OAuth-työkalut
Läpinäkyvyys on meille Intricillä keskeistä. Jotta tietyt työkalut toimivat (esim. dokumenttien hakeminen SharePointista), käyttäjän täytyy yhdistää henkilökohtainen integraatio. Tässä kuvaamme askel askeleelta, miten tietovirta toimii, kun assistentti käyttää integrointityökalua.
Prosessi viestistäsi valmiiseen vastaukseen tapahtuu Intric-alustan, assistentille valitun kielimallin ja toimittajan API:n (esim. Microsoft Graph) yhteistoiminnassa. Intric toimii aina välittäjänä — kielimalli ei koskaan ota suoraan yhteyttä toimittajaan.
Askel askeleelta: Miten dataasi käsitellään
Kaikki siirrot Intricin ja ulkoisten toimittajien välillä tapahtuvat turvallisten, salattujen yhteyksien kautta.
Vaihe 1 — Käyttäjä on vuorovaikutuksessa Intricin kanssa selaimessa
Käyttäjä kirjoittaa viestin assistentille, johon on konfiguroitu yksi tai useampi OAuth-integrointityökalu (esim. SharePoint).
Intricin palvelimelle lähetetty data:
- Käyttäjän viesti
- Chat-historia
- Mahdolliset liitetiedostot
Esimerkki: „Tee yhteenveto dokumentista ‘Q1-raportti’ SharePointistamme."
Vaihe 2 — Intric kutsuu assistentin valitsemaa kielimallia
Tässä vaiheessa asiaankuuluva sisältö Intricin palvelimilta lähetetään assistentin valitsemalle kielimallille.
Mitä kielimallissa tapahtuu: Malli toteaa, että työkalua tulisi käyttää.
Päättely (esimerkki): „Käyttäjä haluaa yhteenvedon dokumentista, joka on tallennettu SharePointiin; minun täytyy ensin hakea se."
Vastaus: Malli lähettää Intricille pyynnön käyttää sharepoint_search-työkalua tarvittavilla parametreilla (esim. tiedostonimi tai hakukysely).
Vaihe 3 — Intric tarkistaa käyttöoikeudet ja hallinnoi tokenia
Intricin palvelin vastaanottaa kielimallin vastauksen pyyntönä kutsua työkalua. Intric varmistaa, että kutsutulla työkalulla (esim. SharePoint) on pääsy integraatioon ja että nykyisellä käyttäjällä on aktiivinen yhteys.
Jos käyttöoikeus on olemassa, Intric hakee ja purkaa käyttäjän käyttöoikeustokenin salauksen. Jos käyttöoikeustoken on vanhentunut, Intric käyttää tallennettua päivitystokenia hankkiakseen täysin uuden käyttöoikeustokenin toimittajalta. Uusi token salataan ja tallennetaan.
Vaihe 4 — Intric kutsuu toimittajan API:a
Kun Intricillä on voimassa oleva käyttöoikeustoken, tehdään kutsu toimittajan API:lle (esim. graph.microsoft.com). Voimassa oleva käyttöoikeustoken sisällytetään kutsun otsikkoon pyynnön todentamiseksi.
Intricin palvelimelta lähetetty data:
- Kielimallin määrittämä toiminto ja parametrit (esim. tiedostonimi tai hakukysely)
- Käyttöoikeustoken (kutsun otsikossa)
LLM ei koskaan ota suoraan yhteyttä toimittajan API:lle; kaikki viestintä kulkee Intricin backendin kautta.
Vaihe 5 — Vastaus toimittajalta Intricille
Toimittajan API palauttaa vastauksen tai vahvistuksen Intricille.
Toimittajan API:lta Intricille lähetetty data:
- Pyydetty sisältö (esim. dokumentin teksti tai metatiedot)
Vaihe 6 — Intric käsittelee vastauksen kielimallin kanssa
Intric lähettää työkalutuloksen ja tarvittavan kontekstin assistentin valitsemalle kielimallille, jotta malli voi muotoilla vastauksen käyttäjälle.
Intricin palvelimelta LLM:lle lähetetty data (toinen kutsu):
- Alkuperäinen prompt ja keskusteluhistoria
- Työkalutulos
Mitä kielimallissa tapahtuu: Malli käsittelee tuloksen ja lähettää vastauksen takaisin Intricille.
