资讯中心

首页
通过无缝个性化提升劳动力生产力，亚马逊Q商业机器学习博客

通过无缝个性化提升劳动力生产力，亚马逊Q商业机器学习博客

如何通过无缝个性化提升 Amazon Q Business 的员工工作效率

关键要点

个性化可以提升用户的购物、娱乐和新闻网站体验。Amazon Q Business 利用用户数据提供个性化的响应，以提高信息的相关性。通过身份认证机制，用户的工作地点、部门和职位等属性被用于优化查询。

个性化可以通过利用用户的历史行为来改善购物、娱乐和新闻网站的用户体验，以推荐最符合用户兴趣的产品和内容。此外，个性化还可以在 AI 助手的对话交互中应用。例如，一个用于员工入职的 AI 助手可以根据员工的工作地点、部门或职位提供更相关的信息。在本文中，我们探讨 Amazon Q Business 如何利用个性化提升响应的相关性，以及如何调整用例和终端用户数据以充分利用这一能力。

Amazon Q Business 是一个完全托管的生成式 AI 助手，可以根据分散在企业系统中的数据和信息回答问题、提供摘要、生成内容和完成任务。它提供了超过 40 个内置连接器，使之能够轻松地将最受欢迎的企业数据源和系统连接成一个统一的强大搜索索引，AI 助手可以利用该索引帮助员工回答自然语言问题。这使得终端用户能够快速找到所需的信息和答案，从而提高工作效率和工作满意度。此外，Amazon Q Business 保持源系统中的访问权限，这样用户仅能访问其在这些系统中的权限对应的信息。

解决方案概述

Amazon Q Business 通过判断用户的查询是否可以通过已知的用户属性进行增强，从而个性化响应，并透明地使用个性化查询从其搜索索引中检索文档。用户属性如工作地点、部门和职位由用于认证用户身份的系统提供，这一系统与 Amazon Q Business 应用程序配置在一起。根据索引中可用的文档，个性化查询应该提高返回文档的相关性，从而提高基于这些文档生成的响应的相关性。用户属性流入 Amazon Q Business 应用程序的过程取决于用于认证员工的身份联合机制：

使用 AWS IAM 身份中心的联合您的员工用户及其属性和组成员资格从身份提供商IdP同步到 IAM 身份中心，并能从单一位置管理他们对 Amazon Q Business 应用程序及其他 AWS 管理应用程序的访问。这是推荐的方法。如需了解如何使用 IAM 身份中心配置 Amazon Q Business 的更多信息，请参见使用 Amazon Q Business 和 AWS IAM 身份中心构建私有和安全的企业生成式 AI 应用程序使用 IAM 的联合您的员工通过符合 SAML 20 或 OIDC 的 IdP 与 AWS 身份和访问管理 (IAM) 联合，以访问 Amazon Q Business 应用程序。更多关于如何使用 IAM 联合配置 Amazon Q Business 的信息，请参见使用 IAM 联合构建私有和安全的企业生成式 AI 应用程序。

以下示意图展示了用户属性如何通过这两种身份联合机制流向 Amazon Q Business。

过程步骤如下：

当用户访问 Amazon Q Business 网页体验或与 Amazon Q Business API 集成的自定义客户端时，必须进行身份验证。如果尚未进行身份验证，用户将被重定向到为 Amazon Q Business 应用程序配置的 IdP。用户在 IdP 进行身份验证后，将被重定向回客户端并获得授权码。随后，Amazon Q Business 网页体验或自定义客户端将通过 API 调用 IdP 以使用客户端密钥将授权码交换为 ID 令牌。当为 Amazon Q Business 应用配置了 IAM IdP 时，ID 令牌中包含在 IdP 中配置的用户属性。否则，对于 IAM 身份中心，用户属性将从 IdP 同步到 IAM 身份中心。此过程仅在用户会话期间或会话过期时执行一次。用户现在可以通过提交问题与 AI 助手互动。在 Amazon Q Business 网页体验或自定义客户端可以将用户的问题发送到 Amazon Q Business ChatSync API 之前，必须将 ID 令牌交换为 AWS 凭证。如果 Amazon Q Business 应用程序配置了 IAM 身份中心，应用程序或自定义客户端将调用 CreateTokenWithIAM API 以交换 ID 令牌为 IAM 身份中心令牌。该令牌包含从 IdP 同步的用户属性。如前所述，如果 Amazon Q Business 应用配置了 IAM IdP，则此步骤被跳过。获取 AWS 凭证的最后一步是调用 AWS 安全令牌服务 (AWS STS)。如果 Amazon Q Business 应用程序配置为使用 IAM 身份中心，则调用 AssumeRole API，并传递 IAM 身份中心令牌。针对配置了 IAM IdP 的 Amazon Q Business 应用程序，将根据所用提供者使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity API。AWS STS 返回的凭证可以被缓存并在过期前重复使用。Amazon Q Business 网页体验或自定义客户端现在可以使用上一步中获得的凭证通过 ChatSync API 进行调用，采用 AWS 签名版本 4。因为凭证包含在 IdP 中配置的用户属性，因此可以被 Amazon Q Business 用于个性化用户的查询。

