Définir les autorisations d’accès pour les documents externes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Vous pouvez spécifier des autorisations d’accès pour des utilisateurs et des groupes définis en externe lors de l’ingestion de documents externes. Recherche IA Conserve ces autorisations pendant l’indexation afin que les filtres de sécurité du contenu utilisateur puissent fonctionner sur ces autorisations lors de la recherche.

    Pour en savoir plus sur l’inclusion d’autorisations d’accès pour les utilisateurs et groupes définis en externe dans les documents externes ingérés, consultez le point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Autorisations d’accès au contenu externe

    La sécurité du contenu externe inclut les autorisations qui décrivent l’accès des utilisateurs et des groupes à un document externe. Lors de l’indexation d’un document externe, Recherche IA stocke ces autorisations afin que les filtres de sécurité de contenu puissent limiter l’accès des utilisateurs au résultat de recherche indexé.

    Autorisations d'accès

    Recherche IA prend en charge les autorisations d’accès suivantes sur les documents externes ingérés.

    Principal de sécurité Description
    Chacun(e)

    Option booléenne qui indique si l’accès au document externe est autorisé pour tous les utilisateurs. Recherche IA applique cette autorisation d’accès global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.everyone dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace les autorisations de tous les groupes et utilisateurs .

    Cette autorisation s’exclut mutuellement et n’en comporte aucune. Une seule de ces deux autorisations peut être définie sur vrai pour n’importe quel document externe.
    groupes.refuser

    Liste des groupes définis en externe auxquels l’accès au document externe est refusé. Now Platform Les utilisateurs mappés à l’un de ces groupes externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.groups.deny dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation est prioritaire sur groups.read. Si le même groupe a à la fois des autorisations d’accès en lecture et de refus pour un document, Recherche IA il refuse aux membres du groupe l’accès à l’enregistrement indexé.

    Par défaut, users.read a priorité sur cette autorisation. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.
    groupes.read

    Liste des groupes définis en externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces groupes externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.groups.read dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    L’autorisation groups.deny a priorité sur cette autorisation. Si le même groupe a à la fois des autorisations d’accès en lecture et de refus pour un document, Recherche IA il refuse aux membres du groupe l’accès à l’enregistrement indexé.
    aucun

    Option booléenne indiquant si l’accès au document externe est refusé à tous les utilisateurs. Recherche IA applique cette autorisation de refus global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.none dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace les autorisations de tous les groupes et utilisateurs .

    Cette autorisation s’exclut mutuellement et n’en comporte aucune. Une seule de ces deux autorisations peut être définie sur vrai pour n’importe quel document externe.
    users.deny

    Liste des utilisateurs définis en externe à qui l’accès au document externe est refusé. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.users.deny dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation est prioritaire sur users.read. Si le même utilisateur a à la fois des autorisations d’accès en lecture et des autorisations de refus d’accès à un document, refusez Recherche IA à cet utilisateur l’accès à l’enregistrement indexé.
    utilisateurs.read

    Liste des utilisateurs définis en externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de la demande [array].principals.users.read dans une demande adressée au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    users.deny a priorité sur cette autorisation. Si le même utilisateur a à la fois des autorisations d’accès en lecture et des autorisations de refus d’accès à un document, refusez Recherche IA à cet utilisateur l’accès à l’enregistrement indexé.

    Par défaut, cette autorisation a priorité sur groups.deny. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Ordre de priorité des autorisations principales

    L’ordre de priorité des [array].principals autorisations sur un document externe ingéré dépend de la valeur de l’attribut de la user_read_takes_precedence_over_group_deny source indexée du document.

    Valeur d'attribut Ordre de priorité des autorisations principales
    VRAI
    De la priorité la plus élevée à la plus basse :
    1. everyone Et none
    2. users.deny
    3. users.read
    4. groups.deny
    5. groups.read
    Remarque :
    Il s’agit de la valeur d’attribut par défaut pour les sources indexées de contenu externe.
    faux
    De la priorité la plus élevée à la plus basse :
    1. everyone Et none
    2. users.deny Et groups.deny
    3. users.read Et groups.read
    Remarque :
    Pour obtenir des instructions sur la définition de cette valeur d’attribut, reportez-vous à la section Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Pour en savoir plus sur la façon dont les autorisations de sécurité de contenu de certains rôles d’utilisateur interagissent avec ces principaux de sécurité de contenu externes, consultez Autorisations spéciales d’accès au contenu externe par rôle.