Sekä kielimallin kutsu että vastaus takaisin Intricille näytetään samassa vaiheessa kaaviossa.
Vaihe 7 — Käyttäjä näkee vastauksen selaimessa
Vastaus näytetään käyttäjälle Intricissä selaimessa.
Intricin palvelimille tallennettu data:
- Generoitu vastaus ja käyttäjän vuorovaikutushistoria assistentin kanssa (assistentin poistamisasetusten mukaisesti)
- Metatiedot työkalukutsuista ja tuloksista keskusteluhistoriassa
Tietojen jakaminen ja yksityisyys
Intric soveltaa dataminimisaation periaatetta. OAuth-integraatioissa on kaksi erillistä yksityisyysnäkökohtaa — dataa lähetetään sekä kielimallille että toimittajan API:lle. Alta näet tarkalleen, mitä dataa jaetaan kussakin vaiheessa.
Intric ↔ Kielimalli (LLM)
| LLM:lle lähetetty | Ei lähetetty LLM:lle |
|---|---|
|
|
Intric ↔ Toimittajan API
| Toimittajalle lähetetty | Ei lähetetty toimittajalle |
|---|---|
|
|
Todennus ja käyttöoikeuksien hallinta OAuth:n kautta
Intric käyttää OAuth 2.0:aa yhdistääkseen käyttäjät kolmannen osapuolen palveluihin. Jokainen käyttäjä todentaa itsensä suoraan toimittajalle ja hyväksyy vaaditut käyttöoikeudet — Intric ei koskaan näe tai käsittele käyttäjän salasanaa.
Tokenin hallinta yksilötasolla
Kun käyttäjä on hyväksynyt yhteyden, Intric tallentaa käyttöoikeustokenin ja päivitystokenin käyttäjää ja integraatiota kohden. Tokenit salataan Fernet-salauksella (AES-128-CBC) ennen tietokantaan kirjoittamista ja puretaan vain muistissa sillä hetkellä, kun niitä tarvitaan API-kutsua varten. Yhtään tokenia ei tallenneta selkokielisenä ja jokainen token on sidottu yksittäiseen käyttäjään — jaettuja tai organisaatiolaajuisia tokeneita ei ole.
Jos käyttöoikeustoken vanhenee, Intric käyttää automaattisesti tallennettua päivitystokenia pyytääkseen uuden käyttöoikeustokenin toimittajalta. Uusi token salataan ja korvaa vanhan. Koko prosessi tapahtuu ilman, että käyttäjän tarvitsee kirjautua uudelleen sisään.
Käyttöoikeuksien hallinta käyttäjän perusteella
Jokainen käyttöoikeustoken on linkitetty yksittäisen käyttäjän tiliin toimittajalla ja kantaa täsmälleen ne käyttöoikeudet, jotka käyttäjällä on ulkoisessa palvelussa. Tämä tarkoittaa, että kun Intric kutsuu toimittajan API:a tällä tokenilla, toimittaja palauttaa vain sen sisällön, johon kyseisellä käyttäjällä on oikeus päästä käsiksi. Jos käyttäjällä on esimerkiksi vain lukuoikeudet tiettyihin SharePoint-sivuihin, Intric ei voi hakea sisältöä sivuilta, joihin käyttäjällä ei ole käyttöoikeutta. Käyttöoikeuksien hallinta tapahtuu kokonaan toimittajan puolella — Intricin integraatiolla ei ole teknistä mahdollisuutta muuttaa, laajentaa tai muutoin vaikuttaa käyttäjän käyttöoikeuksiin tai pääsyyn.
Tietojen säilytys ja poistaminen
Tokenit tallennetaan salattuina Intricin palvelimilla Ruotsissa niin kauan kuin integraatio on aktiivinen. Kun käyttäjä katkaisee integraation, kaikki tokenit poistetaan välittömästi.
Integrointityökaluja käyttäneen keskusteluhistorian poistamissäännöt ovat samat kuin muilla assistenteilla.
Järjestelmänvalvojat voivat seurata palvelun käyttöä tarkastuslokin kautta, jos se on otettu käyttöön.