Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attivazione del riconoscimento delle liste di controllo degli accessi
Bedrock Managed Knowledge Base supporta il ACL-aware recupero, ovvero la capacità di filtrare i risultati delle query in base agli elenchi di controllo degli accessi (ACL) a livello di documento scansionati dalle fonti di dati connesse. Quando il riconoscimento ACL è abilitato su un'origine dati, Bedrock Managed Knowledge Base inserisce le autorizzazioni (utenti consentiti, utenti negati, gruppi consentiti, gruppi negati) insieme al contenuto del documento. Al momento della query, si fornisce un contesto utente e Bedrock Managed Knowledge Base restituisce solo i documenti a cui l'utente è autorizzato a accedere. Per la sintassi della richiesta utilizzata per passare il contesto utente al momento del recupero, vedere. ACL-aware recupero su basi di conoscenza gestite
La conoscenza dell'ACL non è un'autorizzazione
Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.
Come funziona ACL-aware il recupero
ACL-aware il recupero avviene in due fasi:
-
Pre-retrieval filtraggio: durante l'inserimento, Bedrock Managed Knowledge Base esegue la scansione delle autorizzazioni dei documenti dalla fonte di dati. In fase di interrogazione, Bedrock Managed Knowledge Base utilizza il contesto utente fornito per filtrare i risultati della ricerca, restituendo solo i documenti in cui l'utente (o i relativi gruppi) compare nell'elenco degli utenti consentiti e non nell'elenco degli utenti non autorizzati.
-
Real-time Verifica ACL: per i connettori che la supportano (SharePoint, Google Drive OneDrive, Confluence), Bedrock Managed Knowledge Base effettua una chiamata in tempo reale all'origine dati per verificare che l'utente abbia ancora accesso a ciascun documento restituito. In questo modo vengono rilevate le modifiche alle autorizzazioni avvenute tra le sincronizzazioni. I connettori S3 e Custom non supportano la verifica in tempo reale perché i relativi metadati ACL vengono forniti dal cliente tramite file di configurazione anziché essere sottoposti a scansione da un sistema di autorizzazioni attivo.
Entrambe le fasi utilizzano la stessa logica di valutazione: se un utente compare sia in un elenco consentito che in un elenco di rifiuto per un documento, l'accesso viene negato. Deny sostituisce sempre allow.
Modello di identità
Bedrock Managed Knowledge Base utilizza l'e-mail come identificatore utente universale per la corrispondenza ACL. L'utente è sempre identificato dalla sua e-mail universale: l'e-mail che trasmetti nel contesto utente deve corrispondere esattamente all'e-mail associata all'utente in ciascuna fonte di dati connessa. Non esiste una risoluzione degli alias o una mappatura tra provider di identità. I gruppi, al contrario, vengono identificati in base al modo in cui il connettore di origine li rappresenta (un nome di gruppo, un ID di gruppo o un altro identificatore) e vengono confrontati con le appartenenze ai gruppi ricercate per indicizzazione da quella fonte di dati.
Le appartenenze ai gruppi vengono risolte dalla fonte di dati. Durante l'inserimento, Bedrock Managed Knowledge Base analizza le appartenenze ai gruppi da ciascuna fonte di dati e le archivia internamente. In fase di interrogazione, Bedrock Managed Knowledge Base stabilisce automaticamente a quali gruppi appartiene un utente in base a questi dati sottoposti a scansione.
Nota
Le appartenenze ai gruppi sono aggiornate quanto l'ultima sincronizzazione. Le modifiche alle autorizzazioni tra le sincronizzazioni non si riflettono fino al completamento del processo di inserimento successivo. Per i connettori che supportano la verifica ACL in tempo reale, questo controllo rileva le modifiche alle autorizzazioni avvenute dopo l'ultima sincronizzazione.
Matrice di supporto dei connettori
Non tutti i connettori supportano il riconoscimento ACL. La tabella seguente mostra quali connettori supportano il filtraggio prima del recupero e la verifica ACL in tempo reale.
| Connector | Pre-retrieval filtro | Real-time ACL | Note |
|---|---|---|---|
| SharePoint | Supportata | Supportata | Utilizza le autorizzazioni a livello di applicazione (2LO). ENTRA_ID_APP_ONLYRichiede il tipo di autenticazione. |
| OneDrive | Supportata | Supportata | Utilizza le autorizzazioni a livello di applicazione (2LO). ENTRA_APP_IDRichiede il tipo di autenticazione. |
| Google Drive | Supportata | Supportata | Utilizza la delega a livello di dominio (2LO). Richiede un tipo di autenticazione. SERVICE_ACCOUNT |
| Confluenza | Supportata | Supportata | Utilizza il token API di amministrazione per controlli in tempo reale. Richiede il tipo di BASIC autenticazione. |
| Amazon S3 | Supportata | Non supportata | ACL definiti tramite un file di configurazione ACL fornito dal cliente in Amazon S3. Nessuna verifica in tempo reale perché il file di metadati fornito dal cliente è la fonte della verità. |
| Personalizza | Supportata | Non supportata | ACL definiti tramite metadati forniti dal cliente. Nessuna verifica in tempo reale perché i metadati forniti dal cliente sono la fonte della verità. |
| crawler web | Non supportata | N/A | I contenuti Web non hanno un modello di autorizzazione. Il riconoscimento ACL non può essere abilitato per questo connettore. |
Per i dettagli sulla configurazione ACL specifica del connettore, consulta:
Comportamento di errore
ACL-aware il recupero fallisce chiuso. Se in una qualsiasi parte della pipeline di valutazione ACL si verifica un errore, ad esempio errore di risoluzione di gruppo, timeout di verifica in tempo reale o errore interno del servizio, Bedrock Managed Knowledge Base non restituisce i documenti interessati. Un errore temporaneo non comporta mai la restituzione dei documenti a utenti non autorizzati.
Quando si verifica un errore ACL, la risposta può contenere zero o meno risultati del previsto. Le risposte di errore indicano un errore di risoluzione ACL, pertanto è possibile distinguerlo da un'interrogazione che non corrisponde effettivamente a nessun documento.
Le tue responsabilità
Poiché Bedrock Managed Knowledge Base fornisce il ACL-aware filtraggio e non una soluzione di autorizzazione completa, l'utente è responsabile di quanto segue:
-
Autenticazione degli utenti finali: è necessario autenticare gli utenti nell'applicazione prima di passare la loro identità alla Bedrock Managed Knowledge Base. Bedrock Managed Knowledge Base non verifica l'autenticità del contesto utente fornito.
-
Identità e-mail coerente: l'indirizzo e-mail trasmesso deve corrispondere all'e-mail utilizzata in ciascuna fonte di dati connessa. Se le e-mail differiscono tra i sistemi, la corrispondenza ACL fallisce automaticamente e l'utente non riceve alcun risultato da quella fonte di dati.
-
Gestione del ciclo di vita delle e-mail: se un indirizzo e-mail viene riassegnato a un'altra persona (ad esempio, dopo la partenza di un dipendente), è necessario rilevarlo prima di passare l'identità alla Bedrock Managed Knowledge Base. Real-time La verifica ACL funge da rete di sicurezza per i connettori che la supportano, ma non sostituisce una corretta gestione del ciclo di vita delle identità.