Integrazione con Microsoft Teams

Usa il connettore di azione Microsoft Teams per inviare messaggi, gestire canali, pianificare riunioni e gestire la collaborazione del team direttamente in Amazon Quick tramite linguaggio naturale.

Amazon Quick supporta diversi metodi di autenticazione per Microsoft Teams. Scegli il metodo più adatto ai requisiti di sicurezza della tua organizzazione.

• App OAuth predefinita: utilizza un'applicazione OAuth AWS gestita. Non sono necessarie credenziali aggiuntive. Gli utenti si autenticano direttamente con il proprio account Microsoft.

• App OAuth personalizzata: utilizza un'applicazione gestita dal cliente registrata in Microsoft Entra. Questa opzione offre all'organizzazione il pieno controllo sulla configurazione OAuth. Gli utenti si autenticano per conto di un utente che ha effettuato l'accesso (autorizzazioni delegate).

• Service-to-Service OAuth: utilizza le credenziali del client per l'autenticazione da server a server senza interazione dell'utente (autorizzazioni dell'applicazione). Adatto per flussi di lavoro automatizzati.

Per ulteriori informazioni sui metodi di autenticazione supportati da Amazon Quick, consultaMetodi di autenticazione.

Prima di iniziare

Assicurati di disporre di quanto segue prima di configurare l'integrazione.

• Un account Microsoft 365 con accesso a Teams.

• Per l'app OAuth personalizzata o Service-to-Service OAuth: accesso all'interfaccia di amministrazione di Microsoft Entra sul sito Web di Microsoft con almeno le autorizzazioni di sviluppatore di applicazioni.

• Per i requisiti di abbonamento, consulta. Configura le integrazioni nella console

Configurare Microsoft Entra

Se utilizzi l'autenticazione predefinita dell'app OAuth, salta questa sezione e procedi con. Configurazione del connettore in Amazon Quick

Prima di configurare Amazon Quick, crea una registrazione dell'app in Microsoft Entra. Completa tutti i seguenti passaggi in Entra prima di passare alla console Amazon Quick.

Per ulteriori informazioni sulle registrazioni delle app, vedi Registrare un'applicazione con la piattaforma di identità Microsoft nella documentazione Microsoft.

Registrare l'applicazione

1. Apri l'interfaccia di amministrazione di Microsoft Entra.

2. Nella barra di navigazione a sinistra, scegli Entra ID, quindi scegli Registrazioni app.

3. Scegli Nuova registrazione.

4. In Nome, inserisci un nome descrittivo per la tua integrazione.

5. Per i tipi di account supportati, scegli Account solo in questa directory organizzativa.

6. Per Redirect URI, selezionate Web e immettetehttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback. Sostituisci {region} con la AWS regione in cui è distribuita l'istanza Amazon Quick.

7. Scegli Registrati.

8. Nella pagina di panoramica, copia l'ID dell'applicazione (client) e l'ID della directory (tenant). Questi valori sono necessari per la configurazione di Amazon Quick.

Crea un segreto per il cliente

Amazon Quick necessita di un client secret per l'autenticazione con Microsoft Entra. Questo segreto funge da password per la registrazione dell'app.

1. Dalla registrazione dell'app, scegli Certificati e segreti.

2. Scegli Nuovo segreto del cliente.

3. Inserisci una descrizione e scegli un periodo di scadenza.

4. Scegliere Aggiungi.

5. Copia immediatamente il valore. Questo valore viene visualizzato solo una volta.

Importante

Copia il valore segreto, non l'ID segreto. Il valore è la stringa più lunga utilizzata per l'autenticazione.

Configura le autorizzazioni API

Microsoft Graph supporta due tipi di autorizzazione per questa integrazione. Le autorizzazioni delegate consentono all'app di agire per conto di un utente che ha effettuato l'accesso. Le autorizzazioni dell'applicazione consentono all'app di agire senza un utente registrato. Per ulteriori informazioni, vedere Panoramica delle autorizzazioni di Microsoft Graph nella documentazione Microsoft.

1. Dalla registrazione dell'app, scegli Autorizzazioni API.

2. Scegli Aggiungi un'autorizzazione, quindi scegli Microsoft Graph.

3. Scegli Autorizzazioni delegate o Autorizzazioni per applicazioni in base al metodo di autenticazione utilizzato e aggiungi le autorizzazioni dalla tabella appropriata riportata di seguito.

