Document-level Zugriffskontrollen

Die Wissensdatenbanken von Confluence Cloud unterstützen optional die Zugriffskontrolle auf Dokumentenebene. Wenn diese Option aktiviert ist, synchronisiert Amazon Quick bei jedem Crawl Zugriffskontrolllisten (ACLs) von Confluence und überprüft die Berechtigungen jedes Benutzers zum Zeitpunkt der Abfrage. Benutzer sehen in Confluence nur Antworten aus Dokumenten, für deren Zugriff sie autorisiert sind.

Funktionsweise

Wenn ein Benutzer einen Amazon Quick Agent anfragt, der eine Confluence-Wissensdatenbank mit aktiviertem ACL-Management verwendet, erzwingt das System Zugriffskontrollen in zwei Schritten:

1. Pre-retrieval Filterung — Amazon Quick führt eine semantische Suche anhand des Vektorindex durch, um die relevantesten Dokumentpassagen zu finden. Das System wendet Zugriffskontrolllisten an, die während des letzten Crawls von Confluence aus synchronisiert wurden. Dadurch wird ein vorläufiger Satz von Kandidatendokumenten erstellt.

2. Real-time Überprüfung — Das System verifiziert die Kandidatendokumente in Echtzeit, indem es den aktuellen Zugriff des fragenden Benutzers in Confluence überprüft. In der Antwort werden nur Dokumente angezeigt, auf die der Benutzer derzeit zugreifen darf.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die Confluence-Berechtigungen zwischen den Synchronisierungen ändern.

Amazon Quick crawlt die folgenden Confluence-ACL-Ressourcen:

• Leerzeichen — Speicherberechtigungen gelten standardmäßig für alle Dokumente im Bereich.

• Seiten — Seiten können auf bestimmte Benutzer und Gruppen beschränkt werden. Verschachtelte Seiten übernehmen Einschränkungen von der übergeordneten Seite und können eigene Einschränkungen haben.

• Blogs — Blogbeiträge können auf bestimmte Benutzer und Gruppen im Bereich beschränkt werden.

• Anlagen — Dateien, die an Seiten oder Blogbeiträge angehängt sind, übernehmen die Zugriffskontrollen des übergeordneten Dokuments.

Aktivieren Sie die ACL-Verwaltung

Sie konfigurieren das ACL-Management bei der Erstellung der Wissensdatenbank im Schritt Zusätzliche Einstellungen. Aktivieren Sie das Kontrollkästchen Dokumentenzugriff mit ACLs kontrollieren, um es zu aktivieren. Für diese Option sind Atlassian-Administratoranmeldedaten erforderlich, die du im Schritt der Authentifizierungsmethode eingibst. Ohne Administratoranmeldedaten ist die ACL-Option deaktiviert.

Wichtig

Sie können die ACL-Verwaltung nicht ändern, nachdem Sie die Wissensdatenbank erstellt haben. Wenn Sie diese Einstellung ändern müssen, müssen Sie eine neue Wissensdatenbank erstellen.

Mit den Administratoranmeldedaten von Atlassian kann Amazon Quick auf alle Benutzer- und Gruppeninformationen deiner Confluence-Instanz zugreifen, unabhängig von den individuellen E-Mail-Sichtbarkeitseinstellungen. Schritte zum Abrufen von Administratoranmeldedaten von deiner Atlassian-Organisation findest du unter. Besorgen Sie sich Atlassian-Administratoranmeldedaten Die Schritte zur Einrichtung der Wissensdatenbank findest du unter. Authentifizieren Sie Ihr Konto

Weitere Informationen zu den bewährten Methoden von ACL finden Sie unterBewährte Methoden für die Verwaltung von ACLs in Wissensdatenbanken.

Real-time Überprüfung des Zugriffs

Wenn ein Benutzer eine Anfrage einreicht, die Inhalte aus einer ACL-enabled Confluence-Wissensdatenbank beinhaltet, überprüft Amazon Quick den Zugriff des Benutzers in Echtzeit:

1. Der Benutzer stellt im Quick Chat-Assistenten eine Frage.

2. Wenn die Antwort Confluence-Inhalte aus einer ACL-enabled Wissensdatenbank beinhaltet, fordert Quick den Benutzer auf, sich bei Confluence anzumelden.

3. Der Benutzer meldet sich mit seiner Confluence-E-Mail-Adresse und seinem Passwort an und akzeptiert den Autorisierungsdialog.

4. Quick verwendet die Anmeldeinformationen des Benutzers, um den Zugriff auf jedes Kandidatendokument in Echtzeit anhand der Confluence-API zu überprüfen.

5. In der Antwort werden nur Dokumente angezeigt, auf die der Benutzer derzeit in Confluence Zugriff hat.

Die Anmeldung ist ein einmaliger Schritt. Nach der Anmeldung werden Benutzer erst dann erneut aufgefordert, wenn ihre Sitzung abgelaufen ist.

