Zugriffsberechtigungen für externe Dokumente definieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Sie können Zugriffsberechtigungen für extern definierte Benutzer und Gruppen angeben, wenn Sie externe Dokumente erfassen. KI-Suche behält diese Berechtigungen während der Indizierung bei, sodass Sicherheitsfilter für Benutzerinhalte zur Suchzeit auf sie angewendet werden können.

    Weitere Informationen zum Einbeziehen von Zugriffsberechtigungen für extern definierte Benutzer und Gruppen in erfasste externe Dokumente finden Sie im POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung.

    Zugriffsberechtigungen für externe Inhalte

    Die Sicherheit externer Inhalte umfasst Berechtigungen, die den Benutzer- und Gruppenzugriff für ein externes Dokument beschreiben. Bei der Indizierung eines externen Dokuments speichert KI-Suche diese Berechtigungen, sodass Inhaltssicherheitsfilter den Benutzerzugriff auf das indizierte Suchergebnis einschränken können.

    Zugriffsberechtigungen

    KI-Suche unterstützt die folgenden Zugriffsberechtigungen für erfasste externe Dokumente.

    Sicherheitsprinzipal Beschreibung
    jeder

    Boolesche Option, die angibt, ob der Zugriff auf das externe Dokument für alle Benutzer zulässig ist. KI-Suche wendet diese globale Zugriffsberechtigung auf den indizierten Datensatz an, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.everyone in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    Bei Festlegung auf trueüberschreibt diese Berechtigung alle Gruppen- und Benutzerberechtigungen.

    Diese Berechtigung und keineschließen sich gegenseitig aus. Nur eine dieser beiden Berechtigungen kann für ein externes Dokument auf „ true “ festgelegt werden.
    groups.deny

    Liste der extern definierten Gruppen, denen der Zugriff auf das externe Dokument verweigert wird. Now Platform Benutzer, die einer dieser externen Gruppen zugeordnet sind, können den indizierten Suchergebnisdatensatz, der aus dem Dokument erstellt wurde, nicht anzeigen.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.groups.deny in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    Diese Berechtigung hat Vorrang vor groups.read. Wenn dieselbe Gruppe über Lese- und Verweigerungsberechtigungen für ein Dokument verfügt, verweigert KI-Suche den Mitgliedern der Gruppe den Zugriff auf den indizierten Datensatz.

    Standardmäßig hat users.read Vorrang vor dieser Berechtigung. Informationen zum Umkehren dieser Rangfolge für eine indizierte Quelle finden Sie unter Ändern Sie die Rangfolge der Benutzer-Lese- und Gruppenverweigerungsberechtigungen für eine externe inhaltsindizierte Quelle.
    groups.read

    Liste der extern definierten Gruppen, die Zugriff auf das externe Dokument haben. Now Platform Benutzer, die einer dieser externen Gruppen zugeordnet sind, können den indizierten Suchergebnisdatensatz anzeigen, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.groups.read in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    Die Berechtigunggroups.deny hat Vorrang vor dieser Berechtigung. Wenn dieselbe Gruppe über Lese- und Verweigerungsberechtigungen für ein Dokument verfügt, verweigert KI-Suche den Mitgliedern der Gruppe den Zugriff auf den indizierten Datensatz.
    Keine

    Boolesche Option, die angibt, ob der Zugriff auf das externe Dokument für alle Benutzer verweigert wird. KI-Suche wendet diese globale Verweigerungsberechtigung auf den indizierten Datensatz an, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.none in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    Bei Festlegung auf trueüberschreibt diese Berechtigung alle Gruppen- und Benutzerberechtigungen.

    Diese Berechtigung und keineschließen sich gegenseitig aus. Nur eine dieser beiden Berechtigungen kann für ein externes Dokument auf „ true “ festgelegt werden.
    users.deny

    Liste der extern definierten Benutzer, denen der Zugriff auf das externe Dokument verweigert wird. Now Platform Benutzer, die einem dieser externen Benutzer zugeordnet sind, können den indizierten Suchergebnisdatensatz, der aus dem Dokument erstellt wurde, nicht anzeigen.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.users.deny in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    Diese Berechtigung hat Vorrang vor users.read. Wenn derselbe Benutzer über Lese- und Verweigerungsberechtigungen für ein Dokument verfügt, verweigert KI-Suche diesem Benutzer den Zugriff auf den indizierten Datensatz.
    users.read

    Liste der extern definierten Benutzer, die Zugriff auf das externe Dokument haben. Now Platform Benutzer, die einem dieser externen Benutzer zugeordnet sind, können den indizierten Suchergebnisdatensatz anzeigen, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.users.read in einer Anforderung an den POST-Endpunkt /ais/external_content/ingestDocument/{schema_table_name} der APIfür externe Inhaltserfassung fest.

    users.deny hat Vorrang vor dieser Berechtigung. Wenn derselbe Benutzer über Lese- und Verweigerungsberechtigungen für ein Dokument verfügt, verweigert KI-Suche diesem Benutzer den Zugriff auf den indizierten Datensatz.

    Standardmäßig hat diese Berechtigung Vorrang vor groups.deny. Informationen zum Umkehren dieser Rangfolge für eine indizierte Quelle finden Sie unter Ändern Sie die Rangfolge der Benutzer-Lese- und Gruppenverweigerungsberechtigungen für eine externe inhaltsindizierte Quelle.

    Rangfolge für Prinzipalberechtigungen

    Die Rangfolge für [array].principals -Berechtigungen für ein erfasstes externes Dokument hängt vom Wert des Attributs user_read_takes_precedence_over_group_deny für die indizierte Quelle des Dokuments ab.

