Tác giả: Mangesh Budkule, Jarod Oliver, and Siavash Irani.
Ngày đăng: 16/03/2025
Chuyên mục: Amazon Q Business, Generative AI, Technical How-to, Windows on AWS.

Giới thiệu

Trong bối cảnh kinh doanh hiện nay, các tổ chức đang tìm kiếm những phương pháp nhằm khai thác triệt để giá trị và thông tin từ khối lượng dữ liệu ngày càng gia tăng của mình. Các tổ chức phụ thuộc đáng kể vào hạ tầng máy chủ tệp để lưu trữ, quản lý và chia sẻ các dữ liệu có tính chất then chốt đối với hoạt động. Khối lượng và mức độ phức tạp của dữ liệu tạo ra nhiều thách thức khi cố gắng tối đa hóa giá trị của chúng. Do đó, các công ty cần một chiến lược mới để vượt qua những trở ngại này.

Amazon Q Business tận dụng sức mạnh của Trí tuệ nhân tạo (Generative AI) để giải quyết các thách thức liên quan đến dữ liệu. Dịch vụ này hỗ trợ các tổ chức ứng dụng công nghệ AI sinh nhằm nâng cao chất lượng ra quyết định và đạt được các mục tiêu kinh doanh. Amazon Q Business tích hợp với các nguồn dữ liệu hiện có để khám phá những thông tin có giá trị tiềm ẩn.

Thông qua GenAI, Amazon Q Business hỗ trợ người dùng nhanh chóng phân tích dữ liệu, nhận diện các mẫu và xu hướng, đồng thời tạo ra các khuyến nghị được cá nhân hóa, phù hợp với nhu cầu kinh doanh đặc thù của từng tổ chức. Cho dù mục tiêu là cải thiện dịch vụ khách hàng, tối ưu hóa hiệu quả vận hành hay khám phá các cơ hội doanh thu mới, Amazon Q Business cùng với GenAI sẽ đóng vai trò thúc đẩy đổi mới và tăng trưởng.

Trong bài viết này, chúng tôi sẽ trình bày cách Amazon Q Business tích hợp với Microsoft SharePoint Server nhằm khai mở toàn bộ tiềm năng của các tệp dữ liệu của bạn. Bạn sẽ được hướng dẫn cách truy vấn dữ liệu trên Microsoft SharePoint Server bằng ngôn ngữ tự nhiên, tìm kiếm thông tin liên quan, trích xuất các điểm chính và rút ra những hiểu biết có giá trị.

Tổng quan giải pháp 

Hình 1 – Kiến trúc giải pháp kết nối nguồn dữ liệu Amazon Q Business với SharePoint.

Như được trình bày trong Hình 1, việc đảm bảo tính bảo mật, toàn vẹn và khả dụng của dữ liệu là yếu tố có tầm quan trọng hàng đầu. Để đạt được mục tiêu này, bộ kết nối Amazon Q Business dành cho SharePoint áp dụng một khung bảo mật vững chắc, tôn trọng các danh tính người dùng, vai trò và quyền hạn hiện có. Điều này được thực hiện thông qua việc triển khai cơ chế quét danh tính và danh sách kiểm soát truy cập (Access Control Lists – ACLs) trên bộ kết nối, sử dụng thông tin xác thực an toàn được quản lý bởi AWS Secrets Manager. Để ngăn chặn việc lộ thông tin nhạy cảm, giải pháp này tuân thủ nguyên tắc “quyền hạn tối thiểu”, chỉ cho phép người dùng truy cập vào dữ liệu mà họ được cấp quyền rõ ràng.

Trong các môi trường sử dụng sản phẩm của Microsoft, việc lưu trữ thông tin người dùng và nhóm trong Microsoft Active Directory là một thực hành phổ biến. Nhằm hỗ trợ việc lọc phản hồi truy vấn dựa trên quyền truy cập, Q Business đồng bộ thông tin người dùng và nhóm từ Active Directory vào AWS IAM Identity Center. Với cấu hình này, giải pháp có khả năng thực thi cơ chế kiểm soát truy cập chi tiết và cung cấp phản hồi đã được lọc, phù hợp với quyền hạn của từng người dùng.

Bộ kết nối dữ liệu SharePoint Server thu nhận nội dung tài liệu cùng với quyền truy cập NTFS và quyền nội bộ của SharePoint để mang lại khả năng hiểu biết toàn diện về các chính sách kiểm soát truy cập dữ liệu. Khi người dùng gửi truy vấn đến Q Business, giải pháp sẽ tạo ra phản hồi đã được lọc, đảm bảo tuân thủ các quyền hạn của người dùng, từ đó bảo vệ dữ liệu nhạy cảm chỉ cho phép truy cập bởi những cá nhân được ủy quyền.

Lưu ý: Giải pháp này được thiết kế cho SharePoint Server và không áp dụng cho SharePoint Online.

Điều kiện tiên quyết

Các điều kiện tiên quyết sau đây là cần thiết để kiểm thử giải pháp này. Chúng tôi giả định rằng bạn đã đáp ứng các yêu cầu dưới đây và đang có một hệ thống SharePoint Server hoạt động trong tài khoản AWS của bạn.

1. Bạn đã có một môi trường SharePoint đang hoạt động được triển khai trên Amazon EC2 trong AWS. Tham khảo How to deploy SharePoint server on Amazon EC2.
2. Bạn đã cấu hình AWS IAM Identity Center. Ngoài ra, bạn cần có một vai trò và người dùng trong AWS Identity and Access Management (IAM) có quyền tạo và quản lý các tài nguyên và thành phần cho ứng dụng Q Business. IAM Identity Center được bật xác thực đa yếu tố (Multi-Factor Authentication – MFA) theo mặc định.
3. Kích hoạt Amazon Q Business. Amazon Q Business được tích hợp với AWS IAM Identity Center. Nếu bạn chưa thiết lập, vui lòng xem hướng dẫn Creating an Amazon Q Business application environment.
4. Đảm bảo bạn đã triển khai AWS Directory Service for Microsoft Active Directory cho SharePoint Server được gia nhập (domain joined) trong tài khoản AWS của bạn.
5. Có một phiên bản Amazon Elastic Compute Cloud (EC2) chạy Windows, cài đặt công cụ quản trị máy chủ từ xa (Remote Server Administrative Tools – RSAT). Bạn sẽ sử dụng công cụ này để quản lý người dùng trong AWS Directory Service for Microsoft Active Directory (AWS Managed AD).
6. AWS Managed AD được sử dụng làm nguồn dữ liệu xác thực cho AWS Identity Center. Điều này có nghĩa là người dùng và nhóm được tạo trong AWS Managed AD sẽ được đồng bộ hóa sang AWS Identity Center, và bạn sẽ sử dụng các thông tin này trong Amazon Q Business trong quá trình cấu hình ứng dụng.
7. Các thông tin bí mật phải có quyền truy cập vào SharePoint Server. Hãy đảm bảo rằng bạn đã thêm thủ công ID người dùng và mật khẩu của SharePoint Server vào AWS Secrets Manager, hoặc bạn có thể tạo các thông tin bí mật này trong quá trình cấu hình bộ kết nối dữ liệu SharePoint Server, nhằm cho phép xác thực và tích hợp trực tiếp với Amazon Q.

Lưu ý: Trong khi triển khai này sử dụng AWS Managed AD cùng với SharePoint và tích hợp IDC cho bài viết minh họa, tùy chọn tích hợp với self-managed AD vẫn là một giải pháp khả thi thay thế.

Hướng dẫn từng bước

Cấu hình ứng dụng Amazon Q Business và bộ kết nối nguồn dữ liệu cho Microsoft SharePoint.

1. Đăng nhập vào bảng điều khiển Amazon Q Business
2. Chọn Create application như được minh họa trong Hình 2.

Hình 2 – Bảng điều khiển ứng dụng Amazon Q Business 

3. Trên trang Create application, nhập các thông tin sau cho ứng dụng Amazon Q Business của bạn.

1. Application name: Tên môi trường ứng dụng Amazon Q Business để nhận diện.
2. Outcome: Chọn Web experience để tạo trải nghiệm web cho ứng dụng của bạn.

Hình 3 – Trình hướng dẫn tạo ứng dụng Amazon Q Business

4. Đối với Access management method chọn IAM Identity Center (recommended).

Lưu ý: Như minh họa trong Hình 4,

1. Nếu bạn đã cấu hình cả phiên bản tổ chức và phiên bản tài khoản của IAM Identity Center, các phiên bản này sẽ được tự động phát hiện.
2. Nếu bạn đã kết nối với một phiên bản IAM Identity Center được cấu hình sẵn có chứa người dùng và nhóm, Amazon Q Business sẽ tự động nhận diện các người dùng và nhóm đó.

Hình 4 – Cấu hình quản lý truy cập của Amazon Q Business

5. Application details – Amazon Q Business sử dụng các thiết lập cấu hình mặc định sau cho ứng dụng của bạn. 

Cấu hình Application service access như được trình bày trong Hình 5.

1. Chọn Create and use a new service-linked role (SLR) cho ứng dụng của bạn.
2. Encryption: Giữ nguyên mặc định. Amazon Q Business sẽ tạo một AWS owned AWS KMS key để mã hóa dữ liệu của bạn.
3. Web experience service access: Chọn Create and use new service-linked role (SLR).

Hình 5 – Cấu hình quyền truy cập dịch vụ ứng dụng và cài đặt trải nghiệm web.

6. Để tạo ứng dụng của bạn, chọn Create and open web experience nếu bạn đồng thời muốn tạo trải nghiệm web. Quá trình triển khai sẽ mất vài phút để hoàn tất. Sau đó, bạn có thể thêm một số người dùng thông qua thẻ manage user access.

Kết nối với SharePoint

Bây giờ, bạn sẽ sử dụng trang Data sources để kết nối với máy chủ SharePoint và thêm một Index. Data sources cho phép bạn kết hợp dữ liệu từ nhiều vị trí khác nhau vào một chỉ mục trung tâm cho ứng dụng Amazon Q Business của bạn. Amazon Q Business lưu trữ và tổ chức dữ liệu trong một index. Một Index đề cập đến tập hợp dữ liệu và nội dung doanh nghiệp mà Amazon Q sẽ tìm kiếm và tham chiếu khi trả lời các truy vấn.

Thêm một index

1. Từ menu điều hướng bên trái, chọn Data sources.
2. Trên trang Data sources, chọn Add index.
3. Trên trang Add index, chọn Create a new index và nhập các thông tin sau (xem Hình 5):

1. Trong phần Name your index with a unique identifier, tại mục Index name, nhập tên cho ứng dụng Amazon Q Business của bạn.
2. Trong phần Index provisioning, chọn giữa hai loại Enterprise và Starter tùy theo trường hợp sử dụng của bạn. Ở đây, chúng ta sẽ sử dụng Enterprise.
3. Với Number of units, chọn số đơn vị chỉ mục bạn cần, ví dụ: 50.

Lưu ý: Amazon Q Business tính phí dựa trên dung lượng tài liệu (document capacity) mà bạn chọn. Enterprise indexes hỗ trợ tối đa 50 units. Starter indexes hỗ trợ tối đa 5 units. Mỗi unit chứa 20.000 tài liệu hoặc 200 MB, tùy giới hạn nào đạt trước.

Hình 6 – Tạo một chỉ mục mới để truy xuất phản hồi từ dữ liệu.

4. Để tạo chỉ mục và bộ truy xuất, chọn Add an index.

Cấu hình bộ kết nối Amazon Q Business SharePoint Server

1. Từ trang Data sources, chọn Add data source, như được minh họa trong Hình 7.

Hình 7 – Các tùy chọn nguồn dữ liệu Amazon Q Business cho SharePoint

2. Trên trang Add data source, trong phần Data sources, tìm và thêm nguồn dữ liệu SharePoint vào ứng dụng Amazon Q của bạn bằng cách chọn nút dấu cộng.
3. Trên trang cấu hình nguồn dữ liệu SharePoint, nhập các thông tin sau:

1. Data source name: thêm tên cho nguồn dữ liệu của bạn để tiện theo dõi.
2. Description: thêm mô tả tùy chọn cho nguồn dữ liệu.
3. Trong phần Source, chọn tùy chọn SharePoint Server.
4. Chọn SharePoint Version (ví dụ: SharePoint 2013, 2016, 2019, hoặc Subscription Edition). Trong bài này, sử dụng SharePoint Subscription Edition.
5. Cung cấp URL đầy đủ cho trang SharePoint bạn muốn thu thập và lập chỉ mục. Đây là URL cụ thể cho kho SharePoint của bạn. URL phải bắt đầu bằng giao thức https. (Ví dụ: https://sp-genai.demo.com/sites/demo)
6. Domain: nhập tên miền SharePoint đầy đủ (FQDN).
7. SSL certificate location: tải lên chứng chỉ SSL công khai vào một bucket Amazon S3, sau đó nhập đường dẫn S3 đến tệp chứng chỉ SSL. (Ví dụ: s3://sharepoint-server-certificate-store/sp-genai.demo.com.pem)

Hình 8 – Cấu hình nguồn dữ liệu ứng dụng Amazon Q Business 

4. Authorization, Amazon Q Business thu thập danh sách kiểm soát truy cập (Access Control Lists – ACLs) để tạo phản hồi từ các tài liệu mà người dùng cuối có quyền truy cập.

Hình 9 – Cấu hình phân quyền dữ liệu nguồn Amazon Q Business

5. Authentication, chọn NTLM authentication. (Lưu ý: Cấu hình này cũng hỗ trợ SharePoint App-Only và Kerberos authentication.)

Hình 10 – Cấu hình xác thực dữ liệu nguồn Amazon Q Business

6. AWS Secrets Manager secret, hãy chọn một bí mật có sẵn hoặc tạo một bí mật mới để lưu trữ thông tin xác thực đăng nhập SharePoint của bạn. Bạn sẽ cần cung cấp thông tin về điểm cuối máy chủ LDAP, cơ sở tìm kiếm LDAP, tên người dùng LDAP và mật khẩu LDAP nếu bạn sử dụng Email ID có tên miền từ nhà cung cấp danh tính (IDP).

Hình 11 – Secret xác thực dữ liệu nguồn Amazon Q Business từ AWS Secret Manager

7. Chọn IAM role. (Lưu ý: Tạo một IAM role mới cho dữ liệu nguồn giúp tránh lỗi, vì IAM role cho ứng dụng được tách biệt khỏi role cho dữ liệu nguồn. Chọn “Create a new role” để đảm bảo cấu hình đúng cho dữ liệu nguồn.)

Hình 12 – Cấu hình IAM role cho dữ liệu nguồn Amazon Q Business

8. Trong phần Select entities, chọn All (hoặc chỉ định tập hợp các mục cần đồng bộ). Với Sync mode and Sync run schedule, chọn tùy chọn theo nhu cầu của bạn. Trong hướng dẫn này, sử dụng Full Sync mode và Daily Sync Schedule.
9. Chọn Add data source để thêm nguồn dữ liệu.

Sau khi tạo xong data source, chọn Sync now để bắt đầu quá trình thu thập và lập chỉ mục. Khi tác vụ đồng bộ hoàn tất, data source của bạn sẵn sàng để sử dụng, như được hiển thị trong Hình 13.

Hình 13 – Trạng thái triển khai bộ kết nối dữ liệu nguồn Amazon Q Business

URL Web của ứng dụng Amazon Q

Người dùng truy cập URL này để tương tác với ứng dụng Amazon Q Business thông qua trình duyệt web của họ sau khi tổ chức đã tạo và cấu hình ứng dụng Amazon Q Business.

Hình 14 – URL Web của Amazon Q Business để truy cập ứng dụng Q Business

Kiểm thử giải pháp

Kịch bản ví dụ

Bộ phận Nhân sự hiện đang xem xét một nhóm hồ sơ ứng tuyển để xác định ứng viên phù hợp nhất cho vị trí “Chiến lược gia An ninh mạng”, tập trung vào việc chọn người có kinh nghiệm liên quan phong phú nhất.

Tổ chức sử dụng trang SharePoint để lưu trữ và quản lý tài liệu cho nhiều phòng ban khác nhau, bao gồm Nhân sự, Tài chính và các phòng ban khác. Theo thông lệ tốt nhất, tổ chức đã thiết lập khung truy cập người dùng trong SharePoint. Quyền truy cập SharePoint được gán cho người dùng dựa trên vai trò của họ trong cấu trúc quản lý truy cập. Quản trị viên SharePoint có quyền truy cập đầy đủ vào tất cả tài liệu của các phòng ban. Thành viên nhóm chỉ được truy cập tài liệu thuộc phòng ban của mình — ví dụ, nhân viên Nhân sự có thể xem tài liệu HR nhưng không thể truy cập tệp của phòng Tài chính. Phòng Nhân sự lưu trữ các tài liệu mô tả công việc và hồ sơ ứng viên trên trang SharePoint, như minh họa trong Hình 15.

Hình 15 – Ví dụ tài liệu của phòng Nhân sự trên trang SharePoint demo

Sử dụng truy vấn ngôn ngữ tự nhiên (NLP) trong trợ lý AI Amazon Q để tìm các ứng viên cho vị trí Cyber Security Strategist có kinh nghiệm phù hợp. Để thực hiện, đăng nhập vào ứng dụng Amazon Q Business bằng hai tài khoản người dùng SharePoint, HR Admin (hradmin), IT Admin (SP_Gary). Sau đó, đặt cùng một câu hỏi với mỗi người dùng để so sánh kết quả mà trợ lý AI trả về, như minh họa trong Hình 16 và Hình 17.

Câu hỏi: Có hồ sơ nào trong số những hồ sơ chúng ta có phù hợp với mô tả công việc cho vị trí “Senior Cybersecurity Strategist” không?

Truy cập URL web của Amazon Q Business để mở ứng dụng, như minh họa trong Hình 14. Hệ thống sẽ yêu cầu bạn nhập ID người dùng và mật khẩu. Đăng nhập bằng tài khoản quản trị HR (hradmin) như minh họa trong Hình 16.

Hình 16 – Phản hồi truy vấn từ trợ lý AI Amazon Q khi đăng nhập bằng quyền HR Admin

Truy cập URL web của Amazon Q Business để khởi chạy ứng dụng đã triển khai và đăng nhập bằng tài khoản IT Admin.

Đăng nhập với tài khoản IT Admin (SP_Gary) để kiểm tra khả năng truy xuất dữ liệu từ phòng Nhân sự bằng trợ lý AI Amazon Q. Kết quả mong đợi là Gary sẽ không nhận được bất kỳ kết quả nào, như minh họa trong Hình 17, do các quyền truy cập hạn chế được thiết lập để ngăn người dùng thuộc các phòng ban khác truy cập vào tài liệu của phòng Nhân sự.

Hình 17 – Phản hồi truy vấn từ trợ lý AI Amazon Q khi đăng nhập bằng quyền IT Admin

Ví dụ này minh họa khả năng của HR Admin trong việc xác định ứng viên phù hợp nhất cho vị trí Cyber Security Strategist bằng cách sử dụng truy vấn ngôn ngữ tự nhiên và truy xuất thông tin từ tài liệu trên trang SharePoint tại vị trí nguồn được chỉ định. Tuy nhiên, quản trị viên CNTT, Gary, không nhận được kết quả mong muốn do thiếu quyền truy cập cần thiết.

Đây chỉ là một ví dụ minh họa cho các kịch bản có thể áp dụng tại các phòng ban khác, chẳng hạn như Marketing, Tài chính hoặc CNTT, bằng cách triển khai ứng dụng Amazon Q được tùy chỉnh theo từng nhu cầu sử dụng cụ thể.

Lưu ý: 

Mặc định, Amazon Q Business tích hợp các cơ chế kiểm soát và giới hạn hành chính, đảm bảo trải nghiệm người dùng an toàn.

Tính bảo mật và toàn vẹn của dữ liệu là yếu tố được đặt lên hàng đầu. Một trong những tính năng cốt lõi của trình kết nối dữ liệu SharePoint trong Amazon Q Business là tuân thủ danh sách kiểm soát truy cập (ACLs) của SharePoint. Do đó, Amazon Q Business sẽ từ chối quyền truy cập đối với người dùng không có quyền trong hệ thống nguồn, qua đó duy trì tiêu chuẩn cao nhất về bảo mật và tính bảo mật dữ liệu.

Dọn dẹp tài nguyên

Việc cấu hình các dịch vụ AWS như trong bài viết này sẽ tạo ra các tài nguyên có thể phát sinh chi phí. Do đó, thực hành tốt nhất là xóa các cấu hình và tài nguyên mà bạn không còn sử dụng, để tránh các khoản phí phát sinh ngoài ý muốn.

1. Hãy xóa ứng dụng Q Business bằng cách truy cập vào bảng điều khiển Amazon Q Business, điều hướng đến ứng dụng của bạn, chọn trải nghiệm web cụ thể mà bạn muốn xóa, sau đó chọn tùy chọn “Delete” trong phần cài đặt ứng dụng hoặc sử dụng lệnh AWS CLI “delete-web-experience” để đạt được kết quả tương tự. Ngoài ra, hãy xóa Data source.
2. Hãy xóa AWS Managed AD, EC2 management server, Delete Secrets, v.v. Nếu chúng được triển khai cho mục đích thử nghiệm, không phải trong môi trường sản xuất.

Kết luận

Trong bài viết này, bạn đã học cách cấu hình trình kết nối SharePoint cho Amazon Q Business dựa trên nguyên tắc phân quyền tối thiểu, với các cơ chế kiểm soát truy cập hoạt động cùng máy chủ Microsoft SharePoint. Giải pháp này giúp nhân viên tương tác an toàn với tri thức và dữ liệu của tổ chức được lưu trữ trên SharePoint bằng ngôn ngữ tự nhiên, giúp việc tìm kiếm thông tin liên quan, trích xuất nội dung chính và rút ra insight giá trị trở nên dễ dàng hơn. Giải pháp này cải thiện năng suất làm việc, khả năng ra quyết định và chia sẻ tri thức trong tổ chức của bạn. Bạn có thể tích hợp nhiều trình kết nối dữ liệu được hỗ trợ khác nhau với Amazon Q Business bằng cách áp dụng cùng khái niệm này cho các trường hợp sử dụng cụ thể.

---

AWS cung cấp nhiều dịch vụ hơn và nhiều tính năng hơn trong từng dịch vụ so với bất kỳ nhà cung cấp đám mây nào khác, giúp bạn di chuyển ứng dụng hiện có lên đám mây nhanh hơn, dễ dàng hơn và tiết kiệm chi phí hơn, đồng thời xây dựng gần như mọi thứ mà bạn có thể tưởng tượng. Hãy mang đến cho ứng dụng Microsoft của bạn cơ sở hạ tầng mà chúng cần để đạt được kết quả kinh doanh mong muốn. Truy cập blog .NET on AWS và blog AWS Database để biết thêm hướng dẫn và tùy chọn cho khối lượng công việc Microsoft của bạn. Liên hệ với chúng tôi để bắt đầu hành trình di trú và hiện đại hóa của bạn ngay hôm nay.

Tìm hiểu về các dịch vụ AWS Gen AI:

Amazon Q – Generative AI Assistance

Amazon Q Business

Amazon Q Developer

Supported data connector

Amazon Q Business with SharePoint Online

Amazon Bedrock

TAGS: Microsoft, Windows On AWS

Tác giả

Mangesh Budkule là Senior Specialist Solution Architect tại Amazon Web Services (AWS) với hơn hai thập kỷ kinh nghiệm trong ngành công nghệ. Với niềm đam mê công nghệ và là người ủng hộ mạnh mẽ cho trí tuệ nhân tạo (Generative AI), ông hỗ trợ khách hàng tận dụng các công nghệ AI tiên tiến để thúc đẩy đổi mới sáng tạo. Chuyên môn của ông giúp khách hàng di chuyển và hiện đại hóa workload trên AWS để đạt được các mục tiêu kinh doanh mong muốn.

Jarod Oliver là Application Modernization Specialist Solutions Architect tại AWS, tập trung vào containers và GenAI. Anh có niềm yêu thích trong việc phân tích và giải mã các thách thức kỹ thuật phức tạp, sau đó trình bày chúng theo cách dễ hiểu và dễ áp dụng cho khách hàng. Ngoài công việc, Jarod thích đua xe mô hình điều khiển từ xa, đạp xe leo núi và nướng BBQ.

Siavash Irani làPrincipal Solutions Architect tại Amazon Web Services, tập trung vào Microsoft workloads. Ông chịu trách nhiệm hỗ trợ khách hàng di chuyển và xây dựng môi trường của họ trên AWS. Trước khi trở thành Kiến trúc sư Giải pháp, Siavash đã có 5 năm làm việc tại bộ phận AWS Support, nơi ông xử lý sâu các vấn đề kỹ thuật phức tạp của khách hàng. Ông cũng là một trong những cá nhân chủ chốt tham gia phát triển và thiết kế công cụ EC2Rescue cho Windows.