4. Scegli Concedi il consenso dell'amministratore per [il nome del tenant] per approvare le autorizzazioni.

Per l'autenticazione degli utenti (autorizzazioni delegate):

Aggiungi quanto segue come autorizzazioni delegate nella registrazione dell'app Entra. Per il riferimento completo alle autorizzazioni, vedere il riferimento alle autorizzazioni di Microsoft Graph nella documentazione Microsoft.

Integrazione delle azioni di Teams: autorizzazioni delegate

Autorizzazione	Description
Chat.ReadWrite	Consente all'app di leggere e scrivere i messaggi di chat dell'utente che ha effettuato l'accesso.
ChatMessage.Send	Consente all'app di inviare messaggi di chat per conto dell'utente che ha effettuato l'accesso.
Team.ReadBasic.All	Consente all'app di leggere i nomi e le descrizioni dei team per conto dell'utente che ha effettuato l'accesso.
Channel.ReadBasic.All	Consente all'app di leggere i nomi e le descrizioni dei canali per conto dell'utente che ha effettuato l'accesso.
Channel.Create	Consente all'app di creare canali in qualsiasi team per conto dell'utente che ha effettuato l'accesso.
ChannelMessage.Read.All	Consente all'app di leggere tutti i messaggi del canale per conto dell'utente che ha effettuato l'accesso.
ChannelMessage.Send	Consente all'app di inviare messaggi nei canali per conto dell'utente che ha effettuato l'accesso.
ChannelMember.ReadWrite.All	Consente all'app di aggiungere e rimuovere membri dai canali per conto dell'utente che ha effettuato l'accesso.
TeamMember.ReadWrite.All	Consente all'app di aggiungere e rimuovere membri da tutti i team per conto dell'utente che ha effettuato l'accesso.
User.Read.All	Consente all'app di leggere il set completo di proprietà del profilo di tutti gli utenti per conto dell'utente che ha effettuato l'accesso.
OnlineMeetings.ReadWrite	Consente all'app di leggere e creare riunioni online per conto dell'utente che ha effettuato l'accesso.
OnlineMeetingTranscript.Read.All	Consente all'app di leggere tutte le trascrizioni delle riunioni online per conto dell'utente che ha effettuato l'accesso.
Calendars.ReadWrite	Consente all'app di leggere e scrivere eventi nei calendari degli utenti per conto dell'utente che ha effettuato l'accesso.
offline_access	Consente all'app di aggiornare i token di accesso senza richiedere all'utente di effettuare nuovamente l'accesso. Ciò riduce la frequenza con cui gli utenti devono autenticarsi nuovamente.

Per l'autenticazione del servizio (autorizzazioni dell'applicazione):

Aggiungi quanto segue come autorizzazioni dell'applicazione nella registrazione dell'app Entra.

Integrazione delle azioni di Teams: autorizzazioni per le applicazioni

Autorizzazione	Description
Chat.Read.All	Consente all'app di leggere tutti i messaggi di chat dell'organizzazione senza un utente registrato.
Chat.Send	Consente all'app di inviare messaggi di chat senza un utente registrato.
Team.ReadBasic.All	Consente all'app di leggere i nomi e le descrizioni di tutti i team senza un utente registrato.
Channel.ReadBasic.All	Consente all'app di leggere tutti i nomi e le descrizioni dei canali senza un utente registrato.
ChannelMessage.Read.All	Consente all'app di leggere tutti i messaggi del canale senza un utente registrato.
ChannelMessage.Send	Consente all'app di inviare messaggi a qualsiasi canale senza un utente registrato.
ChannelMember.ReadWrite.All	Consente all'app di aggiungere e rimuovere membri da tutti i canali senza che un utente abbia effettuato l'accesso.
TeamMember.ReadWrite.All	Consente all'app di aggiungere e rimuovere membri da tutti i team senza un utente registrato.
User.Read.All	Consente all'app di leggere il set completo di proprietà del profilo di tutti gli utenti senza un utente registrato.
OnlineMeetingTranscript.Read.All	Consente all'app di leggere tutte le trascrizioni delle riunioni online senza un utente registrato.

Importante

Con l'autenticazione del servizio, tutte le azioni vengono eseguite come account di servizio. Qualsiasi utente con accesso a questa integrazione può eseguire azioni su tutti i team e i canali a cui l'account di servizio può accedere. Ambita le autorizzazioni dell'applicazione in modo appropriato per i requisiti di sicurezza della tua organizzazione.

Registra le tue credenziali

Prima di uscire dall'interfaccia di amministrazione di Microsoft Entra, verifica di avere i seguenti valori. Ne hai bisogno per la configurazione di Amazon Quick.

