Définition des autorisations d’accès aux documents externes

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 8 minutes de lecture

    • Vous pouvez spécifier des autorisations d’accès pour les utilisateurs et les groupes définis de façon externe lors de l’ingestion de documents externes. Recherche IA conserve ces autorisations pendant l’indexation afin que les filtres de sécurité du contenu utilisateur puissent s’appliquer dessus au moment de la recherche.

    Pour plus d’informations sur l’inclusion d’autorisations d’accès pour les utilisateurs et les groupes définis en externe dans les documents externes ingérés, consultez le point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Autorisations d’accès au contenu externe

    La sécurité du contenu externe comprend les autorisations qui décrivent l’accès des utilisateurs et des groupes à un document externe. Lors de l’indexation d’un document externe, Recherche IA stocke ces autorisations afin que les filtres de sécurité de contenu puissent limiter l’accès des utilisateurs au résultat de recherche indexé.

    Autorisations d'accès

    Recherche IA prend en charge les autorisations d’accès suivantes sur les documents externes ingérés.

    Principal de sécurité Description
    Chacun(e)

    Option booléenne qui indique si l’accès au document externe est autorisé pour tous les utilisateurs. Recherche IA Applique cette autorisation d’accès global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.everyone dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace toutes les autorisations des groupes et des utilisateurs .

    Cette autorisation ne s’exclut mutuellement qu’aucune n’est accordée. Une seule de ces deux autorisations peut être définie sur vrai pour tout document externe.
    groupes.refus

    Liste des groupes définis en externe qui se voient refuser l’accès au document externe. Now Platform® Les utilisateurs mappés à l’un de ces groupes externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.groups.deny dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation a priorité sur groups.read. Si le même groupe possède à la fois des autorisations de lecture et des autorisations de refus d’accès à un document, Recherche IA il refuse aux membres du groupe l’accès à l’enregistrement indexé.

    Par défaut, users.read a priorité sur cette autorisation. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture utilisateur et de refus de groupe pour une source indexée de contenu externe.
    groupes.lecture

    Liste des groupes définis en externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces groupes externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.groups.read dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    L’autorisation groups.deny a priorité sur cette autorisation. Si le même groupe possède à la fois des autorisations de lecture et des autorisations de refus d’accès à un document, Recherche IA il refuse aux membres du groupe l’accès à l’enregistrement indexé.
    Aucun

    Option booléenne indiquant si l’accès au document externe est refusé à tous les utilisateurs. Recherche IA Applique cette autorisation de refus global à l’enregistrement indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.none dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Lorsqu’elle est définie sur vrai, cette autorisation remplace toutes les autorisations des groupes et des utilisateurs .

    Cette autorisation ne s’exclut mutuellement qu’aucune n’est accordée. Une seule de ces deux autorisations peut être définie sur vrai pour tout document externe.
    utilisateurs.refuser

    Liste des utilisateurs définis de façon externe qui se voient refuser l’accès au document externe. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes ne peuvent pas afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.users.deny dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    Cette autorisation a priorité sur users.read. Si le même utilisateur possède à la fois des autorisations de lecture et de refus d’accès à un document, Recherche IA il refuse à cet utilisateur l’accès à l’enregistrement indexé.
    utilisateurs.lecture

    Liste des utilisateurs définis de façon externe qui sont autorisés à accéder au document externe. Now Platform Les utilisateurs mappés à l’un de ces utilisateurs externes peuvent afficher l’enregistrement de résultats de recherche indexé créé à partir du document.

    Définissez cette autorisation pour un document ingéré via le paramètre de corps de demande [array].principals.users.read dans une demande au point de terminaison POST /ais/external_content/ingestDocument/{schema_table_name} de l’API d’ingestion de contenu externe.

    users.deny a priorité sur cette autorisation. Si le même utilisateur possède à la fois des autorisations de lecture et de refus d’accès à un document, Recherche IA il refuse à cet utilisateur l’accès à l’enregistrement indexé.

    Par défaut, cette autorisation a priorité sur groups.deny. Pour inverser cet ordre de priorité pour une source indexée, reportez-vous à la section Modifier la priorité des autorisations de lecture utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Ordre de priorité des autorisations principales

    L’ordre de priorité des [array].principals autorisations sur un document externe ingéré dépend de la valeur de l’attribut user_read_takes_precedence_over_group_deny de la source indexée du document.

    Valeur d'attribut Ordre de priorité des autorisations principales
    VRAI
    De la priorité la plus élevée à la plus basse :
    1. everyone et none
    2. users.deny
    3. users.read
    4. groups.deny
    5. groups.read
    Remarque :
    Il s’agit de la valeur d’attribut par défaut pour les sources indexées de contenu externe.
    faux
    De la priorité la plus élevée à la plus basse :
    1. everyone et none
    2. users.deny et groups.deny
    3. users.read et groups.read
    Remarque :
    Pour obtenir des instructions sur la définition de cette valeur d’attribut, reportez-vous à la section Modifier la priorité des autorisations de lecture utilisateur et de refus de groupe pour une source indexée de contenu externe.

