Définir les autorisations d’accès pour les documents externes

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Vous pouvez spécifier des autorisations d’accès pour les utilisateurs et les groupes définis en externe lors de l’ingestion de documents externes. Recherche IA Conserve ces autorisations lors de l’indexation afin que les filtres de sécurité du contenu de l’utilisateur puissent les utiliser au moment de la recherche.

    Pour plus d’informations sur l’inclusion des autorisations d’accès pour les utilisateurs et les groupes définis en externe dans les documents externes ingérés, consultez le point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Autorisations d’accès au contenu externe

    La sécurité du contenu externe comprend les autorisations qui décrivent l’accès des utilisateurs et des groupes à un document externe. Lors de l’indexation d’un document externe, Recherche IA ces autorisations sont stockées afin que les filtres de sécurité de contenu puissent limiter l’accès des utilisateurs au résultat de recherche indexé.

    Autorisations d'accès

    Recherche IA prend en charge les autorisations d’accès suivantes sur les documents externes ingérés.

    Principal de sécurité Description
    Chacun(e)

    Option booléenne qui indique si l’accès au document externe est autorisé pour tous les utilisateurs. Recherche IA Applique cette autorisation d’accès global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.everyone dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace toutes les autorisations de groupes et d’utilisateurs .

    Cette autorisation s’exclut mutuellement et aucune n’est autorisée. Une seule de ces deux autorisations peut être définie sur vrai pour un document externe.
    groupes.refuser

    Liste des groupes définis en externe auxquels l’accès au document externe est refusé. Now Platform Les utilisateurs mappés à l’un de ces groupes externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.groups.deny dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation est prioritaire sur groups.read. Si le même groupe possède à la fois des autorisations d’accès en lecture et des autorisations d’accès refusé pour un document, Recherche IA les membres du groupe n’ont pas accès à l’enregistrement indexé.

    Par défaut, users.read est prioritaire sur cette autorisation. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.
    groupes.lecture

    Liste des groupes définis en externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces groupes externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.groups.read dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    L’autorisation groups.deny a priorité sur cette autorisation. Si le même groupe possède à la fois des autorisations d’accès en lecture et des autorisations d’accès refusé pour un document, Recherche IA les membres du groupe n’ont pas accès à l’enregistrement indexé.
    aucun

    Option booléenne indiquant si l’accès au document externe est refusé à tous les utilisateurs. Recherche IA Applique cette autorisation de refus global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.none dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace toutes les autorisations de groupes et d’utilisateurs .

    Cette autorisation s’exclut mutuellement et aucune n’est autorisée. Une seule de ces deux autorisations peut être définie sur vrai pour un document externe.
    utilisateurs.refuser

    Liste des utilisateurs définis en externe auxquels l’accès au document externe est refusé. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.users.deny dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation est prioritaire sur users.read. Si le même utilisateur possède à la fois des autorisations d’accès en lecture et des autorisations de refus d’accès à un document, Recherche IA cet utilisateur refuse l’accès à l’enregistrement indexé.
    utilisateurs.lecture

    Liste des utilisateurs définis en externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.users.read dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    users.deny a priorité sur cette autorisation. Si le même utilisateur possède à la fois des autorisations d’accès en lecture et des autorisations de refus d’accès à un document, Recherche IA cet utilisateur refuse l’accès à l’enregistrement indexé.

    Par défaut, cette autorisation est prioritaire sur groups.deny. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Ordre de priorité des autorisations principales

    L’ordre de priorité des [array].principals autorisations sur un document externe ingéré dépend de la valeur de l’attribut user_read_takes_precedence_over_group_deny pour la source indexée du document.

    Valeur d'attribut Ordre de priorité des autorisations principales
    VRAI
    De la priorité la plus élevée à la plus basse :
    1. everyone et none
    2. users.deny
    3. users.read
    4. groups.deny
    5. groups.read
    Remarque :
    Il s’agit de la valeur d’attribut par défaut pour les sources indexées de contenu externe.
    faux
    De la priorité la plus élevée à la plus basse :
    1. everyone et none
    2. users.deny et groups.deny
    3. users.read et groups.read
    Remarque :
    Pour obtenir des instructions sur la définition de cette valeur d’attribut, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Pour plus d’informations sur la manière dont les autorisations de sécurité de contenu de certains rôles d’utilisateur interagissent avec ces principaux de sécurité de contenu externe, reportez-vous à la section Autorisations spéciales d’accès au contenu externe par rôle.