Credenziali richieste da Microsoft Entra

Valore	Dove trovarlo
ID dell’applicazione (client)	Pagina di panoramica sulla registrazione dell'app
ID della directory (tenant)	Pagina di panoramica sulla registrazione dell'app
Valore segreto del cliente	Pagina dei certificati e dei segreti

Configurazione del connettore in Amazon Quick

Connect dalla scheda Available

Se desideri utilizzare l'autenticazione predefinita dell'app OAuth, puoi connetterti direttamente dalla scheda Disponibile senza configurazioni aggiuntive.

1. Nella console Amazon Quick, scegli Connettori.

2. Nella scheda Disponibile, trova MSteams e scegli Connect.

3. Completa il flusso di accesso a Microsoft e concedi le autorizzazioni richieste.

Per configurare invece un connettore con l'app OAuth personalizzata o Service-to-Service OAuth, usa la scheda Crea per il tuo team come descritto di seguito.

Crea dalla scheda Crea per il tuo team

Dopo aver completato la configurazione Entra richiesta, crea il connettore in Amazon Quick.

1. Nella console Amazon Quick, scegli Connettori.

2. Scegli la scheda Crea per il tuo team.

3. Trova e scegli Microsoft Teams.

   Nota

   Se esiste già un connettore Microsoft Teams, viene visualizzata una finestra di dialogo con i connettori esistenti. Per utilizzare un connettore esistente, selezionalo. Per crearne uno nuovo, scegli No, crea nuovo.

4. Inserisci un nome per il connettore. Facoltativamente, scegli + Aggiungi descrizione per aggiungere una descrizione.

5. Per Tipo di connessione, scegli Rete pubblica.

6. Per la configurazione OAuth, scegli uno dei seguenti metodi di autenticazione e configura i campi richiesti.

   1. Per l'app OAuth predefinita:

      Non sono necessarie credenziali aggiuntive. Seleziona Successivo per continuare.

   2. Per l'app OAuth personalizzata (autenticazione utente con autorizzazioni delegate), configura i seguenti campi:

      • URL di base (facoltativo): l'URL di base dell'API Microsoft Graph. Ad esempio: https://graph.microsoft.com/v1.0

      • ID cliente: l'ID dell'applicazione (client) ottenuto dalla registrazione dell'app Entra.

      • Segreto del cliente: il valore segreto del cliente derivante dalla registrazione dell'app Entra.

      • URL del token: l'endpoint del token. Ad esempio: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • URL di autorizzazione: l'endpoint di autorizzazione. Ad esempio: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • URL di reindirizzamento: Pre-filled con l'URL di callback di Amazon Quick.

   3. Per Service-to-ServiceOAuth (autenticazione del servizio con autorizzazioni dell'applicazione), configura i seguenti campi:

      • URL di base (facoltativo): l'URL di base dell'API Microsoft Graph. Ad esempio: https://graph.microsoft.com/v1.0

      • ID cliente: l'ID dell'applicazione (client) ottenuto dalla registrazione dell'app Entra.

      • Segreto del cliente: il valore segreto del cliente derivante dalla registrazione dell'app Entra.

      • URL del token: l'endpoint del token. Ad esempio: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      Nota

      L'ambito per la richiesta del token delle credenziali del client (https://graph.microsoft.com/.default) viene impostato automaticamente da Amazon Quick. Non è necessario configurarlo manualmente.

7. Scegli Next (Successivo).

8. Se scegli App OAuth predefinita o App OAuth personalizzata, si apre una finestra di autorizzazione Microsoft. Controlla le autorizzazioni richieste e scegli Accetta.

   Se visualizzi un errore anziché la finestra di dialogo per il consenso, la tua organizzazione potrebbe limitare l'accesso alle app di terze parti. Per informazioni, consulta Consenso dell'amministratore per Microsoft 365.

9. Nella pagina Revisione, esamina le azioni disponibili per il connettore. Scegli Next (Successivo).

10. Nella pagina Pubblica, scegli chi può accedere al connettore. Puoi abilitare l'accesso per tutti i membri dell'organizzazione o cercare team o gruppi specifici.

11. Seleziona Pubblica.

Operazioni disponibili

Dopo aver configurato l'integrazione, sono disponibili le seguenti azioni.

