Použití služby Azure AI Search bez klíčů

V kódu aplikace můžete nastavit bezklíčové připojení ke službě Azure AI Search, které k ověřování a autorizaci používá ID a role Microsoft Entra. Žádosti aplikací na většinu služeb Azure se musí ověřovat pomocí klíčů nebo bez klíčů. Vývojáři musí být usilovní, aby klíče nikdy nezpřístupnili v nezabezpečeném umístění. Každý, kdo získá přístup ke klíči, se může ověřit ve službě. Ověřování bez klíčů nabízí lepší výhody správy a zabezpečení u klíče účtu, protože neexistuje žádný klíč (nebo připojovací řetězec) pro ukládání.

Připojení bez klíčů jsou povolená pomocí následujících kroků:

• Nakonfigurujte ověřování.
• Podle potřeby nastavte proměnné prostředí.
• K vytvoření objektu klienta Azure AI Search použijte typ přihlašovacích údajů knihovny Identit Azure.

Požadavky

U místních vývojových i produkčních úloh je potřeba provést následující kroky:

• Vytvoření prostředku vyhledávání AI
• Povolení přístupu na základě role ve vyhledávací službě
• Instalace klientské knihovny Azure Identity

Vytvoření prostředku vyhledávání AI

Než budete pokračovat v tomto článku, potřebujete k práci s prostředkem Azure AI Search. Pokud prostředek nemáte, vytvořte ho teď. Povolte řízení přístupu na základě role (RBAC) pro prostředek.

Instalace klientské knihovny Azure Identity

Než začnete pracovat místně bez klíče, aktualizujte kód s povoleným vyhledáváním AI pomocí klientské knihovny Azure Identity.

.NET

Nainstalujte klientskou knihovnu Azure Identity pro .NET:

dotnet add package Azure.Identity

Java

Nainstalujte klientskou knihovnu Azure Identity pro Javu s následujícím souborem POM:

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

JavaScript

Nainstalujte klientskou knihovnu Azure Identity pro JavaScript:

npm install --save @azure/identity

Python

Nainstalujte klientskou knihovnu Azure Identity pro Python:

pip install azure-identity

Aktualizace zdrojového kódu tak, aby používal DefaultAzureCredential

Knihovna DefaultAzureCredential Identit Azure umožňuje spustit stejný kód v místním vývojovém prostředí a v cloudu Azure. Vytvořte jednu přihlašovací údaje a podle potřeby znovu použijte instanci přihlašovacích údajů, abyste mohli využívat ukládání tokenů do mezipaměti.

.NET

Další informace o DefaultAzureCredential .NET najdete v klientské knihovně Azure Identity pro .NET.

using Azure;
using Azure.Search.Documents;
using Azure.Search.Documents.Indexes;
using Azure.Search.Documents.Indexes.Models;
using Azure.Search.Documents.Models;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_SEARCH_ENDPOINT");
string indexName = "my-search-index";

DefaultAzureCredential credential = new();
SearchClient searchClient = new(new Uri(endpoint), indexName, credential);
SearchIndexClient searchIndexClient = new(endpoint, credential);

Java

Další informace o DefaultAzureCredential javě najdete v klientské knihovně Azure Identity pro Javu.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.search.documents.SearchAsyncClient;
import com.azure.search.documents.SearchClientBuilder;
import com.azure.search.documents.SearchDocument;
import com.azure.search.documents.indexes.SearchIndexAsyncClient;
import com.azure.search.documents.indexes.SearchIndexClientBuilder;

String ENDPOINT = System.getenv("AZURE_SEARCH_ENDPOINT");
String INDEX_NAME = "my-index";

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Sync SearchClient
SearchClient searchClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildClient();

// Sync IndexClient
SearchIndexClient searchIndexClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildClient();

// Async SearchClient
SearchAsyncClient searchAsyncClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildAsyncClient();

// Async IndexClient
SearchIndexAsyncClient searchIndexAsyncClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildAsyncClient();

JavaScript

Další informace o DefaultAzureCredential JavaScriptu najdete v klientské knihovně Azure Identity pro JavaScript.

import { DefaultAzureCredential } from "@azure/identity";
import {
  SearchClient,
  SearchIndexClient
} from "@azure/search-documents";

const AZURE_SEARCH_ENDPOINT = process.env.AZURE_SEARCH_ENDPOINT;
const index = "my-index";
const credential = new DefaultAzureCredential();

// To query and manipulate documents
const searchClient = new SearchClient(
  AZURE_SEARCH_ENDPOINT,
  index,
  credential
);

// To manage indexes and synonymmaps
const indexClient = new SearchIndexClient(
  AZURE_SEARCH_ENDPOINT, 
  credential
);

Python

Další informace o DefaultAzureCredential Pythonu najdete v klientské knihovně azure Identity pro Python.

import os
from azure.search.documents import SearchClient
from azure.identity import DefaultAzureCredential, AzureAuthorityHosts

# Azure Public Cloud
audience = "https://search.windows.net"
authority = AzureAuthorityHosts.AZURE_PUBLIC_CLOUD

service_endpoint = os.environ["AZURE_SEARCH_ENDPOINT"]
index_name = os.environ["AZURE_SEARCH_INDEX_NAME"]
credential = DefaultAzureCredential(authority=authority)

search_client = SearchClient(
    endpoint=service_endpoint, 
    index=index_name, 
    credential=credential, 
    audience=audience)

search_index_client = SearchIndexClient(
    endpoint=service_endpoint, 
    credential=credential, 
    audience=audience)

Místní vývoj

Místní vývoj bez klíče zahrnuje tyto kroky:

• Přiřaďte svou osobní identitu pomocí rolí RBAC pro konkrétní prostředek.
• Použijte nástroj k ověření v Azure.
• Vytvořte proměnné prostředí pro váš prostředek.