    Autorisations spéciales d’accès au contenu externe par rôle

    Certains rôles d’utilisateur fournissent des autorisations d’accès spéciales pour les enregistrements indexés de contenu externe.

    Rôle Autorisations

    Recherche IA administrateur [ais_admin]
    An Recherche IA administrateur peut accéder à tous les enregistrements indexés de contenu externe dans une application de recherche.
    Remarque :
    Pour contourner tous les filtres de sécurité du contenu et de la source de recherche dans l’interface d’utilisateur d’aperçu de la recherche, vous avez également besoin de l’emprunteur d’identité et Recherche IA Administrateur de haute sécurité [ais_high_security_admin] des rôles. Pour plus d’informations sur cette procédure, reportez-vous à la section Diagnostiquer les problèmes d’accès aux résultats de la recherche à l’aide de l’interface d’utilisateur d’aperçu de la recherche.
    Utilisateur invité [public] Les utilisateurs invités non authentifiés ne peuvent accéder qu’aux enregistrements indexés de contenu externe ayant l’autorisation everyone définie sur true.
    Utilisateur externe auto-enregistré [snc_external]

    Les utilisateurs externes enregistrés automatiquement qui appartiennent à des groupes peuvent accéder aux enregistrements indexés de contenu externe en fonction de leur appartenance au groupe. Les utilisateurs externes qui n’appartiennent à aucun groupe ne peuvent accéder qu’aux enregistrements indexés de contenu externe ayant l’autorisation everyone définie sur true.

    Pour plus de détails sur les utilisateurs externes auto-enregistrés, consultez S’auto-enregistrer pour ServiceNow instance.

    Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe

    Faites en sorte que les autorisations de refus d’accès aux groupes externes aient la priorité sur les autorisations d’accès en lecture des utilisateurs externes pour tous les documents externes ingérés via une source indexée.

    Avant de commencer

    Le Contenu externe pour Recherche IA le module d’extension (com.glide.ais.external_content) doit être activé dans votre instance.

    La table source de la source indexée doit être une table de schéma de contenu externe.

    Rôle requis : ais_admin

    Pourquoi et quand exécuter cette tâche

    Par défaut, les autorisations d’accès en lecture () de l’utilisateur externe sur un document externe ont priorité sur les autorisationsusers.read de refus d’accès () des groupes externes surgroups.deny le même document.

    Par exemple, supposons que vous ingériez du contenu externe via une source indexée avec un mappage utilisateur qui mappe Now Platform l’utilisateur beth.anglin@example.com à l’utilisateur ad\beth-anglin externe et au groupe report-usersexterne. Si un document externe accorde l’accès en lecture à ad\beth-anglin et refuse l’accès à report-users, Recherche IA permet beth.anglin@example.com d’afficher l’enregistrement indexé des résultats de recherche pour le document externe.

    Pour inverser ce comportement par défaut pour une source indexée, en faisant en sorte que les autorisations de refus de groupe externe prennent le pas sur les autorisations user_read_takes_precedence_over_group_deny de lecture des utilisateurs externes pour tous ses enregistrements indexés, modifiez la valeur de l’attribut de la source indexée. Dans l’exemple précédent, cette modification empêcherait beth.anglin@example.com l’affichage de l’enregistrement des résultats de recherche indexés pour le document externe.

    Procédure

    1. Accédez à la Tout > Recherche IA > Recherche IA Index > Sources indexées.
    2. Si la liste connexe Configuration avancée n’apparaît pas sur le formulaire, suivez les étapes de Ajouter une liste connexe à un formulaire, en sélectionnant la liste Attribut de source indexée->Source indexée Recherche IA dans la zone de liste double.
    3. Dans la liste connexe Configuration avancée, sélectionnez Nouveau.
    4. Dans le formulaire Attribut de source indexé, entrez les valeurs de champ suivantes.
      Champ Valeur
      Attribut user_read_takes_precedence_over_group_deny
      Valeur faux

      Pour obtenir une description des valeurs de champ, consultez la rubrique Formulaire Attribut de la source indexée.

    5. Sélectionnez Soumettre.
      L’attribut et la valeur apparaissent dans la liste connexe Configuration avancée.

    Résultats

    La modification de la préférence d’autorisation prend effet pour les résultats de recherche provenant de la source indexée de contenu externe.