View a markdown version of this page

Document-level contrôles d'accès - Amazon Quick
Comment ça marcheActiver la gestion des ACLReal-time vérification d'accèsObtenir les informations d'identification d'administrateur AtlassianLimitationsÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Document-level contrôles d'accès

Les bases de connaissances Confluence Cloud prennent en charge en option le contrôle d'accès au niveau des documents. Lorsque cette option est activée, Amazon Quick synchronise les listes de contrôle d'accès (ACL) de Confluence lors de chaque analyse et vérifie les autorisations de chaque utilisateur au moment de la requête. Les utilisateurs ne voient les réponses que dans les documents auxquels ils sont autorisés à accéder dans Confluence.

Comment ça marche

Lorsqu'un utilisateur interroge un agent Amazon Quick qui utilise une base de connaissances Confluence avec la gestion des ACL activée, le système applique les contrôles d'accès en deux étapes :

  1. Pre-retrieval filtrage : Amazon Quick effectue une recherche sémantique dans l'index vectoriel pour trouver les passages les plus pertinents du document. Le système applique des listes de contrôle d'accès synchronisées depuis Confluence lors du dernier crawl. Cela produit un ensemble préliminaire de documents candidats.

  2. Real-time vérification — Le système vérifie les documents du candidat en temps réel en vérifiant l'accès actuel de l'utilisateur demandeur à Confluence. Seuls les documents auxquels l'utilisateur est actuellement autorisé à accéder apparaissent dans la réponse.

Cette approche en deux étapes fournit un contrôle d'accès au niveau du document qui reste actuel même lorsque les autorisations Confluence changent entre les synchronisations.

Amazon Quick analyse les ressources ACL Confluence suivantes :

  • Espaces : les autorisations d'espace s'appliquent par défaut à tous les documents de l'espace.

  • Pages — Les pages peuvent être limitées à des utilisateurs et à des groupes spécifiques. Les pages imbriquées héritent des restrictions de la page parent et peuvent avoir leurs propres restrictions.

  • Blogs — Les articles de blog peuvent être limités à des utilisateurs et à des groupes spécifiques de l'espace.

  • Pièces jointes — Les fichiers joints aux pages ou aux articles de blog héritent des contrôles d'accès de leur document parent.

Activer la gestion des ACL

Vous configurez la gestion des ACL lors de la création de la base de connaissances à l'étape Paramètres supplémentaires. Cochez la case Contrôler l'accès aux documents avec les ACL pour l'activer. Cette option nécessite des informations d'identification d'administrateur Atlassian, que vous fournissez lors de l'étape de la méthode d'authentification. Sans informations d'identification d'administrateur, l'option ACL est désactivée.

Important

Vous ne pouvez pas modifier la gestion des ACL après avoir créé la base de connaissances. Si vous devez modifier ce paramètre, vous devez créer une nouvelle base de connaissances.

Les identifiants d'administrateur Atlassian permettent à Amazon Quick d'accéder à toutes les informations relatives aux utilisateurs et aux groupes depuis votre instance Confluence, quels que soient les paramètres de visibilité des e-mails individuels. Pour connaître les étapes à suivre pour obtenir des informations d'identification d'administrateur auprès de votre organisation Atlassian, consultez. Obtenir les informations d'identification d'administrateur Atlassian Pour les étapes de configuration de la base de connaissances, voirAuthentifiez votre compte.

Pour plus d'informations sur les meilleures pratiques en matière d'ACL, consultezBonnes pratiques pour gérer les ACL dans les bases de connaissances.

Real-time vérification d'accès

Lorsqu'un utilisateur soumet une requête qui concerne du contenu issu d'une base de connaissances ACL-enabled Confluence, Amazon Quick vérifie l'accès de l'utilisateur en temps réel :

  1. L'utilisateur pose une question dans l'assistant de chat rapide.

  2. Si la réponse concerne du contenu Confluence issu d'une base de ACL-enabled connaissances, Quick invite l'utilisateur à se connecter à Confluence.

  3. L'utilisateur se connecte avec son adresse e-mail et son mot de passe Confluence et accepte le dialogue d'autorisation.

  4. Quick utilise les informations d'identification de l'utilisateur pour vérifier l'accès à chaque document candidat en temps réel par rapport à l'API Confluence.