Role pro místní vývoj

Jako místní vývojář potřebuje vaše identita Azure plnou kontrolu nad vaší službou. Tento ovládací prvek je k dispozici s rolemi RBAC. Při správě prostředků během vývoje se jedná o navrhované role:

• Přispěvatel vyhledávací služby
• Přispěvatel dat indexu vyhledávání
• Čtečka dat indexu vyhledávání

Najděte svou osobní identitu pomocí jednoho z následujících nástrojů. Tuto identitu použijte jako <identity-id> hodnotu.

Azure CLI

1. Přihlaste se k Azure CLI.

   az login
   

2. Získejte svou osobní identitu.

   az ad signed-in-user show \
       --query id -o tsv
   

3. Přiřaďte roli řízení přístupu na základě role (RBAC) k identitě skupiny prostředků.

   az role assignment create \
       --role "<role-name>" \
       --assignee "<identity-id>" \
       --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure PowerShell

1. Přihlaste se pomocí PowerShellu.

   Connect-AzAccount
   

2. Získejte svou osobní identitu.

   (Get-AzContext).Account.ExtendedProperties.HomeAccountId.Split('.')[0]
   

3. Přiřaďte roli řízení přístupu na základě role (RBAC) k identitě skupiny prostředků.

   New-AzRoleAssignment -ObjectId "<identity-id>" -RoleDefinitionName "<role-name>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure Portal

1. Použijte postup, který najdete tady: Na webu Azure Portal vyhledejte ID objektu uživatele.

2. Použijte postup, který najdete na otevření stránky Přidat přiřazení role na webu Azure Portal.

Tam, kde je to možné, nahraďte <identity-id><subscription-id>a <resource-group-name> skutečnými hodnotami.

Ověřování pro místní vývoj

Použijte nástroj v místním vývojovém prostředí k ověřování s identitou Azure. Po ověření DefaultAzureCredential instance ve zdrojovém kódu vyhledá a použije ověřování.

.NET

Vyberte nástroj pro ověřování během místního vývoje.

Java

Vyberte nástroj pro ověřování během místního vývoje.

JavaScript

Vyberte nástroj pro ověřování během místního vývoje.

Python

Vyberte nástroj pro ověřování během místního vývoje.

Konfigurace proměnných prostředí pro místní vývoj

Pokud se chcete připojit ke službě Azure AI Search, váš kód musí znát koncový bod prostředku.

Vytvořte proměnnou prostředí s názvem AZURE_SEARCH_ENDPOINT pro koncový bod služby Azure AI Search. Tato adresa URL má obecně formát https://<YOUR-RESOURCE-NAME>.search.windows.net/.

Produkční úlohy

Nasazení produkčních úloh zahrnuje tyto kroky:

• Zvolte role RBAC, které se řídí principem nejnižšího oprávnění.
• Přiřaďte role RBAC k produkční identitě pro konkrétní prostředek.
• Nastavte proměnné prostředí pro váš prostředek.

Role pro produkční úlohy

Pokud chcete vytvořit produkční prostředky, musíte vytvořit spravovanou identitu přiřazenou uživatelem a pak ji přiřadit k prostředkům se správnými rolemi.

Pro produkční aplikaci se navrhuje následující role:

Název role	ID
Čtečka dat indexu vyhledávání	1407120a-92aa-4202-b7e9-c0e197c7c71c8f

Ověřování pro produkční úlohy

Pomocí následující šablony Azure AI Search Bicep vytvořte prostředek a nastavte ověřování pro danou identityIdšablonu . Bicep vyžaduje ID role. Zobrazený name v tomto fragmentu kódu Bicep není role Azure, je specifická pro nasazení Bicep.

// main.bicep
param environment string = 'production'
param roleGuid string = ''

module aiSearchRoleUser 'core/security/role.bicep' = {
    scope: aiSearchResourceGroup
    name: 'aiSearch-role-user'
    params: {
        principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity.properties.principalId 
        principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
        roleDefinitionId: roleGuid
    }
}

Soubor main.bicep volá následující obecný kód Bicep, který vytvoří libovolnou roli. Máte možnost vytvořit několik rolí RBAC, jako je jeden pro uživatele a druhý pro produkční prostředí. To vám umožní povolit vývojová i produkční prostředí ve stejném nasazení Bicep.

// core/security/role.bicep
metadata description = 'Creates a role assignment for an identity.'
param principalId string // passed in from main.bicep

@allowed([
    'Device'
    'ForeignGroup'
    'Group'
    'ServicePrincipal'
    'User'
])
param principalType string = 'ServicePrincipal'
param roleDefinitionId string // Role ID

resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
    name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
    properties: {
        principalId: principalId
        principalType: principalType
        roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
    }
}

Konfigurace proměnných prostředí pro produkční úlohy

Pokud se chcete připojit ke službě Azure AI Search, váš kód musí znát koncový bod prostředku a ID spravované identity.

Vytvořte proměnné prostředí pro nasazený a bezklíčový prostředek Azure AI Search:

• AZURE_SEARCH_ENDPOINT: Tato adresa URL je přístupovým bodem vašeho prostředku Azure AI Search. Tato adresa URL má obecně formát https://<YOUR-RESOURCE-NAME>.search.windows.net/.
• AZURE_CLIENT_ID: Jedná se o identitu, která se má ověřit jako.

Související obsah

• Příručka pro vývojáře bez klíčů
• Předdefinované role v Azure
• Nastavení proměnných prostředí