Vanaf april 30, 2024 Amazon Q Business is algemeen beschikbaar. Amazon Q Zakelijk is een gespreksassistent mogelijk gemaakt door generatieve kunstmatige intelligentie (AI) dat de productiviteit van uw personeel verbetert door vragen te beantwoorden en taken uit te voeren op basis van informatie in uw bedrijfssystemen. Uw werknemers hebben veilig en privé toegang tot bedrijfsinhoud met behulp van webapplicaties die zijn gebouwd met Amazon Q Business. Het succes van deze applicaties hangt af van twee sleutelfactoren: ten eerste dat een eindgebruiker van de applicatie alleen antwoorden kan zien die zijn gegenereerd op basis van documenten waartoe hij toegang heeft gekregen, en ten tweede dat de gespreksgeschiedenis van elke gebruiker privé en veilig is. en alleen toegankelijk voor de gebruiker.

Amazon Q Business maakt dit operationeel door de identiteit van de gebruiker te valideren telkens wanneer deze toegang krijgt tot de applicatie, zodat de applicatie de identiteit van de eindgebruiker kan gebruiken om taken en antwoorden te beperken tot documenten waartoe de gebruiker toegang heeft. Dit resultaat wordt bereikt met een combinatie van AWS IAM Identiteitscentrum en Amazon QBusiness. IAM Identity Center slaat de identiteit van de gebruiker op, is de gezaghebbende bron van identiteitsinformatie voor Amazon Q Business-applicaties en valideert de identiteit van de gebruiker wanneer deze toegang krijgt tot een Amazon Q Business-applicatie. U kunt IAM Identity Center configureren om uw zakelijke identiteitsprovider (IdP), zoals Okta of Microsoft Entra ID, als identiteitsbron te gebruiken. Amazon Q Business zorgt ervoor dat toegangscontrolelijsten (ACL's) voor bedrijfsdocumenten die worden geïndexeerd, overeenkomen met de gebruikersidentiteiten die worden geleverd door IAM Identity Center, en dat deze ACL's worden gerespecteerd telkens wanneer de applicatie Amazon Q Business API's aanroept om te reageren op gebruikersvragen.

In dit bericht laten we zien hoe IAM Identity Center fungeert als toegangspoort om gebruikersidentiteiten te sturen die door uw zakelijke IdP als identiteitsbron zijn gecreëerd voor Amazon Q Business, en hoe Amazon Q Business deze identiteiten gebruikt om veilig en vertrouwelijk te reageren op vragen van gebruikers. We gebruiken een voorbeeld van een generatieve AI-werknemersassistent gebouwd met Amazon Q Business, laten zien hoe u deze kunt instellen om alleen te reageren met bedrijfsinhoud waartoe elke werknemer toegangsrechten heeft, en laten zien hoe werknemers veilig en privé met deze assistent kunnen praten .

Overzicht oplossingen

Het volgende diagram toont een architectuur op hoog niveau van hoe de zakelijke IdP, de IAM Identity Center-instantie en de Amazon Q Business-applicatie met elkaar communiceren om een ​​geauthenticeerde gebruiker in staat te stellen veilig en privé te communiceren met een Amazon Q Business-applicatie met behulp van een Amazon Q Business webervaring vanuit hun webbrowser.

Bij gebruik van een externe IdP zoals Okta worden gebruikers en groepen eerst ingericht in de IdP en vervolgens automatisch gesynchroniseerd met de IAM Identity Center-instantie met behulp van het SCIM-protocol. Wanneer een gebruiker de Amazon Q Business-webervaring start, wordt hij geverifieerd met zijn IdP via eenmalige aanmelding, en de tokens verkregen van de IdP worden door Amazon Q Business gebruikt om de gebruiker te valideren met IAM Identity Center. Na validatie wordt een chatsessie met de gebruiker gestart.

Het voorbeeldgebruiksscenario in dit bericht maakt gebruik van een IAM Identity Center-accountinstantie met de identiteitsbron geconfigureerd als Okta, die wordt gebruikt als de IdP. Vervolgens nemen we inhoud van Atlassian Confluence op. De Amazon Q Business ingebouwde connector voor Confluence neemt de lokale gebruikers en groepen op die in Confluence zijn geconfigureerd, evenals ACL's voor de ruimtes en documenten, naar de Amazon Q Business-applicatie-index. Deze gebruikers uit de gegevensbron worden gekoppeld aan de gebruikers die zijn geconfigureerd in de IAM Identity Center-instantie, en er worden aliassen gemaakt in Amazon Q zakelijke gebruikerswinkel voor correcte ACL-handhaving.

Voorwaarden

Om deze oplossing te implementeren voor het voorbeeldgebruik van dit bericht, hebt u een IAM Identity Center-instantie en een Okta-identiteitsprovider als identiteitsbron nodig. In deze sectie geven we meer informatie over deze bronnen.

IAM Identity Center-instantie

Voor een Amazon Q Business-applicatie is een IAM Identity Center-instantie ermee geassocieerd te worden. Er zijn twee soorten IAM Identity Center-instanties: organisatie bijvoorbeeld en een account exemplaar. Amazon Q Business-applicaties kunnen met elk type exemplaar werken. Deze instances slaan de gebruikersidentiteiten op die door een IdP zijn aangemaakt, evenals de groepen waartoe de gebruikers behoren.

Voor productiegebruik wordt een IAM Identity Center-organisatie-instantie aanbevolen. Het voordeel van een organisatie-instantie is dat deze kan worden gebruikt door een Amazon Q Business-applicatie in elk AWS-account AWS-organisaties, en u betaalt slechts één keer voor een gebruiker in uw bedrijf, als u meerdere Amazon Q Business-applicaties heeft verspreid over verschillende AWS-accounts en u een organisatie-instantie gebruikt. Veel zakelijke AWS-klanten gebruiken organisaties en hebben IAM Identity Center-organisatie-instanties aan hen gekoppeld.

Voor proof of concept en gebruiksscenario's voor afdelingen, of in situaties waarin een AWS-account geen deel uitmaakt van een AWS-organisatie en u geen nieuwe AWS-organisatie wilt creëren, kunt u een IAM Identity Center-accountinstantie gebruiken om een ​​Amazon Q in te schakelen Zakelijke toepassing. In dit geval kan alleen de Amazon Q Business-applicatie die is geconfigureerd in het AWS-account waarin de accountinstantie is aangemaakt, die instantie gebruiken.

Amazon Q Business implementeert abonnementskosten per gebruiker. Een gebruiker wordt slechts één keer gefactureerd als deze uniek identificeerbaar is tussen verschillende accounts en verschillende Amazon Q Business-applicaties. Als er zich bijvoorbeeld meerdere Amazon Q Business-applicaties binnen één AWS-account bevinden, wordt een gebruiker die uniek wordt geïdentificeerd door een IAM Identity Center-instantie die aan dit account is gekoppeld, slechts één keer gefactureerd voor het gebruik van deze applicaties. Als uw organisatie twee accounts heeft en u een IAM Identity Center-exemplaar op organisatieniveau hebt, wordt een gebruiker die uniek is geïdentificeerd in het exemplaar op organisatieniveau slechts één keer gefactureerd, ook al heeft deze toegang tot applicaties in beide accounts. Als u echter twee IAM Identity Center-instanties op accountniveau heeft, kan een gebruiker in het ene account niet worden geïdentificeerd als dezelfde gebruiker in een ander account, omdat er geen centrale identiteit is. Dit betekent dat dezelfde gebruiker tweemaal wordt gefactureerd. We raden daarom aan om IAM Identity Center-instanties op organisatieniveau te gebruiken voor productiegebruiksscenario's om de kosten te optimaliseren.

In beide gevallen moet de Amazon Q Business-applicatie zich in dezelfde AWS-regio bevinden als de IAM Identity Center-instantie.

Identiteitsbron

Als u al een IdP zoals Okta of Entra ID gebruikt, kunt u uw favoriete IdP blijven gebruiken met Amazon Q Business-applicaties. In dit geval wordt de IAM Identity Center-instantie geconfigureerd om de IdP als identiteitsbron te gebruiken. De gebruikers en gebruikersgroepen uit de IdP kunnen dat zijn automatisch gesynchroniseerd met de IAM Identity Center-instantie met behulp van SCIM. Veel zakelijke AWS-klanten hebben dit al geconfigureerd voor hun IAM Identity Center-organisatie-instantie. Zie voor meer informatie over alle ondersteunde IdP's Zelfstudies aan de slag. Het proces is vergelijkbaar voor IAM Identity Center-organisatie-instanties en accountinstanties.

AWS IAM Identity Center-instantie geconfigureerd met Okta als identiteitsbron

De volgende schermafbeelding toont de IAM Identity Center-applicatie die is geconfigureerd in Okta, en de gebruikers en groepen uit de Okta-configuratie die aan deze applicatie zijn toegewezen.

De volgende schermafbeelding toont de gebruikersopslag van het IAM Identity Center-exemplaar nadat Okta als identiteitsbron is geconfigureerd. Hier wordt de gebruikers- en groepsinformatie automatisch ingericht (gesynchroniseerd) van Okta naar IAM Identity Center met behulp van het System for Cross-domain Identity Management (SCIM) v2.0-protocol.

Configureer een Amazon Q Business-applicatie met IAM Identity Center ingeschakeld

Voer de volgende stappen uit om een ​​Amazon Q Business-applicatie te maken en IAM Identity Center in te schakelen:

1. Kies op de Amazon Q Business-console Maak een applicatie.
2. Voor Naam van de toepassing, voer een naam in.
3. Tenzij je de AWS Identiteits- en toegangsbeheer (IAM)-rol voor de applicatie of pas de encryptie-instellingen aan, behoud de standaardinstellingen.
4. Kies creëren.
   
5. Op de Selecteer Retriever pagina, tenzij u een reeds bestaand bestand wilt configureren Amazon Kendra index als retriever, of als u opslageenheden voor meer dan 20,000 documenten moet configureren, kunt u doorgaan met de standaardinstellingen.
6. Kies Volgende.

Voor meer informatie over Amazon Q Business retrievers, zie Een retriever maken en selecteren voor een Amazon Q Business-applicatie.

7. Op de Gegevensbronnen verbinden pagina, voor Data bronnen, kiezen samenvloeiing.
   

De volgende instructies laten zien hoe u dit kunt doen configureer de Confluence-gegevensbron. Voor andere gegevensbronnen kunnen deze verschillen.

8. Voor Naam gegevensbron, voer een naam in.
9. Voor bron¸ selecteren Confluence-wolk.
10. Voor Samenvloeiings-URL, voer de Confluence-URL in.
    
11. Voor authenticatieselecteer Basisverificatie.
12. Voor AWS Secrets Manager geheim, kies een AWS-geheimenmanager geheim.
13. Voor Virtuele privécloud, kiezen Geen VPC.
14. Voor IAM-rol, kiezen Maak een nieuwe servicerol.
15. Voor Rol naam¸ gebruik de opgegeven naam of bewerk deze voor uw nieuwe rol.
    
16. Voor Synchronisatiebereik, selecteer de inhoud die u wilt synchroniseren.
    
17. Voor Synchronisatiemodusselecteer Volledige synchronisatie.
18. Voor Frequentie, kiezen Rennen op aanvraag.
    
19. Voor Veldtoewijzingen, laat de standaardwaarden staan.
20. Kies Gegevensbron toevoegen.
    
21. Kies Volgende.
22. Op de Voeg groepen en gebruikers toe pagina, kies Voeg groepen en gebruikers toe.
    
23. Kies in het pop-upvenster Start.
    
24. Zoek naar gebruikers op basis van hun weergavenaam of groepen en kies vervolgens de gebruiker of groep die u aan de applicatie wilt toevoegen.
    
25. Voeg indien nodig meer gebruikers toe.
26. Kies Toewijzen.
    
27. U krijgt het volgende scherm te zien:
    
28. Kies een abonnement voor elke gebruiker door op te klikken Kies abonnement omlaag trekken en vervolgens het vinkje selecteren.
    
29. Nadat u een abonnement voor alle gebruikers heeft gekozen, ziet uw scherm er als volgt uit. Tenzij u de servicerol wilt wijzigen, kiest u Maak een applicatie.
    

Nadat de applicatie is gemaakt, ziet u de pagina met applicatie-instellingen, zoals weergegeven in de volgende schermafbeelding.

Gebruiksvoorbeeld van AI-assistent voor medewerkers

Om te illustreren hoe u een veilige en persoonlijke generatieve AI-assistent voor uw werknemers kunt bouwen met behulp van Amazon Q Business-applicaties, nemen we een voorbeeld van een gebruiksvoorbeeld van een AI-assistent voor werknemers in een onderneming. Twee nieuwe medewerkers, Mateo Jackson en Mary Major, zijn op twee verschillende projecten bij het bedrijf gekomen en hebben hun werknemersoriëntatie afgerond. Ze hebben bedrijfslaptops gekregen en hun accounts zijn ingericht in de bedrijfs-IdP. Er is hen verteld dat ze hulp moeten krijgen van de AI-assistent van een medewerker voor eventuele vragen over de activiteiten van hun nieuwe teamlid en hun voordelen.

Het bedrijf gebruikt Confluence om hun bedrijfsinhoud te beheren. De voorbeeldtoepassing van Amazon Q die wordt gebruikt om de scenario's voor dit bericht uit te voeren, is geconfigureerd met een gegevensbron die de ingebouwde connector voor Confluence gebruikt om de zakelijke Confluence-ruimten te indexeren die door werknemers worden gebruikt. In het voorbeeld worden drie Confluence-ruimten gebruikt: AnyOrgApp Project, ACME Project Space en AJ-DEMO-HR-SPACE. De toegangsrechten voor deze ruimtes zijn als volgt:

• AJ-DEMO-HR-RUIMTE – Alle medewerkers, inclusief Mateo en Mary
• AnyOrgApp-project – Medewerkers die aan het project zijn toegewezen, inclusief Mateo
• ACME-projectruimte – Medewerkers die aan het project zijn toegewezen, waaronder Mary

Laten we eens kijken hoe Mateo en Mary hun AI-assistent voor werknemers ervaren.

Beiden zijn voorzien van de URL van de webervaring van de AI-assistent van medewerkers. Ze gebruiken de URL en loggen in bij de IdP vanuit de browsers van hun laptops. Mateo en Mary willen allebei meer weten over de activiteiten van hun nieuwe teamleden en hun teamgenoten. Ze stellen dezelfde vragen aan de medewerker AI-assistent, maar krijgen verschillende antwoorden, omdat elk toegang heeft tot afzonderlijke projecten. In de volgende schermafbeeldingen is het browservenster aan de linkerkant voor Mateo Jackson en het browservenster aan de rechterkant voor Mary Major. Mateo krijgt informatie over het AnyOrgApp-project en Mary krijgt informatie over het ACME-project.

Mateo kiest bronnen onder de vraag over teamleden om de teamlidinformatie nader te bekijken en Mary te kiezen bronnen onder de vraag naar onboardingactiviteiten voor nieuwe teamleden. De volgende schermafbeeldingen tonen hun bijgewerkte weergaven.

Mateo en Mary willen meer weten over de voordelen die hun nieuwe baan biedt en hoe de voordelen van toepassing zijn op hun persoonlijke en gezinssituatie.

De volgende schermafbeelding laat zien dat Mary de AI-assistent van een medewerker vragen stelt over haar voordelen en geschiktheid.

Mary kan ook verwijzen naar de brondocumenten.

De volgende schermafbeelding laat zien dat Mateo de AI-assistent van een medewerker verschillende vragen stelt over zijn geschiktheid.

Mateo kijkt naar de volgende brondocumenten.

Zowel Mary als Mateo willen eerst weten of ze in aanmerking komen voor een uitkering. Maar daarna moeten ze verschillende vragen stellen. Ook al zijn de arbeidsvoorwaardengerelateerde documenten toegankelijk voor zowel Mary als Mateo, hun gesprekken met de AI-assistent van medewerkers zijn privé en persoonlijk. De zekerheid dat hun gespreksgeschiedenis privé is en niet door andere gebruikers kan worden gezien, is van cruciaal belang voor het succes van een generatieve AI-productiviteitsassistent voor medewerkers.

Opruimen

Als u een nieuwe Amazon Q Business-applicatie hebt gemaakt om de integratie met IAM Identity Center uit te proberen, en niet van plan bent deze verder te gebruiken, meld u dan af en verwijder toegewezen gebruikers uit de applicatie en verwijder deze zodat uw AWS-account geen kosten oploopt.

Om u af te melden en gebruikers te verwijderen, gaat u naar de pagina met applicatiedetails en selecteert u Beheer toegang en abonnementen.

Selecteer alle gebruikers en gebruik vervolgens de Edit knop om te kiezen Afmelden en verwijderen zoals hieronder aangegeven.

Verwijder de applicatie nadat u de gebruikers hebt verwijderd, ga terug naar de pagina met applicatiedetails en selecteer Verwijder.

Conclusie

Wil generatieve AI-assistenten voor bedrijven, zoals degene die in dit bericht worden getoond, succesvol zijn, dan moeten ze de toegangscontrole respecteren en de privacy en vertrouwelijkheid van elke werknemer garanderen. Amazon Q Business en IAM Identity Center bieden een oplossing die elke gebruiker authenticeert en de gebruikersidentiteit bij elke stap valideert om toegangscontrole af te dwingen, samen met privacy en vertrouwelijkheid.

Om dit te bereiken fungeert IAM Identity Center als een gateway voor het synchroniseren van gebruikers- en groepsidentiteiten van een IdP (zoals Okta), en gebruikt Amazon Q Business door IAM Identity Center geleverde identiteiten om een ​​gebruiker van een Amazon Q Business-applicatie op unieke wijze te identificeren (in in dit geval een AI-assistent van een werknemer). Document-ACL's en lokale gebruikers die in de gegevensbron zijn ingesteld (zoals Confluence) worden gekoppeld aan de gebruikers- en groepsidentiteiten die door IAM Identity Center worden geleverd. Op het moment van de zoekopdracht beantwoordt Amazon Q Business vragen van gebruikers en gebruikt alleen de documenten waartoe zij toegang krijgen via de document-ACL's.

Wil je meer weten, kijk dan eens op de Amazon Q Business lanceert blogpost op AWS News Blog, en verwijzen naar Amazon Q Business-gebruikershandleiding. Voor meer informatie over IAM Identity Center raadpleegt u de AWS IAM Identity Center-gebruikershandleiding.

---

Over de auteurs

Abhinav Jawadekar is een Principal Solutions Architect in het Amazon Q Business-serviceteam bij AWS. Abhinav werkt samen met AWS-klanten en partners om hen te helpen generatieve AI-oplossingen op AWS te bouwen.

Venky Nagapudi is Senior Manager Product Management voor Q Business, Amazon Comprehend en Amazon Translate. Zijn aandachtsgebieden bij Q Business omvatten het beheer van de gebruikersidentiteit en het gebruik van offline intelligentie uit documenten om de nauwkeurigheid en behulpzaamheid van Q Business te verbeteren.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://aws.amazon.com/blogs/machine-learning/build-private-and-secure-enterprise-generative-ai-apps-with-amazon-q-business-and-aws-iam-identity-center/