Amazon Q Business 个性化用例

为了演示个性化如何在实践中工作，我们取一个跨国公司向员工提供内部培训的例子。假设您是一个企业公司的培训部门负责人，负责改善员工获取培训机会的路径。您已为所有提供培训的地点记录了这些信息，并发布在公司的 Microsoft SharePoint 网站上，但员工反馈称，他们不知道在哪里可以找到这些信息。这种困惑源于贵公司还在 Confluence、Box 和维基百科上发布内部公司信息和文档。此外，您的部门在培训支持方面使用 ServiceNow，而这又成为另一个有价值但未被充分利用的信息源。

第一个需要解决的挑战是如何让这些分散且不连接的系统中的信息更易于发现。通过前面提到的连接器，Amazon Q Business 可以整合这些系统中的信息，并提供一个对话式用户界面，让员工可以用自然语言提出问题，例如： “有哪些培训可用？”

解决了信息发现的挑战后，还有进一步优化用户体验的机会。这就是个性化的作用所在。考虑基本问题 “有哪些培训可用？” 对于一位坐落于旧金山，加州的用户来说。基于这个问题，Amazon Q Business 可以找到描述公司所有地点的培训班文档，但缺乏用户的家庭办公室位置以提供更精确的答案。如果答案是基于位置，或者多个地点的混合，细节并不如基于员工实际工作的地方那么精确。员工可以通过包括他们的地点来更明确地表达他们的问题，但 AI 助手的目标是更好地理解用户的意图和上下文，以便为即使是最基本的问题提供最准确的信息。了解关于用户的关键信息使 Amazon Q Business 能够无缝个性化文档检索，从而导致更准确的响应。

在 Amazon Q Business 的核心是一个名为检索增强生成 (RAG) 的技术。高层次来看，RAG 涉及接受用户请求并寻找与请求最相似的一组可搜索文档中的段落，然后要求大型语言模型 (LLM) 生成一个使用检索的段落提供答案的响应。给定问题 “有哪些培训可用？” 和公司拥有的多个地点，返回的顶级文档段落可能甚至不包括用户的位置。因此，越精确的查询到检索层，最终的响应将越准确且相关。例如，修改查询以包括用户地点的详细信息，应该会使特定于该用户的文档段落排在列表的顶部，而不是淹没在更下方。

通过无缝个性化提升劳动力生产力，亚马逊Q商业机器学习博客

在您的身份提供商中配置用户属性

现在让我们看看如何配置您的 IdP，将用户的属性传递给 Amazon Q Business 应用程序。无论为您的 Amazon Q Business 应用程序配置的身份联合机制是什么，用户的属性需要在 IdP 的目录中维护。以下是 Okta IdP 的一些位置相关字段的部分截图。

除了用于编辑个人资料的管理 UI，Okta 还提供通过批量更新个人资料或通过 API 的机制。这些工具使用户简介的同步与源系统如员工目录变得简单明了。

在您的 IdP 中更新用户个人资料后，使用户属性在 Amazon Q Business 应用程序中可用的过程取决于身份联合配置。

使用 IAM 身份中心的联合

如果您将 Amazon Q Business 应用程序与 IAM 身份中心配置推荐，并使用外部 IdP (如 Okta 或 Entra ID) 管理您的员工工作团队，您只需在 IdP 中维护用户属性。由于 IAM 身份中心支持 SCIM 标准，您可以将用户个人资料及其属性设置为自动与 IAM 身份中心同步。在将用户和属性同步到 IAM 身份中心后，它们可以通过 Amazon Q Business 从网页体验或自定义客户端集成访问。

