本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Microsoft Teams 集成
使用 Microsoft Teams 操作连接器通过自然语言直接在 Amazon Quick 中发送消息、管理频道、安排会议和管理团队协作。
Amazon Quick 支持微软 Teams 的多种身份验证方法。选择最适合您组织安全要求的方法。
-
默认 OAuth 应用程序-使用 AWS由托管的 OAuth 应用程序。无需其他凭证。用户直接使用自己的 Microsoft 帐户进行身份验证。
-
自定义 OAuth 应用程序 — 使用在 Microsoft Entra 中注册的客户管理应用程序。此选项可让您的组织完全控制 OAuth 配置。用户代表登录用户进行身份验证(委派权限)。
-
Service-to-Service OAuth-使用客户端凭据进行服务器到服务器的身份验证,无需用户交互(应用程序权限)。适用于自动化工作流程。
有关 Amazon Quick 支持的身份验证方法的更多信息,请参阅身份验证方法。
开始前的准备工作
在设置集成之前,请确保您具备以下条件。
-
一个拥有 Teams 访问权限的微软 365 账户。
-
对于自定义 OAuth 应用程序或 Service-to-Service OAuth:至少具有应用程序开发者权限即可访问微软网站上的微软 Entra 管理中心
。 -
有关订阅要求,请参阅在控制台中设置集成。
配置微软 Entra
如果您使用的是默认 OAuth 应用程序身份验证,请跳过本节并继续。在 Amazon Quick 中设置连接器
在配置 Amazon Quick 之前,请在 Microsoft Entra 中创建应用程序注册。在移至 Amazon Quick 控制台之前,请在 Entra 中完成以下所有步骤。
有关应用程序注册的更多信息,请参阅 Microsoft 文档中的向 Microsoft 身份平台注册应用程序
注册应用程序
-
在左侧导航栏中,选择 Entra ID,然后选择应用程序注册。
-
选择 “新注册”。
-
在名称中,输入集成的描述性名称。
-
对于支持的帐户类型,请选择 “仅限此组织目录中的帐户”。
-
对于重定向 URI,选择 Web 并输入
https://。{region}.quicksight.aws.amazon.com/sn/oauthcallback{region}替换为部署您的 Amazon Quick 实例的 AWS 区域。 -
选择注册。
-
在概述页面上,复制应用程序(客户端)ID 和目录(租户)ID。您需要这些值才能进行 Amazon Quick 配置。
创建客户机密钥
Amazon Quick 需要一个客户端密钥才能通过 Microsoft Entra 进行身份验证。此密钥充当应用程序注册的密码。
-
从您的应用程序注册中,选择 “证书和机密”。
-
选择 “新建客户机密钥”。
-
输入描述并选择到期时间。
-
选择添加。
-
立即复制该值。此值仅显示一次。
重要
复制密钥值,而不是密钥 ID。该值是用于身份验证的较长字符串。
配置 API 权限
Microsoft Graph 为此集成支持两种权限类型。委托权限允许应用程序代表登录用户执行操作。应用程序权限允许应用程序在没有登录用户的情况下运行。有关更多信息,请参阅微软文档中的 Microsoft Graph 权限概述
-
在您的应用程序注册中,选择 API 权限。
-
选择 “添加权限”,然后选择 Microsoft Graph。
-
根据您的身份验证方法选择 “委派权限” 或 “应用程序权限”,然后从下表中添加相应权限。
-
选择 “授予管理员同意 [您的租户名称] 以批准权限。
对于用户身份验证(委托权限):
在您的 Entra 应用程序注册中添加以下内容作为委托权限。有关完整权限参考,请参阅微软文档中的微软 Graph 权限参考
| 权限 | 说明 |
|---|---|
Chat.ReadWrite |
允许该应用程序读取和写入登录用户的聊天消息。 |
ChatMessage.Send |
允许该应用程序代表登录用户发送聊天消息。 |
Team.ReadBasic.All |
允许该应用代表登录用户读取团队的名称和描述。 |
Channel.ReadBasic.All |
允许该应用代表登录用户读取频道名称和描述。 |
Channel.Create |
允许该应用代表登录用户在任何团队中创建频道。 |
ChannelMessage.Read.All |
允许该应用代表登录用户阅读所有频道消息。 |
ChannelMessage.Send |
允许该应用代表登录用户在频道中发送消息。 |
ChannelMember.ReadWrite.All |
允许该应用代表登录用户在频道中添加和移除成员。 |
TeamMember.ReadWrite.All |
允许该应用程序代表登录用户在所有团队中添加和移除成员。 |
User.Read.All |
允许该应用程序代表登录用户读取所有用户的完整个人资料属性。 |
OnlineMeetings.ReadWrite |
允许该应用程序代表登录用户阅读和创建在线会议。 |
