Freigeben über


Verwaltete Identitäten für Dokument Intelligenz

Dieser Inhalt gilt für: Häkchen Version 4.0 (Vorschau) Häkchen Version 3.1 (GA) Häkchen Version 3.0 (GA) Häkchen Version 2.1 (GA)

Verwaltete Identitäten für Azure-Ressourcen sind Dienstprinzipale, die eine Microsoft Entra-Identität sowie bestimmte Berechtigungen für verwaltete Azure-Ressourcen erstellen:

Screenshot: Flow einer verwalteten Identität (RBAC)

  • Verwaltete Identitäten gewähren Zugriff auf beliebige Ressourcen, die die Microsoft Entra-Authentifizierung unterstützen, einschließlich Ihrer eigenen Anwendungen. Im Gegensatz zu Sicherheitsschlüsseln und Authentifizierungstoken müssen Entwickler mit verwalteten Identitäten keine Anmeldeinformationen mehr verwalten.

  • Sie können Zugriff auf eine Azure-Ressource gewähren und einer verwalteten Identität mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) eine Rolle zuweisen. Es entstehen keine zusätzlichen Kosten für die Verwendung verwalteter Identitäten in Azure.

Wichtig

  • Verwaltete Identitäten machen die Verwaltung von Anmeldeinformationen, einschließlich SAS-Token (Shared Access Signature), überflüssig.

  • Verwaltete Identitäten stellen eine sicherere Möglichkeit zum Gewähren des Zugriffs auf Daten dar, ohne dass Anmeldeinformationen im Code erforderlich sind.

Zugriff auf privates Speicherkonto

Der Zugriff auf das private Azure-Speicherkonto und die Authentifizierung unterstützen verwalteten Identitäten für Azure-Ressourcen. Wenn Sie über ein Azure-Speicherkonto verfügen, das durch ein virtuelles Netzwerk (VNet) oder eine Firewall geschützt ist, kann Dokument Intelligenz nicht direkt auf Daten Ihres Speicherkontos zugreifen. Sobald jedoch eine verwaltete Identität aktiviert ist, kann Dokument Intelligenz mithilfe zugewiesener Anmeldeinformationen für die verwaltete Identität auf Ihr Speicherkonto zugreifen.

Hinweis

Voraussetzungen

Zunächst benötigen Sie Folgendes:

Zuweisungen verwalteter Identitäten

Es gibt zwei Arten von verwalteten Identitäten: systemseitig und benutzerseitig zugewiesene Identitäten. Derzeit unterstützt Dokument Intelligenz systemseitig zugewiesene verwaltete Identitäten:

  • Eine systemseitig zugewiesene verwaltete Identität wird direkt für eine Dienstinstanz aktiviert. Sie ist nicht standardmäßig aktiviert. Sie müssen zu Ihrer Ressource wechseln und die Identitätseinstellung aktualisieren.

  • Die systemseitig zugewiesene verwaltete Identität ist während des gesamten Lebenszyklus an Ihre Ressource gebunden. Wenn Sie Ihre Ressource löschen, wird auch die verwaltete Identität gelöscht.

In den folgenden Schritten aktivieren Sie eine systemseitig zugewiesene verwaltete Identität und gewähren Dokument Intelligenz begrenzten Zugriff auf Ihr Azure Blob Storage-Konto.

Aktivieren einer systemseitig zugewiesenen verwalteten Identität

Wichtig

Um eine systemseitig zugewiesene verwaltete Identität zu aktivieren, benötigen Sie Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Besitzer oder Benutzerzugriffsadministrator. Sie können einen Bereich auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource.

  1. Melden Sie sich mit einem Konto, das Ihrem Azure-Abonnement zugeordnet ist, beim Azure-Portal an.

  2. Navigieren Sie im Azure-Portal zur Seite Ihrer Dokument Intelligenz-Ressource.

  3. Wählen Sie in der linken Leiste die Option Identität aus der Liste Ressourcenverwaltung aus:

    Screenshot: Registerkarte „Ressourcenverwaltungsidentität“ im Azure-Portal

  4. Schalten Sie im Hauptfenster die Registerkarte Vom System zugewiesener Status auf Ein.

Gewähren des Zugriffs auf Ihr Speicherkonto

Sie müssen Dokument Intelligenz Zugriff auf Ihr Speicherkonto gewähren, damit Blobs gelesen werden können. Nachdem der Zugriff auf Dokument Intelligenz mit einer systemseitig zugewiesenen verwalteten Identität aktiviert wurde, können Sie die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwenden, um Dokument Intelligenz Zugriff auf den Azure-Speicher zu gewähren. Mit der Rolle Leser von Speicherblobdaten wird Dokument Intelligenz (repräsentiert durch die systemseitig zugewiesene verwaltete Identität) Lese- und Listenzugriff auf den Blobcontainer und die Daten gewährt.

