Verwaltete Identitäten für Dokument Intelligenz
Dieser Inhalt gilt für:
v4.0 (Vorschau)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Verwaltete Identitäten für Azure-Ressourcen sind Dienstprinzipale, die eine Microsoft Entra-Identität sowie bestimmte Berechtigungen für verwaltete Azure-Ressourcen erstellen:
Sie können verwaltete Identitäten verwenden, um Zugriff auf beliebige Ressourcen zu gewähren, die die Microsoft Entra-Authentifizierung unterstützen – einschließlich Ihrer eigenen Anwendungen. Im Gegensatz zu Sicherheitsschlüsseln und Authentifizierungstoken müssen Entwickler mit verwalteten Identitäten keine Anmeldeinformationen mehr verwalten.
Zum Gewähren des Zugriffs auf eine Azure-Ressource weisen Sie einer verwalteten Identität mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) eine Rolle zu.
Es entstehen keine zusätzlichen Kosten für die Verwendung verwalteter Identitäten in Azure.
Wichtig
Verwaltete Identitäten machen die Verwaltung von Anmeldeinformationen, einschließlich SAS-Token (Shared Access Signature), überflüssig.
Verwaltete Identitäten stellen eine sicherere Möglichkeit zum Gewähren des Zugriffs auf Daten dar, ohne dass Anmeldeinformationen im Code erforderlich sind.
Zugriff auf privates Speicherkonto
Der Zugriff auf das private Azure-Speicherkonto und die Authentifizierung unterstützen verwalteten Identitäten für Azure-Ressourcen. Wenn Sie über ein Azure-Speicherkonto verfügen, das durch ein virtuelles Netzwerk (VNet) oder eine Firewall geschützt ist, kann Dokument Intelligenz nicht direkt auf Ihre Speicherkontodaten zugreifen. Sobald jedoch eine verwaltete Identität aktiviert ist, kann Dokument Intelligenz mithilfe zugewiesener Anmeldeinformationen für die verwaltete Identität auf Ihr Speicherkonto zugreifen.
Hinweis
Wenn Sie Ihre Speicherdaten mit dem Tool zur Beschriftung von Beispielen für Dokument Intelligenz (FOTT) analysieren möchten, müssen Sie das Tool hinter Ihrem VNet oder Ihrer Firewall bereitstellen.
Die APIs für die Analyse von Quittungen, Visitenkarten, Rechnungen, Ausweisdokumenten und benutzerdefinierten Formularen können Daten aus einem einzelnen Dokument extrahieren, indem sie Anforderungen in Form von unformatierten binären Inhalten übermitteln. In diesen Szenarien sind keine Anmeldeinformationen für die verwaltete Identität erforderlich.
Voraussetzungen
Zunächst benötigen Sie Folgendes:
Ein aktives Azure-Konto – Sollten Sie über kein aktives Konto verfügen, können Sie ein kostenloses Konto erstellen.
Eine Dokument Intelligenz- oder Azure KI Services-Ressource im Azure-Portal Ausführliche Schritte finden Sie unterErstellen einer Ressource für mehrere Dienste.
Ein Azure Blob Storage-Konto in derselben Region wie Ihre Dokument Intelligenz-Ressource. Sie müssen außerdem Container zum Speichern und Organisieren Ihrer Blobdaten unter Ihrem Speicherkonto erstellen.
Wenn sich Ihr Speicherkonto hinter einer Firewall befindet, müssen Sie die folgende Konfiguration aktivieren:
.Klicken Sie auf der Seite Ihres Speicherkontos im linken Menü auf Sicherheit + Netzwerkbetrieb → Netzwerk.
Klicken Sie im Hauptfenster auf Allow access from selected networks (Zugriff aus bestimmten Netzwerken zulassen).
Navigieren Sie auf der Seite „Ausgewählte Netzwerke“ zur Kategorie Ausnahmen, und stellen Sie sicher, dass das Kontrollkästchen Azure-Diensten in der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben aktiviert ist.
Eine kurze Übersicht über die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) über das Azure-Portal.
Zuweisungen verwalteter Identitäten
Es gibt zwei Arten von verwalteten Identitäten: systemseitig und benutzerseitig zugewiesene Identitäten. Derzeit unterstützt Dokument Intelligenz systemseitig zugewiesene verwaltete Identitäten:
Eine systemseitig zugewiesene verwaltete Identität wird direkt für eine Dienstinstanz aktiviert. Sie ist nicht standardmäßig aktiviert. Sie müssen zu Ihrer Ressource wechseln und die Identitätseinstellung aktualisieren.
Die systemseitig zugewiesene verwaltete Identität ist während des gesamten Lebenszyklus an Ihre Ressource gebunden. Wenn Sie Ihre Ressource löschen, wird auch die verwaltete Identität gelöscht.