OnlineMeetingTranscript.Read.All |
允许该应用程序代表登录用户阅读在线会议的所有记录。 |
Calendars.ReadWrite |
允许该应用程序代表登录用户在用户日历中读取和写入事件。 |
offline_access |
允许应用程序刷新访问令牌,而无需用户再次登录。这减少了用户需要重新进行身份验证的频率。 |
对于服务身份验证(应用程序权限):
在您的 Entra 应用程序注册中添加以下内容作为应用程序权限。
| 权限 | 说明 |
|---|---|
Chat.Read.All |
允许该应用程序无需登录用户即可阅读组织中的所有聊天消息。 |
Chat.Send |
允许该应用程序在没有登录用户的情况下发送聊天消息。 |
Team.ReadBasic.All |
允许该应用程序在没有登录用户的情况下读取所有团队的名称和描述。 |
Channel.ReadBasic.All |
允许该应用无需登录用户即可阅读所有频道名称和描述。 |
ChannelMessage.Read.All |
允许该应用无需登录用户即可阅读所有频道消息。 |
ChannelMessage.Send |
允许该应用在没有登录用户的情况下向任何频道发送消息。 |
ChannelMember.ReadWrite.All |
允许该应用程序在没有登录用户的情况下在所有频道中添加和移除成员。 |
TeamMember.ReadWrite.All |
允许该应用程序在没有登录用户的情况下从所有团队中添加和移除成员。 |
User.Read.All |
允许该应用程序在没有登录用户的情况下读取所有用户的完整个人资料属性。 |
OnlineMeetingTranscript.Read.All |
允许该应用程序无需登录用户即可阅读在线会议的所有记录。 |
重要
使用服务身份验证时,所有操作都以服务帐号的身份执行。任何有权访问此集成的用户都可以在服务帐号可以访问的所有团队和渠道中执行操作。根据贵组织的安全要求适当确定应用程序权限的范围。
记录您的凭证
在离开 Microsoft Entra 管理中心之前,请确认你有以下值。您需要它们来配置 Amazon Quick。
| 值 | 在哪里可以找到它 |
|---|---|
| 应用程序(客户端)ID | 应用程序注册概述页面 |
| 目录(租户)ID | 应用程序注册概述页面 |
| 客户端密钥值 | 证书和密钥页面 |
在 Amazon Quick 中设置连接器
从 “可用” 选项卡连接
如果要使用默认 OAuth 应用程序身份验证,则无需额外配置即可直接从 “可用” 选项卡进行连接。
-
在 Amazon Quick 控制台中,选择连接器。
-
在 “可用” 选项卡上,找到 MSteams,然后选择 Connect。
-
完成 Microsoft 登录流程并授予所请求的权限。
要改为使用自定义 OAuth 应用程序或 Service-to-Service OAuth 配置连接器,请使用为团队创建选项卡,如下所述。
从 “为你的团队创建” 选项卡创建
完成所有必需的 Entra 配置后,请在 Amazon Quick 中创建连接器。
-
在 Amazon Quick 控制台中,选择连接器。
-
选择 “为你的团队创建” 选项卡。
-
找到并选择 Microsoft Team s。
注意
如果 Microsoft Teams 连接器已经存在,则会出现一个包含你现有连接器的对话框。要使用现有的连接器,请选择它。要创建新的,请选择 “否,新建”。
-
输入连接器的名称。(可选)选择 + 添加描述以添加描述。
-
在 “连接类型” 中,选择 “公共网络”。
-
对于 OAuth 配置,请选择以下身份验证方法之一并配置必填字段。
-
对于默认 OAuth 应用程序:
无需其他凭证。选择下一步以继续。
-
对于自定义 OAuth 应用程序(使用委派权限进行用户身份验证),请配置以下字段:
-
基本网址(可选)— 微软 Graph API 基本网址。示例:
https://graph.microsoft.com/v1.0 -
客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。
-
客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。
-
令牌网址-令牌端点。示例:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token -
授权 URL-授权端点。示例:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize -
重定向 URL — Pre-filled 使用 Amazon 快速回传网址。
-
-
对于 Service-to-ServiceOAuth(使用应用程序权限进行服务身份验证),请配置以下字段:
-
基本网址(可选)— 微软 Graph API 基本网址。示例:
https://graph.microsoft.com/v1.0 -
客户端 ID — 来自您的 Entra 应用程序注册的应用程序(客户端)ID。