    Autorisations spéciales d’accès au contenu externe par rôle

    Certains rôles d’utilisateur fournissent des autorisations d’accès spéciales pour les enregistrements indexés de contenu externe.

    Rôle Autorisations

    Recherche IA Administrateur [ais_admin]

    An Recherche IA Administrateur peut accéder à tous les enregistrements indexés de contenu externe.
    Utilisateur invité [public] Les utilisateurs invités non authentifiés peuvent accéder uniquement aux enregistrements indexés de contenu externe avec l’autorisation everyone définie sur true.
    Utilisateur externe enregistré automatiquement [snc_external]

    Les utilisateurs externes enregistrés automatiquement qui appartiennent à des groupes peuvent accéder aux enregistrements indexés de contenu externe en fonction de leur appartenance à un groupe. Les utilisateurs externes qui n’appartiennent à aucun groupe peuvent accéder uniquement aux enregistrements indexés de contenu externe qui ont l’autorisation everyone définie sur true.

    Pour plus de détails sur les utilisateurs externes enregistrés automatiquement, voir S’enregistrer automatiquement pour ServiceNow instance.

    Modifier la priorité des autorisations de lecture de l’utilisateur et de refus de groupe pour une source indexée de contenu externe

    Faites en sorte que les autorisations d’accès de refus de groupe externe aient préséance sur les autorisations d’accès en lecture des utilisateurs externes pour tous les documents externes ingérés via une source indexée.

    Avant de commencer

    Il Contenu externe pour Recherche IA module d’extension (com.glide.ais.external_content) doit être activé dans votre instance.

    La table source de la source indexée doit être une table de schéma de contenu externe.

    Rôle requis : ais_admin

    Pourquoi et quand exécuter cette tâche

    Par défaut, les autorisations d’accès en lecture des utilisateurs externes (users.read) sur un document externe ont priorité sur les autorisations de refus d’accès de groupe externe (groups.deny) sur le même document.

    Par exemple, supposons que vous ingérez du contenu externe via une source indexée avec un mappage d’utilisateurs qui mappe Now Platform l’utilisateur beth.anglin@example.com vers un utilisateur ad\beth-anglin externe et un groupe report-usersexterne. Si un document externe accorde un accès en lecture à ad\beth-anglin , Recherche IAbeth.anglin@example.com permet report-usersd’afficher l’enregistrement de résultats de recherche indexé pour le document externe.

    Pour inverser ce comportement par défaut pour une source indexée, en faisant en sorte que les autorisations de refus de groupe externe priment sur les autorisations de lecture des utilisateurs externes pour tous ses enregistrements indexés, modifiez la valeur de l’attribut de user_read_takes_precedence_over_group_deny la source indexée. Dans l’exemple précédent, cette modification empêcherait beth.anglin@example.com l’affichage de l’enregistrement des résultats de recherche indexés pour le document externe.

    Procédure

    1. Accédez à la Tous > Recherche IA > Recherche IA Index > Sources indexées.
    2. Si la liste connexe Configuration avancée ne s’affiche pas sur le formulaire, suivez les étapes dans Ajouter une liste connexe à un formulaire, en sélectionnant la liste Attribut de source indexée AI Search-> Source indexée dans la zone de sélection.
    3. Dans la liste connexe Configuration avancée, sélectionnez Nouveau.
    4. Sur le formulaire Attribut de source indexé, entrez les valeurs de champ suivantes.
      Champ Valeur
      Attribut user_read_takes_precedence_over_group_deny
      Valeur faux

      Pour obtenir une description des valeurs de champ, consultez la rubrique Formulaire Attribut de la source indexée.

    5. Sélectionnez Envoyer.
      L’attribut et la valeur apparaissent dans la liste connexe Configuration avancée.

    Résultats

    La modification des préférences d’autorisation prend effet pour les résultats de recherche provenant de la source indexée de contenu externe.