Anmerkung

Schlägt die Berechtigungsprüfung in Echtzeit fehl (z. B. wenn die Confluence-API vorübergehend nicht verfügbar ist), wird den Benutzern eine Fehlermeldung angezeigt, in der sie aufgefordert werden, es erneut zu versuchen. Amazon Quick greift nicht auf zwischengespeicherte Berechtigungen zurück — eine Überprüfung in Echtzeit ist erforderlich, um die Genauigkeit der Zugriffskontrolle sicherzustellen.

Besorgen Sie sich Atlassian-Administratoranmeldedaten

Um bei der Einrichtung der Confluence-Wissensdatenbank die Atlassian-Administratoranmeldedaten anzugeben, muss dein Atlassian-Organisationsadministrator die folgenden Schritte ausführen.

Hol dir deinen API-Schlüssel und deine Organisations-ID

1. Melden Sie sich mit Administratorrechten im Atlassian-Admin-Portal an.

2. Öffnen Sie die Administrations-App für Ihre Organisation. Die URL sollte wie folgt aussehen:https://admin.atlassian.com/o/ORGANIZATION-UUID/overview.

3. Kopieren Sie die Organisations-ID aus der URL.

4. Wählen Sie Einstellungen und dann API-Schlüssel aus.

5. Klicken Sie auf API-Schlüssel erstellen.

6. Wählen Sie die folgenden Bereiche für den API-Schlüssel aus:

   • read:directories:admin

   • read:workspaces:admin

7. Kopieren und speichern Sie sowohl die Organisations-ID als auch den API-Schlüssel.

   Anmerkung

   API-Schlüssel laufen ab. Überwachen Sie das Ablaufdatum und aktualisieren Sie die Anmeldeinformationen für Ihre Datenquelle, bevor der Schlüssel abläuft.

Abrufen Ihrer Verzeichnis-ID

Verwende die Atlassian Admin Workspace API, um deine Verzeichnis-ID abzurufen.

1. Führe den folgenden Befehl aus und ersetze ORGANIZATION-ID ihn durch deine Organisations-ID und API-KEY deinen API-Schlüssel:

   curl --request POST \
     --url 'https://api.atlassian.com/admin/v2/orgs/ORGANIZATION-ID/workspaces' \
     --header 'Authorization: Bearer API-KEY' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{
       "query": {
         "field": {
           "name": "attributes.type",
           "values": ["confluence"]
         }
       },
       "limit": 20
     }'

   Diese Abfrage filtert die Ergebnisse nur nach Confluence-Workspaces, sodass du nicht alle Workspace-Typen durchblättern musst.

2. Suchen Sie in der API-Antwort nach dem Workspace-Eintrag, der mit Ihrer Confluence-Cloud-Instance übereinstimmt. Vergewissern Sie sich, dass der Workspace-Name mit Ihrer Instanz übereinstimmt.

3. Kopieren Sie den directory Wert aus dem attributes Abschnitt. Das ist Ihre Verzeichnis-ID.

Weitere Informationen zu den Admin-API-Bereichen von Atlassian finden Sie in der Dokumentation zu Atlassian-API-Bereichen. API-Details finden Sie in der API-Referenz zu Atlassian Admin Workspace.

Einschränkungen

• Atlassian-Administratoranmeldedaten erforderlich — Für Document-level Zugriffskontrollen sind Atlassian-Administratoranmeldedaten erforderlich, die bei der Einrichtung der Wissensdatenbank angegeben werden müssen. Du kannst ACLs nicht ohne Administratoranmeldedaten aktivieren und du kannst keine Administratoranmeldedaten hinzufügen, nachdem die Wissensdatenbank erstellt wurde.

• Real-time Eine Überprüfung ist erforderlich — Amazon Quick führt bei der Abfrage von ACL-enabled Wissensdatenbanken immer in Echtzeit Berechtigungsprüfungen durch. Wenn die Confluence-API nicht verfügbar ist, geben Abfragen, die ACL-protected Inhalte betreffen, einen Fehler zurück, anstatt auf zwischengespeicherte Berechtigungen zurückzugreifen.

Allgemeine ACL-Einschränkungen und bewährte Methoden, einschließlich ACL-Beständigkeit, Forschungskompatibilität und E-Mail-Adressverwaltung, finden Sie unter. Bewährte Methoden für die Verwaltung von ACLs in Wissensdatenbanken

Nächste Schritte

Informationen zur Überprüfung der Zugriffskontrollen auf Dokumentebene und zur Behebung von Berechtigungsproblemen finden Sie unter. Überprüfen Sie den Zugriff auf Dokumente (ACL-Überprüfung) Informationen zur Einrichtung der Confluence-Knowledgebase-Integration finden Sie unter. Richten Sie die Wissensdatenbank-Integration ein