Aktivieren oder Deaktivieren der rollenbasierten Zugriffssteuerung in Azure KI-Suche

Bevor Sie Rollen für autorisierten Zugriff auf Azure KI-Suche zuweisen können, aktivieren Sie die rollenbasierte Zugriffssteuerung für Ihren Suchdienst.

Der rollenbasierte Zugriff für Datenebenenvorgänge ist optional, wird jedoch als sicherere Option empfohlen. Die Alternative ist die Standardeinstellung, die schlüsselbasierte Authentifizierung.

Rollen für die Dienstverwaltung (Steuerungsebene) sind integriert und können nicht aktiviert oder deaktiviert werden.

Hinweis

Der Begriff Datenebene bezieht sich auf Vorgänge für den Suchdienstendpunkt, z. B. Indizierung oder Abfragen, oder auf andere angegebene Vorgänge in der REST-API für die Suche oder entsprechenden Azure SDK-Clientbibliotheken.

Voraussetzungen

• Ein Suchdienst in einer beliebigen Region und mit einem beliebigen Tarif, einschließlich des Free-Tarifs

• Besitzer, Benutzerzugriffsadministrator oder eine benutzerdefinierte Rolle mit Microsoft.Authorization/roleAssignments/Write-Berechtigungen.

Aktivieren des rollenbasierten Zugriffs für Datenebenenvorgänge

Konfigurieren Sie Ihren Dienst so, dass er einen Autorisierungsheader bei Datenanforderungen erkennt, der ein OAuth2-Token für den Zugriff enthält.

Wenn Sie Rollen für die Datenebene aktivieren, ist die Änderung sofort wirksam, aber warten Sie ein paar Sekunden, bevor Sie Rollen zuweisen.

Der Standardfehlermodus für nicht autorisierte Anforderungen ist http401WithBearerChallenge. Alternativ können Sie den Fehlermodus auf http403 festlegen.

Azure portal

1. Melden Sie sich am Azure-Portal an und öffnen Sie die Suchdienstseite.

2. Wählen Sie im linken Navigationsbereich Einstellungen und dann Schlüssel aus.

   

3. Wählen Sie Role-based control (Rollenbasierte Steuerung) oder Beides aus, wenn Sie derzeit Schlüssel verwenden und Zeit benötigen, um Clients auf die rollenbasierten Zugriffssteuerung umzustellen.

   Option	Beschreibung
   API-Schlüssel	(Standard). Erfordert API-Schlüssel im Anforderungsheader für die Autorisierung
   Rollenbasierte Zugriffssteuerung	Erfordert die Mitgliedschaft in einer Rollenzuweisung, um die Aufgabe abzuschließen. Außerdem ist ein Autorisierungsheader in der Anforderung erforderlich.
   Beides	Anforderungen sind entweder mithilfe eines API-Schlüssels oder einer rollenbasierten Zugriffssteuerung gültig, aber wenn Sie beide in derselben Anforderung bereitstellen, wird der API-Schlüssel verwendet.

4. Wenn Sie als Administrator einen Nur-Rollen-Ansatz auswählen, weisen Sie Ihrem Benutzerkonto Datenebenenrollen zu, um den vollständigen Administratorzugriff über Vorgänge auf datenebenen Vorgängen im Azure-Portal wiederherzustellen. Rollen umfassen Suchdienstmitwirkender, Suchindexdatenmitwirkender und Suchindexdatenleser. Sie benötigen alle drei Rollen, wenn Sie einen gleichwertigen Zugriff wünschen.

   Manchmal kann es fünf bis zehn Minuten dauern, bis Rollenzuweisungen wirksam werden. Bis zu diesem Zeitpunkt wird die folgende Meldung auf den Portalseiten angezeigt, die für Datenebenenvorgänge verwendet werden.

   

Azure-Befehlszeilenschnittstelle

Führen Sie dieses Skript aus, um nur Rollen zu unterstützen:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Oder führen Sie dieses Skript aus, um sowohl Schlüssel als auch Rollen zu unterstützen:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit der Azure CLI.

Azure PowerShell

Führen Sie diesen Befehl aus, um als Authentifizierungstyp nur Rollen festzulegen:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Oder führen Sie diesen Befehl aus, um sowohl Schlüssel als auch Rollen zu unterstützen:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Weitere Informationen finden Sie unter Verwalten des Azure KI-Suche-Diensts mit PowerShell.

REST-API

Verwenden Sie die Verwaltungs-REST-API Erstellen oder Aktualisieren des Dienstes, um Ihren Dienst für die rollenbasierte Zugriffssteuerung zu konfigurieren.

Alle Aufrufe der Verwaltungs-REST-API werden über Microsoft Entra ID authentifiziert. Hilfe bei der Einrichtung von authentifizierten Anfragen finden Sie unter Verwalten von Azure AI Search über REST.