  5. Seuls les documents auxquels l'utilisateur a actuellement accès dans Confluence apparaissent dans la réponse.

La connexion ne se fait qu'une seule fois. Une fois connectés, les utilisateurs ne sont plus invités avant l'expiration de leur session.

Note

Si la vérification des autorisations en temps réel échoue (par exemple, si l'API Confluence est temporairement indisponible), les utilisateurs voient s'afficher un message d'erreur les invitant à réessayer. Amazon Quick ne recourt pas aux autorisations mises en cache : la vérification en temps réel est obligatoire pour garantir la précision du contrôle d'accès.

Obtenir les informations d'identification d'administrateur Atlassian

Pour fournir des informations d'identification d'administrateur Atlassian lors de la configuration de la base de connaissances Confluence, l'administrateur de votre organisation Atlassian doit suivre les étapes suivantes.

Obtenez votre clé d'API et votre identifiant d'organisation

  1. Connectez-vous au Portail d’administration Atlassian avec des autorisations d’administrateur.

  2. Ouvrez l’application Administration de votre organisation. L'URL doit ressembler à :https://admin.atlassian.com/o/ORGANIZATION-UUID/overview.

  3. Copiez l'identifiant de l'organisation à partir de l'URL.

  4. Choisissez Paramètres, puis Clés API.

  5. Choisissez Créer une clé d’API.

  6. Sélectionnez les étendues suivantes pour la clé d'API :

    • read:directories:admin

    • read:workspaces:admin

  7. Copiez et enregistrez l’ID d’organisation et la Clé d’API.

    Note

    Les clés d'API expirent. Surveillez la date d’expiration et mettez à jour les informations d’identification de votre source de données avant l’expiration de la clé.

Obtention de votre ID de répertoire

Utilisez l'API Atlassian Admin Workspace pour récupérer votre ID d'annuaire.

  1. Exécutez la commande suivante, en la ORGANIZATION-ID remplaçant par votre ID d'organisation et API-KEY par votre clé d'API :

    curl --request POST \
  --url 'https://api.atlassian.com/admin/v2/orgs/ORGANIZATION-ID/workspaces' \
  --header 'Authorization: Bearer API-KEY' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{
    "query": {
      "field": {
        "name": "attributes.type",
        "values": ["confluence"]
      }
    },
    "limit": 20
  }'

    Cette requête filtre les résultats uniquement sur les espaces de travail Confluence. Vous n'avez donc pas besoin de parcourir tous les types d'espaces de travail.

  2. Dans la réponse de l’API, recherchez l’entrée de l’espace de travail correspondant à votre instance Confluence Cloud. Vérifiez que le nom de l'espace de travail correspond à votre instance.

  3. Copiez la directory valeur depuis la attributes section. Il s'agit de votre ID de répertoire.

Pour plus d’informations sur les portées des API d’administration Atlassian, consultez la Documentation sur les portées d’API Atlassian. Pour plus de détails sur l’API, consultez la Référence des API Atlassian Admin Workspace.

Limitations

  • Informations d'identification d'administrateur Atlassian requises : les contrôles d' Document-level accès nécessitent des informations d'identification d'administrateur Atlassian, qui doivent être fournies lors de la configuration de la base de connaissances. Vous ne pouvez pas activer les ACL sans informations d'identification d'administrateur, et vous ne pouvez pas ajouter d'informations d'identification d'administrateur une fois la base de connaissances créée.

  • Real-time la vérification est obligatoire : Amazon Quick vérifie toujours les autorisations en temps réel au moment de la requête pour les bases de ACL-enabled connaissances. Si l'API Confluence n'est pas disponible, les requêtes impliquant ACL-protected du contenu renvoient une erreur au lieu de revenir aux autorisations mises en cache.

Pour connaître les limites générales des ACL et les meilleures pratiques, notamment la permanence des ACL, la compatibilité des recherches et la gestion des adresses e-mail, voirBonnes pratiques pour gérer les ACL dans les bases de connaissances.

Étapes suivantes

Pour vérifier les contrôles d'accès au niveau des documents et résoudre les problèmes d'autorisation, voir. Vérifier l'accès aux documents (vérification ACL) Pour plus d'informations sur la configuration de l'intégration de la base de connaissances Confluence, consultezConfiguration de l'intégration de la base de connaissances.