    Attributwert Rangfolge für Prinzipalberechtigungen
    Wahr
    Von der höchsten Rangfolge zur niedrigsten:
    1. everyone und none
    2. users.deny
    3. users.read
    4. groups.deny
    5. groups.read
    Hinweis:
    Dies ist der Standardattributwert für externe inhaltsindizierte Quellen.
    false
    Von der höchsten Rangfolge zur niedrigsten:
    1. everyone und none
    2. users.deny und groups.deny
    3. users.read und groups.read
    Hinweis:
    Anweisungen zum Festlegen dieses Attributwerts finden Sie unter Ändern Sie die Rangfolge der Benutzer-Lese- und Gruppenverweigerungsberechtigungen für eine externe inhaltsindizierte Quelle.

    Weitere Informationen dazu, wie Inhaltssicherheitsberechtigungen von bestimmten Benutzerrollen mit diesen externen Inhaltssicherheitsprinzipalen interagieren, finden Sie unter Spezielle Zugriffsberechtigungen für externe Inhalte nach Rolle.

    Spezielle Zugriffsberechtigungen für externe Inhalte nach Rolle

    Bestimmte Benutzerrollen bieten spezielle Zugriffsberechtigungen für indizierte Datensätze mit externem Inhalt.

    Rolle Berechtigungen

    KI-Suche -Administrator [ais_admin]

    Ein KI-Suche -Administrator kann auf alle externen inhaltsindizierten Datensätze zugreifen.
    Gastbenutzer [öffentlich] Nicht authentifizierte Gastbenutzer können nur auf Datensätze mit externem Inhaltsindex zugreifen, für die die Berechtigung [ everyone auf truefestgelegt ist.
    Selbst registrierter externer Benutzer [snc_external]

    Selbst registrierte externe Benutzer, die zu Gruppen gehören, können basierend auf ihren Gruppenmitgliedschaften auf Datensätze mit externem Inhaltsindex zugreifen. Externe Benutzer, die keiner Gruppe angehören, können nur auf indizierte Datensätze mit externem Inhalt zugreifen, für die die Berechtigung [ everyone auf truefestgelegt ist.

    Weitere Informationen zu selbst registrierten externen Benutzern finden Sie unter Selbstregistrierung bei ServiceNow Instanz.

    Ändern Sie die Rangfolge der Benutzer-Lese- und Gruppenverweigerungsberechtigungen für eine externe inhaltsindizierte Quelle

    Legen Sie fest, dass externe Gruppen Zugriffsberechtigungen für alle externen Dokumente, die über eine indizierte Quelle erfasst werden, Vorrang vor Lesezugriffsberechtigungen für externe Benutzer haben.

    Vorbereitungen

    Externer Inhalt für KI-Suche Plugin (com.glide.ais.external_content) muss in Ihrer Instanz aktiviert sein.

    Die Quelltabelle für die indizierte Quelle muss eine externe Inhaltsschematabelle sein.

    Erforderliche Rolle: ais_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Standardmäßig haben Lesezugriffsberechtigungen (users.read) externer Benutzer für ein externes Dokument Vorrang vor Zugriffsverweigerungsberechtigungen (groups.deny) für externe Gruppen.

    Angenommen, Sie erfassen externen Inhalt über eine indizierte Quelle mit einer Benutzerzuordnung, die Now Platform Benutzer beth.anglin@example.com dem externen Benutzer ad\beth-anglin und der externen Gruppe report-userszuordnet . Wenn ein externes Dokument Lesezugriff auf ad\beth-anglin gewährt und den Zugriff auf report-users] verweigert, ermöglicht beth.anglin@example.comKI-Suche, den indizierten Suchergebnisdatensatz für das externe Dokument anzuzeigen.

    Um dieses Standardverhalten für eine indizierte Quelle umzukehren, sodass Verweigerungsberechtigungen für externe Gruppen Vorrang vor Leseberechtigungen für externe Benutzer für alle indizierten Datensätze haben, ändern Sie den Wert des Attributs user_read_takes_precedence_over_group_deny der indizierten Quelle. Im vorherigen Beispiel würde diese Änderung verhindern, dass beth.anglin@example.com den indizierten Suchergebnisdatensatz für das externe Dokument anzeigen kann.

    Prozedur

    1. Navigieren zu Alle > KI-Suche > KI-Suche Index > Indizierte Quellen.
    2. Wenn die zugehörige Liste Erweiterte Konfiguration nicht im Formular angezeigt wird, führen Sie die Schritte in Fügen Sie einem Formular eine zugehörige Liste hinzuaus, und wählen Sie im Slushbucket die Liste AI Search Indexed Source Attribute->Indexed Source (Attribute für indizierte Quelle) aus.
    3. Wählen Sie in der zugehörigen Liste „Erweiterte Konfiguration“ die Option Neuaus.
    4. Geben Sie im Formular „Attribut der indizierten Quelle“ die folgenden Feldwerte ein.
      Feld Wert
      Attribut user_read_takes_precedence_over_group_deny
      Wert false

      Eine Beschreibung der Feldwerte finden Sie unter Formular „Attribut der indizierten Quelle“.

    5. Wählen Sie Absenden.
      Das Attribut und der Wert werden in der zugehörigen Liste Erweiterte Konfiguration angezeigt.

    Ergebnisse

    Die Änderung der Berechtigungseinstellung wird für Suchergebnisse aus der indizierten externen Inhaltsquelle wirksam.