Azioni disponibili in Microsoft Teams

Categoria	Azione	Description
Chat	Elenca chat	Visualizza le tue conversazioni in chat.
Chat	Crea chat	Inizia una nuova conversazione in chat.
Chat	Invia messaggio di chat	Invia un messaggio in una chat.
Team	Elenca squadre	Visualizza i team di cui fai parte.
Team	Elenca i membri del team	Visualizza i membri di un team.
Team	Aggiungi membro del team	Aggiungi un membro a un team.
Canali	Elenca i canali	Visualizza i canali di un team.
Canali	Crea un canale	Crea un nuovo canale in un team.
Canali	Elenca i messaggi del canale	Visualizza i messaggi in un canale.
Canali	Invia un messaggio al canale	Pubblica un messaggio su un canale.
Canali	Elenca i membri del canale	Visualizza i membri di un canale.
Canali	Aggiungi membro del canale	Aggiungi un membro a un canale.
Utenti	Creazione di elenchi sugli utenti	Visualizza gli utenti della tua organizzazione.
Riunioni	Elenca le riunioni online	Visualizza le riunioni online pianificate.
Riunioni	Crea una riunione online	Pianifica una nuova riunione online.
Riunioni	Elenca le trascrizioni delle riunioni	Visualizza le trascrizioni delle riunioni.
Calendar	Elenca gli eventi del calendario	Visualizza gli eventi sul tuo calendario.
Calendar	Crea un evento del calendario	Crea un nuovo evento del calendario.

Gestisci e risolvi i problemi

Per modificare, condividere o eliminare la tua integrazione, consulta. Gestione delle integrazioni esistenti

Problemi di autenticazione

• Registrazione errata dell'app: verifica che la registrazione dell'app in Microsoft Entra includa le autorizzazioni API richieste e che sia stato concesso il consenso dell'amministratore.

• Segreto client scaduto: controlla se il segreto del client è scaduto in Certificati e segreti e generane uno nuovo, se necessario.

• URI di reindirizzamento errato: verifica che l'URI di reindirizzamento in Microsoft Entra corrisponda. https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

Messaggi di errore comuni

• Access denied. You do not have permission to perform this action— L'utente autenticato non dispone delle autorizzazioni richieste. Contatta l'amministratore per verificare e concedere le autorizzazioni appropriate.

• AADSTS50020: User account from identity provider does not exist in tenant— L'account utente non è configurato nel tenant Microsoft Entra corretto. Verifica che nel tenant esista un account utente che corrisponda all'ID di Directory (tenant) indicato nella registrazione dell'app.

Consenso dell'amministratore per Microsoft 365

Quando utilizzi il metodo di autenticazione predefinito dell'app OAuth, Amazon Quick utilizza un'applicazione AWS gestita per accedere a Microsoft Teams per conto dell'utente che ha effettuato l'accesso. La maggior parte degli utenti può completare la configurazione senza passaggi aggiuntivi. Tuttavia, se il tenant di Microsoft 365 limita l'accesso alle app di terze parti, un amministratore di Microsoft 365 deve concedere il consenso una tantum prima che gli utenti possano connettersi.

Se visualizzi un errore quando accedi durante la configurazione del connettore, l'organizzazione potrebbe limitare l'accesso alle app di terze parti. Condividi le seguenti informazioni con l'amministratore di Microsoft 365:

• Cosa fare: concedere il consenso dell'amministratore per l'applicazione di integrazione Amazon Quick Microsoft Teams.

• Perché: Amazon Quick necessita dell'accesso delegato ai canali, alle chat, alle riunioni e ai dati del calendario di Teams per eseguire azioni per conto degli utenti.

Un amministratore può concedere il consenso in uno dei seguenti modi:

• Tramite la finestra di dialogo di consenso: un amministratore globale o un amministratore di ruoli privilegiati avvia il flusso di configurazione del connettore. Nella finestra di dialogo di accesso di Microsoft, selezionano la casella di controllo Consenso per conto dell'organizzazione e scelgono Accetta.

• Tramite l'interfaccia di amministrazione di Microsoft Entra: accedi all'interfaccia di amministrazione Microsoft Entra sul sito Web Microsoft. Scegli Applicazioni Enterprise, individua l'applicazione Amazon Quick, scegli Autorizzazioni e scegli Concedi il consenso dell'amministratore per Your Organization.

Dopo aver concesso il consenso, qualsiasi utente della tua organizzazione può connettersi senza che venga richiesto il consenso individuale.

Nota

Per verificare se il tenant limita il consenso dell'utente, vai all'interfaccia di amministrazione di Microsoft Entra e scegli Applicazioni aziendali, Consenso e autorizzazioni, Impostazioni consenso utente. Se l'impostazione è Non consentire il consenso dell'utente, un amministratore deve concedere il consenso prima che gli utenti possano utilizzare il connettore.