In den folgenden Schritten aktivieren Sie eine systemseitig zugewiesene verwaltete Identität und gewähren Dokument Intelligenz begrenzten Zugriff auf Ihr Azure Blob Storage-Konto.
Aktivieren einer systemseitig zugewiesenen verwalteten Identität
Wichtig
Um eine systemseitig zugewiesene verwaltete Identität zu aktivieren, benötigen Sie Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Besitzer oder Benutzerzugriffsadministrator. Sie können einen Bereich auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource.
Melden Sie sich mit einem Konto, das Ihrem Azure-Abonnement zugeordnet ist, beim Azure-Portal an.
Navigieren Sie im Azure-Portal zur Seite Ihrer Dokument Intelligenz-Ressource.
Wählen Sie in der linken Leiste die Option Identität aus der Liste Ressourcenverwaltung aus:
Schalten Sie im Hauptfenster die Registerkarte Vom System zugewiesener Status auf Ein.
Gewähren des Zugriffs auf Ihr Speicherkonto
Sie müssen Dokument Intelligenz Zugriff auf Ihr Speicherkonto gewähren, damit Blobs gelesen werden können. Nachdem Sie Dokument Intelligenz mit einer systemseitig zugewiesenen verwalteten Identität aktiviert haben, können Sie die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwenden, um Dokument Intelligenz Zugriff auf den Azure-Speicher zu gewähren. Mit der Rolle Leser von Speicherblobdaten wird Dokument Intelligenz (repräsentiert durch die systemseitig zugewiesene verwaltete Identität) Lese- und Listenzugriff auf den Blobcontainer und die Daten gewährt.
Wählen Sie unter Berechtigungen die Option Azure-Rollenzuweisungen aus:
Wählen Sie auf der Seite „Azure-Rollenzuweisungen“, die geöffnet wird, im Dropdownmenü Ihr Abonnement und dann + Rollenzuweisung hinzufügen aus.
Hinweis
Wenn Sie im Azure-Portal keine Rolle zuweisen können, da die Option „Hinzufügen > Rollenzuweisung hinzufügen“ deaktiviert ist oder der Berechtigungsfehler „Sie verfügen nicht über die Berechtigung zum Hinzufügen einer Rollenzuweisung in diesem Bereich“ angezeigt wird, überprüfen Sie, ob Sie derzeit als Benutzer*in mit einer zugewiesenen Rolle angemeldet sind, die über Microsoft.Authorization/roleAssignments/write-Berechtigungen wie „Besitzer“ oder „Benutzerzugriffsadministrator“ im Speicherbereich für die Speicherressource verfügt.
Als Nächstes werden Sie Ihrer Dienstressource für Dokument Intelligenz die Rolle Leser von Speicherblobdaten zuweisen. Füllen Sie im Popupfenster Rollenzuweisung hinzufügen die Felder wie folgt aus, und wählen Sie Speichern aus:
Feld Wert Bereich Storage Abonnement Das Ihrer Speicherressource zugeordnete Abonnement. Ressource Der Name Ihrer Speicherressource Rolle Leser von Speicherblobdaten: Ermöglicht den Lesezugriff auf Azure Storage-Blobcontainer und -Daten. 
Nachdem Sie die Bestätigungsmeldung für die hinzugefügte Rollenzuweisung erhalten haben, aktualisieren Sie die Seite, um die hinzugefügte Rollenzuweisung anzuzeigen.
Wenn die Änderung nicht sofort angezeigt wird, warten Sie und versuchen Sie, die Seite noch einmal zu aktualisieren. Beim Zuweisen oder Entfernen von Rollenzuweisungen kann es bis zu 30 Minuten dauern, bis Änderungen wirksam werden.
Das ist alles! Sie haben die Schritte zum Aktivieren einer systemseitig zugewiesenen verwalteten Identität ausgeführt. Mit der verwalteten Identität und Azure RBAC haben Sie Dokument Intelligenz spezifische Zugriffsrechte für Ihre Speicherressource gewährt, ohne Anmeldeinformationen wie SAS-Token verwalten zu müssen.
Zusätzliche Rollenzuweisung für Dokument Intelligenz Studio
Wenn Sie Dokument Intelligenz Studio verwenden und Ihr Speicherkonto mit Netzwerkeinschränkung wie einer Firewall oder einem virtuellen Netzwerk konfiguriert ist, muss Ihrem Dokument Intelligenz-Dienst die zusätzliche Rolle Mitwirkender an Storage-Blobdaten zugewiesen werden. Dokument Intelligenz Studio benötigt diese Rolle, um Blobs in Ihr Speicherkonto zu schreiben, wenn Sie automatische Beschriftung, OCR-Upgrades oder Human in the Loop- oder Projektfreigabevorgänge ausführen.