Microsoft SharePoint 配置

如需成功将 Gemini Enterprise 与 Microsoft SharePoint 相关联,您必须完成以下配置步骤。

设置身份验证和权限

您需要在 Microsoft Entra 管理中心内设置身份验证和权限。这对于允许连接器访问和同步数据至关重要。

为 Microsoft SharePoint 连接器注册 Microsoft Entra 应用

在 Gemini Enterprise 中创建 Microsoft SharePoint 连接器之前,请注册 Microsoft Entra 应用以实现安全访问。

如需在 Entra 中将 Gemini Enterprise 注册为 OAuth 2.0 应用,请执行以下操作:

  1. 前往 Microsoft Entra 管理员中心
  2. 在导航菜单中,展开 Entra ID,然后选择应用注册
  3. 应用注册页面上,选择新注册

  4. 注册应用页面上,执行以下操作:

    1. 名称字段中,为应用输入名称。
    2. 支持的账号类型部分,选择仅此组织目录中的账号
    3. 重定向 URI 部分中,执行以下操作:
      1. 在平台列表中,选择 Web
      2. 在重定向 URI 字段中,输入 https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html
    4. 点击注册。 Microsoft Entra 会创建您的应用,并显示应用的概览页面。

  5. 在应用导航菜单中,点击身份验证

  6. 点击 添加重定向 URI

  7. 在平台选择窗格中,执行以下操作:

    1. 选择网页
    2. 重定向 URI 字段中,输入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 点击配置

为数据注入添加联合凭据

如果您使用数据注入作为连接模式,并使用联合凭证作为身份验证方法,请执行以下操作:

  1. 在应用导航菜单中,点击证书和密钥
  2. 选择联合凭据标签页。
  3. 点击 添加凭据
  4. Federated credential scenario(联合凭据场景)列表中,选择 Other issuer(其他颁发者)。
  5. 签发者字段中,输入 https://accounts.google.com
  6. 正文标识符字段中,输入您从 Google Cloud 控制台获取的值。此值是在数据部分创建 Microsoft SharePoint 数据存储区期间生成的。
  7. 名称字段中,为联合凭据输入一个唯一标签。
  8. 点击添加以授予访问权限。

创建 OAuth 2.0 配置

如需使用 OAuth 2.0 身份验证方法创建连接,您需要从 Microsoft Entra 应用注册页面获取客户端 ID、客户端密钥和租户 ID。

获取客户端 ID 和客户端密钥

  1. 如需获取客户端 ID,请执行以下操作:

    1. 在应用导航菜单中,选择概览
    2. 复制 Application (client) ID(应用 [客户端] ID)。

  2. 如需获取应用的客户端密钥,请执行以下操作:

    1. 在应用导航菜单中,选择证书和密钥
    2. 点击 新建客户端密钥
    3. 在客户端密钥窗格中,执行以下操作:
      1. 说明字段中,输入相应密钥的说明。
      2. 失效列表中,选择失效时长。
      3. 点击 Add(添加)。
    4. 列中复制客户端密钥。

获取实例 URI

实例 URI 采用以下格式之一:

  • 对于所有第一级网站:https://DOMAIN_OR_SERVER.sharepoint.com,例如 mydomain.sharepoint.com
  • 对于单个网站:https://DOMAIN_OR_SERVER.sharepoint.com/sites/WEBSITE,例如 mydomain.sharepoint.com/sites/sample-site

获取租户 ID

您可以在 Microsoft Entra 管理中心的概览页面上找到租户 ID 框。

配置 Microsoft API 权限

如需为应用配置所需的 API 权限,请执行以下操作:

  1. 前往应用页面。

  2. 在应用导航菜单中,选择 API 权限

  3. 点击添加权限

  4. 请求 API 权限窗格中,选择 Microsoft Graph

  5. 根据您的连接模式,搜索并选择以下权限:

    对于联合搜索连接模式,无需任何 Graph API 权限。

    对于采用联合凭证数据注入连接模式:

    权限 类型 说明
    GroupMember.Read.All 应用 允许连接器在没有已登录用户的情况下读取所有群组的成员资格和基本群组属性。
    User.Read 委派 允许连接器读取已登录用户的个人资料。它还允许连接器读取已登录用户的基本公司信息。
    网站控制选项
    选项 1:Sites.FullControl.All 应用 允许连接器完全控制所有网站集。
    选项 2:Sites.Selected 应用 允许连接器访问部分网站集。您可以在 SharePoint Online 中配置特定的网站集和授予的权限。
    个人资料读取选项
    选项 1:User.Read.All 应用 让连接器能够读取用户个人资料。
    选项 2:User.ReadBasic.All 应用 允许连接器读取组织中其他用户的一组基本个人资料属性。

    对于采用 OAuth 2.0 刷新令牌数据注入连接模式:

    权限 类型 说明
    GroupMember.Read.All 应用 允许连接器在没有已登录用户的情况下读取所有群组的成员资格和基本群组属性。
    User.Read 委派 允许连接器读取已登录用户的个人资料。它还允许连接器读取已登录用户的基本公司信息。
    User.Read.All 应用 让连接器能够读取用户个人资料。
    网站控制选项
    选项 1:Sites.FullControl.All 应用 允许连接器完全控制所有网站集。
    选项 2:Sites.Selected 应用 允许连接器访问部分网站集。您可以在 SharePoint Online 中配置特定的网站集和授予的权限。

    如果您为联合搜索数据注入连接模式启用了操作,还需选择以下权限:

    权限 类型 说明
    Sites.ReadWrite.All 委派 允许连接器代表已登录的用户修改或删除所有网站集中的文档和列表项。
    Files.ReadWrite 委派 允许连接器读取、创建、更新和删除已登录用户的文件。
    Files.ReadWrite.All 委派 允许连接器读取、创建、更新和删除已登录用户可以访问的所有文件。
    Sites.Manage.All 委派 允许连接器代表用户在所有网站集中创建或删除文档库和列表。

  6. 点击添加权限

  7. 请求 API 权限 窗格中,选择 Microsoft SharePoint

  8. 根据您的连接模式,搜索并选择以下权限:

    对于联合搜索连接模式:

    权限 类型 说明
    Sites.Search.All 委派 允许连接器代表当前已登录的用户运行搜索查询并读取基本网站信息。搜索结果基于用户的权限,而不是应用的权限。
    网站控制选项
    选项 1:AllSites.Read 委派 允许连接器代表已登录的用户读取所有网站集中的文档和列表项。
    选项 2:Sites.Selected 委派 允许连接器以已登录用户的身份访问部分网站集。您可以在 SharePoint Online 中配置特定的网站集和授予的权限。

    对于采用联合凭证数据注入连接模式:

    权限 类型 说明
    网站控制选项
    选项 1:Sites.FullControl.All 应用 允许连接器完全控制所有网站集。
    选项 2:Sites.Selected 应用 允许连接器以已登录用户的身份访问部分网站集。您可以在 SharePoint Online 中配置特定的网站集和授予的权限。

    对于采用 OAuth 2.0 刷新令牌数据注入连接模式:

    权限 类型 说明
    网站控制选项
    选项 1:AllSites.FullControl 委派 允许连接器代表已登录的用户完全控制所有网站集。
    选项 2:Sites.Selected 委派 允许连接器以已登录用户的身份访问部分网站集。您可以在 SharePoint Online 中配置特定的网站集和授予的权限。

    如果您为联合搜索数据注入连接模式启用了操作,还需选择以下权限:

    权限 类型 说明
    AllSites.Write 委派 允许连接器代表已登录的用户在所有网站集中创建、读取、更新和删除文档和列表项。

  9. 点击添加权限

  10. 授予管理员同意书。 如需了解如何授予同意权,请参阅 Microsoft Entra 文档中的为租户范围的管理员授予对应用的同意权

向所选网站授予 fullcontrol 权限

如果您选择 Sites.Selected 选项以授予对 Microsoft Graph 中所选网站的控制权限,则必须向 Gemini Enterprise 应用授予 fullcontrol 权限。您可以使用以下方法之一来执行此操作:

  • PowerShell
  • Microsoft Graph

PowerShell

如需查看使用 PnP PowerShell 授予权限的通用语法,请参阅使用 PnP PowerShell 授予权限

  1. 如需授予 FullControl 权限,请在 PowerShell 中运行以下命令:

    Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL

    替换以下内容:

    • CLIENT_ID:Microsoft Entra 应用的客户端 ID。
    • SITE_URL:SharePoint 网站的网址,例如 https://example.sharepoint.com/sites/ExampleSite1
    • DISPLAY_NAME:Microsoft Entra 应用的显示名称。

Microsoft Graph

如需了解使用 Microsoft Graph 授予权限的整个流程,请参阅使用 Microsoft Graph 授予权限

使用 Microsoft Graph 探索器调用以下方法。这些方法只能由网站所有者调用。

  1. 获取网站 ID:

    GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`

    替换以下内容:

    • HOSTNAME:SharePoint 网站的主机名,例如 example.sharepoint.com
    • SITE_PATH:SharePoint 网站的路径,例如 /sites/ExampleSite1/teams/ExampleSite2

  2. fullcontrol 授予对您在上一步中检索到的 ID 所对应的网站的访问权限。

    • 发送以下 POST 请求:

         POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`

    • 使用以下请求正文:

      {
  "roles": ["fullControl"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}

      替换以下内容:

      • SITE_ID:您在上一步中收到的 SharePoint 网站的 ID。其格式为 example.sharepoint.com,48332b69-85ab-0000-0000-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0
      • CLIENT_ID:Microsoft Entra 应用的客户端 ID。
      • DISPLAY_NAME:Microsoft Entra 应用的显示名称。