Ihre Mandanten-ID und (für die Zugriffskontrolle auf Dokumentebene) den Amazon S3 S3-Speicherort des Zertifikats. Informationen zum Erstellen der OneDrive Datenquelle mit der AWS-Managementkonsole oder der API finden Sie unter. Eine OneDrive Datenquelle Connect