1. Rufen Sie Diensteinstellungen ab, damit Sie die aktuelle Konfiguration überprüfen können.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Verwenden Sie PATCH, um die Dienstkonfiguration zu aktualisieren. Die folgenden Änderungen ermöglichen sowohl Schlüssel als auch rollenbasierten Zugriff. Wenn Sie eine reine Rollenkonfiguration wünschen, siehe API-Schlüssel deaktivieren.

   Setzen Sie unter „Eigenschaften“ „authOptions“ auf „aadOrApiKey“. Die Eigenschaft "disableLocalAuth" muss falsch sein, um "authOptions" zu setzen.

   Legen Sie optional AadAuthFailureMode fest, um anzugeben, ob 401 anstelle von 403 zurückgegeben wird, wenn die Authentifizierung fehlschlägt. Gültige Werte sind "http401WithBearerChallenge" oder "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Deaktivieren der rollenbasierten Zugriffssteuerung

Es ist möglich, die rollenbasierte Zugriffssteuerung für Vorgänge auf Datenebene zu deaktivieren und stattdessen eine schlüsselbasierte Authentifizierung zu verwenden. Ein möglicher Anwendungsfall hierfür wäre im Rahmen eines Testworkflows, um Berechtigungsprobleme auszuschließen.

Führen Sie die zuvor zum Aktivieren des rollenbasierten Zugriffs ausgeführten Schritte umgekehrt aus.

1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Übersichtsseite des Suchdiensts.

2. Wählen Sie im linken Navigationsbereich Einstellungen und dann Schlüssel aus.

3. Wählen Sie API Keys (API-Schlüssel) aus.

Deaktivieren der API-Schlüssel-Authentifizierung

Der Schlüsselzugriff (auch „lokale Authentifizierung“ genannt) kann für Ihren Dienst deaktiviert werden, wenn Sie ausschließlich die integrierten Rollen und die Microsoft Entra-Authentifizierung verwenden. Das Deaktivieren von API-Schlüsseln führt dazu, dass der Suchdienst alle datenbezogenen Anforderungen ablehnt, die einen API-Schlüssel im Header übergeben.

Administrator-API-Schlüssel können deaktiviert, aber nicht gelöscht werden. Abfrage-API-Schlüssel können gelöscht werden.

Zum Deaktivieren von Sicherheitsfeatures sind die Berechtigungen der Rolle „Besitzer“ oder „Mitwirkender“ erforderlich.

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrem Suchdienst.

2. Wählen Sie im linken Navigationsbereich die Option Schlüssel aus.

3. Wählen Sie Rollenbasierte Zugriffssteuerung aus.

Die Änderung ist sofort wirksam, warten Sie aber einige Sekunden vor dem Testen. Wenn Sie über die Berechtigung zum Zuweisen von Rollen als Mitglied der Rolle „Besitzer“, „Dienstadministrator“ oder „Co-Admin“ verfügen, können Sie Portalfeatures verwenden, um den rollenbasierten Zugriff zu testen.

Azure-Befehlszeilenschnittstelle

Legen Sie zum Deaktivieren der schlüsselbasierten Authentifizierung „-disableLocalAuth“ auf „true“ fest. Die Syntax ist gleich wie bei dem Skript für die ausschließliche Aktivierung von Rollen im vorherigen Abschnitt.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „-disableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit der Azure CLI.

Azure PowerShell

Legen Sie zum Deaktivieren der schlüsselbasierten Authentifizierung „DisableLocalAuth“ auf „true“ fest. Die Syntax ist gleich wie bei dem Skript für die ausschließliche Aktivierung von Rollen im vorherigen Abschnitt.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „DisableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Weitere Informationen finden Sie unter Verwalten des Azure KI-Suche-Diensts mit PowerShell.

REST-API

Um die schlüsselbasierte Authentifizierung zu deaktivieren, stellen Sie "disableLocalAuth" auf "true".

1. Rufen Sie Diensteinstellungen ab, damit Sie die aktuelle Konfiguration überprüfen können.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Verwenden Sie PATCH, um die Dienstkonfiguration zu aktualisieren. Mit der folgenden Änderung wird „authOptions“ auf NULL festgelegt.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „disableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Begrenzungen

• Die rollenbasierte Zugriffssteuerung kann die Latenz einiger Anforderungen erhöhen. Jede eindeutige Kombination aus Dienstressource (Index, Indexer usw.) und Dienstprinzipal löst eine Autorisierungsprüfung aus. Diese Autorisierungsprüfungen können eine Latenz von bis zu 200 Millisekunden pro Anforderung erreichen.

• In seltenen Fällen, in denen Anforderungen von einer großen Anzahl unterschiedlicher Dienstprinzipale stammen, die alle auf verschiedene Dienstressourcen (Indizes, Indexer usw.) abzielen, ist es möglich, dass die Autorisierungsprüfungen zu einer Drosselung führen. Eine Drosselung würde nur dann passieren, wenn innerhalb einer Sekunde Hunderte eindeutiger Kombinationen aus Suchdienstressource und Dienstprinzipal verwendet würden.

---

Nächste Schritte

Einrichten von Rollen für den Zugriff auf einen Suchdienst