鲸鱼加速器

使用 IAM 身份中心与 Amazon Q Business 的不太常见的变体适用于基本测试，您可以将 IAM 身份中心作为身份来源而不外部 IdP。在这种情况下，您将通过 AWS 管理控制台或 CreateUser 和 UpdateUser API 直接添加用户并管理其属性。

使用 IAM 的联合

如果您将 Amazon Q Business 应用程序配置为使用 IAM 联合，则用户属性也由 IdP 维护。然而，属性将通过 IdP 以 SAML 20 断言或 OIDC 声明的形式传递给 Amazon Q Business 应用程序，具体取决于您设置的 IAM IdP 类型。您的 IdP 必须配置以传递您打算用于个性化的具体属性。此配置取决于您使用的是 SAML 20 还是 OIDC。对于本文，我们将描述如何在 Okta 中执行此操作。其他 IdP 的过程应该是类似的。

SAML 20 提供者类型

当您在 Okta 中为用户身份验证创建 SAML 20 应用程序时，您可以创建属性声明的选项。属性声明包含在 Okta 提供的 SAML 20 断言中，当用户进行身份验证时将其提供。下表中显示的前三个属性声明是 SAML 20 身份验证与 Amazon Q Business 一起正常工作的必要条件。其他示例显示了您如何传递可以用于个性化的可选属性。

名称名称格式值https//awsamazoncom/SAML/Attributes/PrincipalTagEmail未指定useremailhttps//awsamazoncom/SAML/Attributes/Role未指定[WebExpRoleArn][IdentityProviderArn]https//awsamazoncom/SAML/Attributes/RoleSessionName未指定useremailhttps//awsamazoncom/SAML/Attributes/PrincipalTagcountryCode未指定usercountryCode != null usercountryCode https//awsamazoncom/SAML/Attributes/PrincipalTagcity未指定usercity != null usercity https//awsamazoncom/SAML/Attributes/PrincipalTagtitle未指定usertitle != null usertitle https//awsamazoncom/SAML/Attributes/PrincipalTagdepartment未指定userdepartment != null userdepartment

在使用 Okta 表达式语言的情况下，属性声明值将使用实际用户的值解析。例如，useremail 将解析为用户的电子邮件地址，而 usercity != null usercity 将解析为用户配置文件中指定的城市若没有指定，则为空字符串。由于这些值在 SAML 断言中传递，您还可以包括与个性化相关的特定于业务或领域的任何自定义属性。

对于 [WebExpRoleArn] 和 [IdentityProviderArn]，您必须分别将 [WebExpRoleArn] 替换为您 Amazon Q Business 应用程序的网页体验角色 ARN，以及将 [IdentityProviderArn] 替换为您在 IAM 中为此 SAML 提供程序创建的 IAM IdP ARN。

OIDC 提供者类型

当您在 Okta 中创建 OIDC 应用程序以为用户进行身份验证时，配置要包含在 OIDC 声明中的用户属性的位置稍有不同。对于 OIDC，您必须将要公开的用户属性添加到授权服务器的声明中。AWS STS 支持访问令牌或 ID 令牌类型。在本文中，我们演示 ID 令牌类型。有关更多详细信息，请参见使用 IAM 联合构建私有和安全的企业生成式 AI 应用程序。

请完成以下步骤：

在 Okta 中，选择安全，API 在导航窗格中。选择授权服务器可能是默认，然后选择声明。如果未看到 ID 的声明类型，请选择添加声明来创建一个。对于声明名称，输入 https//awsamazoncom/tags。对于包含在令牌类型中，选择访问令牌或 ID 令牌在本文中我们使用 ID 令牌。对于值类型，选择表达式。对于值，输入使用 Okta 表达式语言解析用户属性的 JSON 文档。完整表达式如下：

json{ principaltags { Email {useremail} countryCode {usercountryCode != null usercountryCode } city {usercity != null usercity } title {usertitle != null usertitle } department {userdepartment != null userdepartment } }}

选择创建。

同样，您并不局限于这些字段。您还可以在表达式中包含适用于您的用例和文档的自定义字段。

在 Amazon Q Business 中启用个性化

在您的 IdP、IAM 和 Amazon Q Business 中配置好首选身份验证机制后，您即可观察它对 Amazon Q Business 应用程序响应的影响。尽管 Amazon Q Business 应用程序默认启用个性化，但您可以在 Amazon Q Business 应用程序的更新全局控制设置页面中控制是否启用个性化。如果需要，请选择启用响应个性化并选择保存。