-
客户端密钥 — 来自您的 Entra 应用程序注册的客户端密钥值。
-
令牌网址-令牌端点。示例:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
注意
客户凭证令牌请求的范围 (
https://graph.microsoft.com/.default) 由 Amazon Quick 自动设置。您无需手动对其进行配置。 -
-
-
选择下一步。
-
如果您选择默认 OAuth 应用程序或自定义 OAuth 应用程序,则会打开微软授权窗口。查看请求的权限,然后选择 “接受”。
如果您看到错误而不是同意对话框,则您的组织可能会限制第三方应用程序的访问权限。请参阅微软 365 的管理员同意。
-
在 “查看” 页面上,查看连接器的可用操作。选择下一步。
-
在 “发布” 页面上,选择谁可以访问连接器。您可以为组织中的所有人启用访问权限,也可以搜索特定的团队或群组。
-
选择发布。
可用操作
设置集成后,可以执行以下操作。
| 类别 | 处理建议 | 说明 |
|---|---|---|
| Chats | 列出聊天记录 | 查看您的聊天对话。 |
| Chats | 创建聊天 | 开始新的聊天对话。 |
| Chats | 发送聊天消息 | 在聊天中发送消息。 |
| 团队 | 列出球队 | 查看您加入的团队。 |
| 团队 | 列出团队成员 | 查看团队成员。 |
| 团队 | 添加团队成员 | 向团队添加成员。 |
| 渠道 | 列出频道 | 查看团队中的频道。 |
| 渠道 | 创建频道 | 在团队中创建一个新频道。 |
| 渠道 | 列出频道消息 | 查看频道中的消息。 |
| 渠道 | 发送频道消息 | 向频道发布消息。 |
| 渠道 | 列出频道成员 | 查看频道的成员。 |
| 渠道 | 添加频道成员 | 向频道添加成员。 |
| Users | 列出 用户 | 查看组织中的用户。 |
| 会议 | 列出在线会议 | 查看您已安排的在线会议。 |
| 会议 | 创建在线会议 | 安排新的在线会议。 |
| 会议 | 列出会议记录 | 查看会议记录。 |
| 日历 | 列出日历活动 | 在日历上查看活动。 |
| 日历 | 创建日历活动 | 创建新的日历活动。 |
管理和故障排除
要编辑、共享或删除您的集成,请参阅管理现有集成。
身份验证问题
-
应用程序注册不正确-验证 Microsoft Entra 中的应用程序注册是否包含所需的 API 权限,并且已授予管理员同意。
-
客户端密钥已过期 — 在 “证书和密钥” 中检查客户端密钥是否已过期,并在需要时生成一个新的密钥。
-
不正确的重定向 URI — 验证 Microsoft Entra 中的重定向 URI 是否匹配
https://。{region}.quicksight.aws.amazon.com/sn/oauthcallback
常见错误消息
-
Access denied. You do not have permission to perform this action— 经过身份验证的用户没有所需的权限。请联系您的管理员以验证并授予相应的权限。 -
AADSTS50020: User account from identity provider does not exist in tenant— 用户帐户未在正确的 Microsoft Entra 租户中配置。验证租户中是否存在与应用程序注册中的目录(租户)ID 相匹配的用户帐户。
微软 365 的管理员同意
当您使用默认 OAuth 应用程序身份验证方法时,Amazon Quick 使用 AWS托管应用程序代表登录用户访问 Microsoft Teams。大多数用户无需任何额外步骤即可完成设置。但是,如果你的 Microsoft 365 租户限制了第三方应用程序的访问权限,则用户必须先授予一次性同意,然后才能进行连接。
如果您在连接器设置期间登录时看到错误,则您的组织可能会限制第三方应用程序的访问权限。与你的微软 365 管理员共享以下信息:
-
怎么做:授予管理员对 Amazon Quick Microsoft Teams 集成应用程序的同意。
-
原因:Amazon Quick 需要授权访问团队频道、聊天、会议和日历数据,才能代表用户执行操作。
管理员可以通过以下方式之一授予同意:
-
通过同意对话框 — 全局管理员或特权角色管理员启动连接器设置流程。在 Microsoft 登录对话框中,他们选中 “代表你的组织同意” 复选框并选择 “接受”。
-
通过微软 Entra 管理中心 — 登录微软网站上的微软 Entra 管理中心
。选择 “企业应用程序”,找到 Amazon Quick 应用程序,选择 “权限”,然后选择 “授予管理员同意” Your Organization。
获得同意后,组织中的任何用户都可以在不被提示个人同意的情况下进行连接。
注意
要检查您的租户是否限制用户同意,请转到 Microsoft Entra 管理中心,然后选择企业应用程序、同意和权限、用户同意设置。如果设置为 “不允许用户同意”,则用户必须先征得管理员同意,然后用户才能使用连接器。
