Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ACL-aware recupero su basi di conoscenza gestite
Quando il riconoscimento ACL è abilitato su un'origine dati gestita della Knowledge Base, è possibile filtrare i risultati delle query passando un contesto utente nella richiesta Retrieve. Bedrock Managed Knowledge Base restituisce solo i documenti a cui l'utente fornito è autorizzato ad accedere. Per una panoramica sul funzionamento dell'ACL Awareness, sul modello di identità, sul supporto dei connettori e sulle responsabilità dell'utente nell'attivarlo, consulta. Attivazione del riconoscimento delle liste di controllo degli accessi
Importante
Il riconoscimento ACL fornisce il ACL-aware filtraggio, non l'autorizzazione. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione deve autenticare gli utenti e passare in un contesto di identità verificato. Per informazioni dettagliate, vedi Attivazione del riconoscimento delle liste di controllo degli accessi.
Utilizzo di UserContext nelle richieste di recupero
Per eseguire ACL-aware il recupero, includi il userContext campo nella richiesta di recupero. userContextspecifica l'identità dell'utente. userIdÈ sempre l'indirizzo e-mail universale dell'utente associato all'origine dati sottostante.
{ "knowledgeBaseId": "your-knowledge-base-id", "retrievalQuery": { "text": "your query" }, "userContext": { "userId": "user@example.com" } }
Se non lo fornisci userContext in una richiesta di recupero, le origini ACL-enabled dati restituiscono zero risultati. Non-ACL le fonti di dati nella stessa knowledge base restituiscono risultati normalmente.
Comportamento di recupero con gli ACL
Quando il riconoscimento ACL è abilitato, si applicano i seguenti comportamenti:
-
Contesto utente richiesto per le origini ACL-enabled dati: se non si fornisce il contesto utente in una richiesta di recupero, le origini ACL-enabled dati restituiscono zero risultati. Non-ACL le fonti di dati nella stessa knowledge base restituiscono normalmente i risultati.
-
La mancanza di metadati ACL significa inaccessibile: se un documento in un'origine ACL-enabled dati non dispone di ACL (ad esempio, il connettore non è riuscito a estrarre le autorizzazioni o il documento è pubblico), quel documento non viene restituito a nessun utente. Le autorizzazioni mancanti vengono considerate limitate, non pubbliche.
-
Origini di dati ACL-enabled miste: nella stessa knowledge base è possibile avere sia origini dati non ACL che origini dati non ACL. I documenti provenienti da fonti di dati non ACL vengono restituiti a tutti gli utenti indipendentemente dal contesto dell'utente.
-
Risultati parziali: quando la verifica ACL in tempo reale nega l'accesso ad alcuni documenti, la risposta può contenere un numero inferiore di risultati rispetto a quello richiesto.
maxResultsBedrock Managed Knowledge Base non contiene documenti aggiuntivi. L'applicazione deve gestire le risposte con un numero di risultati inferiore a quello richiesto. -
Negare sostituisce consentire: se un utente compare sia in un elenco di utenti consentiti che in un elenco di utenti non autorizzati per un documento, l'accesso viene negato.
Nota
Third-party le credenziali del provider di identità vengono memorizzate nella cache per un massimo di 1 ora. L'accesso può continuare fino all'aggiornamento della cache.
Le modifiche alle autorizzazioni di controllo degli accessi alla fine sono coerenti. Gli aggiornamenti in genere hanno effetto entro pochi minuti.
Risoluzione dei problemi
Se ACL-aware il recupero non restituisce risultati o risultati imprevisti, la causa è in genere specifica del connettore: autorizzazioni, credenziali o configurazione ACL. Consulta la guida alla risoluzione dei problemi per il tuo connettore: