Residência de Dados Global: Amazon Quick e MS Teams Multi-Região

Desafios de Residência de Dados e a IA Empresarial

Organizações com presença global enfrentam requisitos rigorosos de residência de dados, como o Regulamento Geral de Proteção de Dados (GDPR) na Europa, leis de soberania de dados específicas de cada país e políticas de conformidade internas. Ignorar essas regulamentações pode levar a multas substanciares e perda de confiança. O Amazon Quick, com suas extensões para Microsoft 365, oferece um suporte robusto para roteamento regional, essencial para atender a essas exigências.

Para indústrias regulamentadas, como serviços financeiros, saúde, energia e telecomunicações, o modelo de implantação multi-região do Amazon Quick é um padrão comum. Ele permite rotear usuários para recursos do Amazon Quick específicos de uma região da AWS (agentes de chat, fluxos, bases de conhecimento, etc.), garantindo que os dados permaneçam dentro dos limites geográficos designados. Ao integrar o Amazon Quick com o Microsoft Teams, a autenticação e conexão dos usuários aos recursos regionais corretos são cruciais, e o roteamento regional assegura este acesso localizado, facilitando a conformidade com GDPR e outras leis de soberania de dados.

Visão Geral da Solução Multi-Região

Para ilustrar, consideraremos a MyCompany, uma organização global fictícia com sede europeia na região Europa (Irlanda) (eu-west-1) e uma filial nos EUA na região Leste dos EUA (N. Virgínia) (us-east-1). Um único Amazon Quick account hospeda agentes de chat específicos para cada região, como MyCompany-Knowledge-Agent-eu-west-1 e MyCompany-Knowledge-Agent-us-east-1, contendo informações corporativas localizadas.

O roteamento regional requer o AWS IAM Identity Center com um Trusted Token Issuer (TTI) para autenticação entre sistemas. Neste caso, utilizaremos o Microsoft Entra ID para controle de acesso baseado em grupo, automatizando o direcionamento de usuários às suas regiões AWS apropriadas. Embora outras abordagens de gerenciamento de identidade sejam possíveis, o foco aqui é a extensão do Amazon Quick para Microsoft Teams.

A arquitetura proposta automatiza o roteamento de usuários entre múltiplas regiões da AWS, integrando o Microsoft Entra ID com o IAM Identity Center. Ao usar a associação a grupos do Microsoft Entra ID, podemos direcionar usuários para suas implantações regionais do Amazon Quick, mantendo a residência de dados dentro dos limites geográficos e oferecendo uma experiência consistente para a força de trabalho global.

A implementação segue um processo multifásico: * Iniciamos a configuração no console do Amazon Quick, escolhendo a região da AWS a ser configurada. * Configuramos a integração regional da extensão Microsoft Teams, incluindo uma função IAM e um segredo do Secrets Manager para a região, e confiamos no IAM Identity Center como emissor de tokens. * Ativamos a extensão no Amazon Quick para gerar o arquivo de manifesto regional. * Registramos os callbacks da extensão em sua aplicação Microsoft Entra ID e completamos o callback de ativação para a aplicação em todas as regiões da AWS. * Implantamos o add-on do Microsoft Teams, por exemplo, [YOUR_COMPANY_NAME]-Teams-[AWS_REGION], para os grupos de usuários regionais via Microsoft Entra ID. * Mapeamos o add-on regional ao seu agente de conhecimento designado (ex: [YOUR_COMPANY_NAME]-Teams-[AWS_REGION] Agent) para conceder aos usuários acesso a dados localizados.

Pré-requisitos Essenciais para Implementação

Para implementar esta solução, seu ambiente AWS e Microsoft 365 deve atender a requisitos específicos:

Para serviços AWS: * Uma conta Amazon Quick ativa nas regiões-alvo. * IAM Identity Center configurado e gerenciando identidades de usuários para sua organização com integração SAML com Microsoft Entra ID. * Secrets Manager disponível em ambas as regiões-alvo para armazenar credenciais de autenticação. * Acesso IAM para criar funções e políticas.

Para Microsoft 365 (acesso de administrador): * Uma função de Administrador Global ou Administrador de Aplicativos no Microsoft Entra ID. * Acesso ao Centro de Administração do Microsoft 365 para implantação de aplicativos. * Permissões para criar e configurar aplicativos corporativos no Microsoft Entra ID.

Configurando Identidade Compartilhada com Microsoft Entra ID

Começamos estabelecendo a base de identidade compartilhada que será utilizada por cada região da AWS. A aplicação Microsoft Entra ID será usada pelas extensões Microsoft 365 para autenticar usuários no Amazon Quick via IAM Identity Center.

Siga estas etapas para criar sua aplicação: * No seu console Azure, selecione App registrations, e então New registration. * Para Supported account types, escolha Accounts in this organizational directory only (Personal use only – Single tenant). * Selecione Register. * Navegue até a aba Manage – Authentication do registro do aplicativo. * Escolha Add Redirect URL. * Escolha Web. * Utilize as URLs de redirecionamento exatas no seguinte padrão e exemplos:

https://qbs-cell001.dp.appintegrations.[AWS_REGION].prod.plato.ai.aws.dev/auth/idc-tti/callback

# Exemplos para as regiões eu-west-1 e us-east-1:
https://qbs-cell001.dp.appintegrations.eu-west-1.prod.plato.ai.aws.dev/auth/idc-tti/callback
https://qbs-cell001.dp.appintegrations.us-east-1.prod.plato.ai.aws.dev/auth/idc-tti/callback

O Microsoft Entra ID usa essas URLs para retornar a resposta de login do usuário ao IAM Identity Center para a região AWS correta. * Conceda a permissão Microsoft Graph User.Read para permitir que a aplicação faça login de usuários e leia suas informações básicas de perfil. Esta permissão delegada não requer consentimento de administrador.

Você precisará do seu ID de tenant do Microsoft, ID do cliente da aplicação e valor do segredo do cliente para etapas futuras.

Estabelecendo Confiança com IAM Identity Center

Nesta etapa, criamos os emissores de token confiáveis no IAM Identity Center. Um emissor de token confiável configura o IAM Identity Center para validar tokens emitidos pelo Microsoft Entra ID, permitindo autenticação entre sistemas sem logins repetidos.

Siga as etapas para configurar o emissor de token confiável com a URL do emissor do seu tenant Microsoft e mapeie o atributo de e-mail: * No console do IAM Identity Center, escolha Settings no painel de navegação. * Escolha Create trusted token issuer. * Para Issuer URL, insira a URL do seu emissor de token confiável no formato:

https://login.microsoftonline.com/[YOUR_TENANT_ID]/v2.0

Utilize o ID do tenant que você recuperou na etapa anterior. * Para Trusted token issuer name, insira um nome para seu emissor de token confiável no formato:

[YOUR_COMPANY_NAME]-MS365Extensions-Trust-Token-Issuer

• Escolha Create trusted token issuer.

Essa configuração é aplicada a cada região da AWS onde as extensões serão implantadas.

Gerenciamento de Permissões e Credenciais Regionais

Com os componentes de identidade global em vigor, agora podemos configurar cada região da AWS com seus próprios segredos, funções e configurações de extensão que impõem a residência de dados.

Crie um segredo por região da AWS (ex: eu-west-1 e us-east-1) no Secrets Manager, seguindo a convenção de nomenclatura:

[YOUR_COMPANY_NAME]/MS365/Extensions/[AWS_REGION]

Crie uma política IAM chamada:

[YOUR_COMPANY_NAME]-MS365-Extensions-Policy

E utilize a seguinte relação de confiança para a função IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eu-west-1.prod.appintegrations.plato.aws.internal"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Cada vez que você ativar uma nova região da AWS, você deve: * Criar um novo segredo no Secrets Manager. * Adicionar o novo ARN do segredo à lista de Resource na política IAM. * Adicionar a nova região ao campo Service na relação de confiança da função IAM. Este campo identifica o Service Principal regional, que é a identidade de serviço específica da AWS que requer permissão para assumir suas funções IAM naquela região.

Anote o ARN da função IAM criada, pois ele será necessário na próxima etapa.

Configuração das Extensões Amazon Quick

Siga as etapas para criar extensões gerenciadas do Amazon Quick para Microsoft Teams: * Faça login no console do Amazon Quick. * No canto superior direito, escolha o ícone de perfil. * Escolha a região EU (Ireland). * No menu suspenso, escolha Manage Quick. * Em Permissions no painel de navegação, escolha Extension access. * Escolha Add extension access. * Configure seu emissor de token confiável: * Para Trusted Token Issuer Arn, insira o ARN do emissor de token confiável que você criou. * Para Aud claim, insira seu ID de cliente. (O Audience (Aud) claim é um identificador de segurança que valida que o token de autenticação é usado apenas pelo aplicativo para o qual foi destinado.) * Selecione Microsoft Teams entre os tipos de extensão disponíveis. * Configure a extensão com seu ID de tenant Microsoft 365, atributos de segurança e configurações de autenticação: * Insira um nome e descrição opcional. * Para Microsoft tenant ID, insira seu ID de tenant. * Para Secrets Role ARN, insira o ARN de sua função do Secrets Manager. * Para Secrets ARN, insira o ARN do seu segredo. O ARN é específico da região e deve apontar para seus recursos AWS regionais. * Retorne ao console do Amazon Quick. * Escolha Extensions no painel de navegação e, em seguida, Create extension. * Crie uma extensão do Microsoft Teams. * Escolha o menu de opções (três pontos) ao lado de sua extensão e escolha Install.

Este processo cria um aplicativo corporativo no Microsoft Entra ID com URLs e instruções exclusivas que o Microsoft 365 Teams precisa para se comunicar com os ativos AWS regionais específicos. * Repita estas etapas para criar uma extensão e instalar o aplicativo na região us-east-1. Siga a mesma convenção de nomenclatura com o sufixo da região AWS e use o ARN do segredo para a região us-east-1.

Criação de Agentes de Chat Regionais

Após a implantação das aplicações regionais, criamos os agentes de chat específicos de cada região da AWS que cada add-on acessará. Cada região da AWS mantém seu próprio agente com bases de conhecimento localizadas.

Siga as etapas: * Abra o console do Amazon Quick em eu-west-1. * No painel de navegação, escolha Chat agents e, em seguida, Create chat agent. * Crie um agente de chat regional em eu-west-1 com conhecimento corporativo europeu. A convenção de nomenclatura inclui o identificador da região AWS:

[YOUR_COMPANY_NAME]-Knowledge-Agent-eu-west-1

• Repita estas etapas para criar um agente de chat em us-east-1 com informações corporativas específicas dos EUA, chamado:

[YOUR_COMPANY_NAME]-Knowledge-Agent-us-east-1

Implantação das Aplicações Microsoft Teams

A etapa final é implantar o add-on regional correto para o grupo de usuários correto no Microsoft 365.

Siga as etapas: * No Microsoft Teams Admin Center, escolha Team apps. * Escolha Manage apps e filtre os aplicativos por "Amazon Quick". * Escolha o primeiro aplicativo (na região eu-west-1) e escolha Edit Availability. * Atribua a extensão a grupos de usuários regionais específicos, em vez de toda a organização. Esta implantação baseada em grupo roteia automaticamente seus usuários para os recursos corretos da conta Amazon Quick regional. * Repita o mesmo processo com o aplicativo Microsoft Teams na região us-east-1.

Após a propagação da implantação, você pode validar que os usuários são automaticamente roteados para o agente regional correto.

Verificando a Implementação e Roteamento

Usuários da UE podem usar o agente MyCompany-Teams-eu-west-1 ao interagir com a extensão do Microsoft Teams. O plugin selecionará o agente de chat "My Assistant" como padrão, então é necessário selecionar o ícone de configurações (engrenagem) e escolher o agente de chat MyCompany-Knowledge-Agent-eu-west-1.

Usuários dos EUA podem usar o agente de chat MyCompany-Knowledge-Agent-us-east-1, demonstrando roteamento regional bem-sucedido sem configuração manual.

Dicas de Solução de Problemas

As seguintes dicas podem ajudar a solucionar problemas comuns que você pode encontrar ao configurar as extensões do Amazon Quick:

• A extensão Quick não aparece no Microsoft Teams:
  • Aguarde de 24 a 48 horas para a propagação da implantação do Microsoft 365.
  • Verifique se o usuário está no grupo correto do Microsoft Entra ID.
  • Limpe o cache do add-on do Microsoft Office e reinicie o Teams.
• Problemas de autenticação na extensão Amazon Quick:
  • Verifique se as URLs de redirecionamento correspondem exatamente no Microsoft Entra ID.
  • Verifique a configuração do emissor de token confiável.
  • Confirme se a relação de confiança da função IAM inclui o Service Principal correto.
• Agente incorreto listado na extensão Amazon Quick:
  • Verifique a associação do grupo de usuários (deve estar em apenas um grupo regional).
  • Verifique a atribuição de manifesto para grupo no Centro de Administração do Microsoft 365.
  • Peça ao usuário para sair e fazer login novamente.
• A lista suspensa de agentes na extensão Amazon Quick está vazia:
  • Valide se o agente é compartilhado com os usuários no console do Amazon Quick.
  • Verifique se o agente existe na mesma região AWS da extensão.
  • Verifique se as permissões do agente estão definidas para pelo menos nível de User.

Para evitar cobranças contínuas, lembre-se de limpar os recursos criados após esta implementação, caso não sejam mais necessários.

Essa solução de extensão multi-região do Amazon Quick para Microsoft 365 oferece capacidades de IA compatíveis e cientes da região para sua força de trabalho global. A arquitetura e as etapas de implementação demonstram como integrar IA empresarial com ferramentas de produtividade, mantendo os limites de residência de dados e conformidade. Para mais detalhes sobre assistentes baseados em IA que aprimoram a produtividade sem alternar aplicativos, consulte "Extension access" e "Getting started with Amazon Quick" para iniciar seu uso.