    Pour plus d’informations sur la manière dont les autorisations de sécurité de contenu de certains rôles d’utilisateur interagissent avec ces principaux de sécurité de contenu externes, reportez-vous à la section Autorisations spéciales d’accès au contenu externe par rôle.

    Autorisations spéciales d’accès au contenu externe par rôle

    Certains rôles d’utilisateur fournissent des autorisations d’accès spéciales pour les enregistrements indexés de contenu externe.

    Rôle Autorisations

    Recherche IA Administrateur [ais_admin]
    An Recherche IA Administrateur peut accéder à tous les enregistrements indexés de contenu externe dans une application de recherche.
    Remarque :
    Pour contourner tout filtrage de la source de recherche et de la sécurité du contenu dans l’interface utilisateur de Aperçu de recherche, vous avez également besoin de l’emprunteur d’identité et Recherche IA Administrateur de haute sécurité [ais_high_security_admin] des rôles. Pour plus de détails sur cette procédure, reportez-vous à la section Diagnostiquer les problèmes d’accès aux résultats de recherche à l’aide de l’interface utilisateur d’aperçu de Search.
    Utilisateur invité [public] Les utilisateurs invités non authentifiés ne peuvent accéder qu’aux enregistrements indexés de contenu externe qui ont l’autorisation everyone définie sur true.
    Utilisateur externe auto-enregistré [snc_external]

    Les utilisateurs externes auto-enregistrés qui appartiennent à des groupes peuvent accéder aux enregistrements indexés de contenu externe en fonction de leurs appartenances aux groupes. Les utilisateurs externes qui n’appartiennent à aucun groupe peuvent uniquement accéder aux enregistrements indexés de contenu externe qui ont l’autorisation everyone définie sur true.

    Pour en savoir plus sur les utilisateurs externes enregistrés automatiquement, consultez S’inscrire automatiquement à ServiceNow instance.

    Modifier la priorité des autorisations de lecture utilisateur et de refus de groupe pour une source indexée de contenu externe

    Faire prévaloir les autorisations de refus d’accès à un groupe externe sur les autorisations d’accès en lecture des utilisateurs externes pour tous les documents externes ingérés via une source indexée.

    Avant de commencer

    Le Contenu externe pour Recherche IA le module d’extension (com.glide.ais.external_content) doit être activé dans votre instance.

    La table source de la source indexée doit être une table de schéma de contenu externe.

    Rôle requis : ais_admin

    Pourquoi et quand exécuter cette tâche

    Par défaut, les autorisations d’accès en lecture d’un utilisateur externe (users.read) sur un document externe ont priorité sur les autorisationsgroups.deny de refus d’accès () d’un groupe externe sur le même document.

    Par exemple, supposons que vous ingérez du contenu externe via une source indexée avec un mappage d’utilisateur qui mappe Now Platform® l’utilisateur beth.anglin@example.com à l’utilisateur ad\beth-anglin externe et au groupe report-usersexterne. Si un document externe accorde un accès en lecture et ad\beth-anglin refuse l’accès à report-users, Recherche IA permet beth.anglin@example.com d’afficher l’enregistrement des résultats de recherche indexés pour le document externe.

    Pour inverser ce comportement par défaut pour une source indexée, en faisant primer les autorisations de refus de groupe externe sur les autorisations de lecture d’utilisateur externe pour tous ses enregistrements indexés, modifiez la valeur de l’attribut user_read_takes_precedence_over_group_deny de la source indexée. Dans l’exemple précédent, cette modification empêcherait beth.anglin@example.com l’affichage de l’enregistrement des résultats de recherche indexés pour le document externe.

    Procédure

    1. Accédez à la Tout > Recherche IA > Recherche IA Index > Sources indexées.
    2. Si la liste connexe Configuration avancée n’apparaît pas sur le formulaire, suivez les étapes de la section Ajouter une liste connexe à un formulaire, en sélectionnant la liste Attribut de source indexée Recherche IA>Source indexée dans la zone de liste double.
    3. Dans la liste connexe Configuration avancée, sélectionnez Nouveau.
    4. Dans le formulaire Attribut de source indexée, entrez les valeurs de champ suivantes.
      Champ Valeur
      Attribut user_read_takes_precedence_over_group_deny
      Valeur faux

      Pour obtenir une description des valeurs de champ, consultez la rubrique Formulaire d’attribut de source indexé.

    5. Sélectionnez Soumettre.
      L’attribut et la valeur apparaissent dans la liste connexe Configuration avancée.

    Résultats

    Le changement de préférence d’autorisation prend effet pour les résultats de recherche à partir de la source indexée de contenu externe.