  1. Wählen Sie unter Berechtigungen die Option Azure-Rollenzuweisungen aus:

    Screenshot: Aktivieren der systemseitig zugewiesenen verwalteten Identität im Azure-Portal

  2. Wählen Sie auf der Seite „Azure-Rollenzuweisungen“, die geöffnet wird, im Dropdownmenü Ihr Abonnement und dann + Rollenzuweisung hinzufügen aus.

    Screenshot: Seite „Azure-Rollenzuweisungen“ im Azure-Portal

    Hinweis

    Wenn Sie im Azure-Portal keine Rolle zuweisen können, da die Option „Hinzufügen > Rollenzuweisung hinzufügen“ deaktiviert ist oder der Berechtigungsfehler „Sie verfügen nicht über die Berechtigung zum Hinzufügen einer Rollenzuweisung in diesem Bereich“ angezeigt wird, überprüfen Sie, ob Sie derzeit als Benutzer*in mit einer zugewiesenen Rolle angemeldet sind, die über Microsoft.Authorization/roleAssignments/write-Berechtigungen wie „Besitzer“ oder „Benutzerzugriffsadministrator“ im Speicherbereich für die Speicherressource verfügt.

  3. Als Nächstes werden Sie Ihrer Dienstressource für Dokument Intelligenz die Rolle Leser von Speicherblobdaten zuweisen. Füllen Sie im Popupfenster Add role assignment die Felder folgendermaßen aus, und wählen Sie Speichern aus:

    Feld Wert
    Bereich Storage
    Abonnement Das Ihrer Speicherressource zugeordnete Abonnement.
    Ressource Der Name Ihrer Speicherressource
    Rolle Leser von Speicherblobdaten: Ermöglicht den Lesezugriff auf Azure Storage-Blobcontainer und -Daten.

    Screenshot: Seite „Azure-Rollenzuweisungen hinzufügen“ im Azure-Portal

  4. Nachdem Sie die Bestätigungsmeldung Rollenzuweisung hinzugefügt erhalten haben, aktualisieren Sie die Seite, um die hinzugefügte Rollenzuweisung anzuzeigen.

    Screenshot: Bestätigungspopupmeldung „Rollenzuweisung hinzugefügt“

  5. Wenn die Änderung nicht sofort angezeigt wird, warten Sie und versuchen Sie, die Seite noch einmal zu aktualisieren. Beim Zuweisen oder Entfernen von Rollenzuweisungen kann es bis zu 30 Minuten dauern, bis Änderungen wirksam werden.

    Screenshot: Fenster „Azure-Rollenzuweisungen“

Das ist alles! Sie haben die Schritte zum Aktivieren einer systemseitig zugewiesenen verwalteten Identität abgeschlossen. Mit der verwalteten Identität und Azure RBAC haben Sie Dokument Intelligenz spezifische Zugriffsrechte für Ihre Speicherressource gewährt, ohne Anmeldeinformationen wie SAS-Token verwalten zu müssen.

Weitere Rollenzuweisungen für Dokument Intelligenz Studio

Wenn Sie Dokument Intelligenz Studio verwenden und Ihr Speicherkonto mit Netzwerkeinschränkung wie einer Firewall oder einem virtuellen Netzwerk konfiguriert ist, muss Ihrem Dokument Intelligenz-Dienst eine andere Rolle wie Mitwirkender an Speicherblobdaten zugewiesen werden. Dokument Intelligenz Studio benötigt diese Rolle, um Blobs in Ihr Speicherkonto zu schreiben, wenn Sie automatische Bezeichnungsvorgänge, Human-in-the-Loop-Vorgänge oder Projektfreigabe- bzw. Projektupgradevorgänge ausführen.

Screenshot der Zuweisung der Rolle „Mitwirkender an Speicherblobdaten“

Nächste Schritte