Identidades administradas para Document Intelligence

Este contenido se aplica a:v4.0 (versión preliminar)v3.1 (GA)v3.0 (GA)v2.1 (GA)

Las identidades administradas para los recursos de Azure son entidades de servicio que crean una identidad de Microsoft Entra y permisos específicos para los recursos administrados de Azure:

• Las identidades administradas conceden acceso a cualquier recurso compatible con la autenticación de Microsoft Entra, incluidas sus propias aplicaciones. A diferencia de las claves de seguridad y los tokens de autenticación, las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales.

• Puede otorgar acceso a un recurso de Azure y asignar un rol de Azure a una identidad administrada usando Control de acceso basado en roles de Azure (Azure RBAC). El uso de identidades administradas en Azure no tiene ningún costo adicional.

Importante

• Las identidades administradas eliminan la necesidad de administrar las credenciales, incluidos los tokens de firma de acceso compartido (SAS).

• Las identidades administradas son una manera más segura de conceder acceso a los datos sin tener credenciales en el código.

Acceso de la cuenta de almacenamiento privado

Las identidades administradas para recursos de Azure admiten el acceso y la autenticación de la cuenta de almacenamiento privado de Azure. Si tiene una cuenta de almacenamiento en Azure, protegida por una red virtual (VNet) o un firewall, Document Intelligence no puede acceder directamente a los datos de su cuenta de almacenamiento. Sin embargo, una vez habilitada una identidad administrada, Document Intelligence puede acceder a su cuenta de almacenamiento utilizando una credencial de identidad administrada asignada.

Nota:

• Si pretende analizar sus datos de almacenamiento con la Herramienta de etiquetado de muestras de Document Intelligence (FOTT), debe implementar la herramienta detrás de su VNet o firewall.

• Las API de AnalyzeRecibo, Tarjeta de visita, Factura, Documento de identidad, y Formulario personalizado pueden extraer datos de un único documento publicando las solicitudes como contenido binario sin procesar. En estos escenarios, no hay ningún requisito para una credencial de identidad administrada.

Requisitos previos

Para empezar, necesitará lo siguiente:

• Una cuenta activa de Azure: en caso de no tener una, puede crear una cuenta gratuita.

• Un recurso en Azure Portel de Documento de inteligencia o servicios de Azure AI. Para ver los pasos detallados, consulteCreación de un recurso de varios servicios.

• Una cuenta de almacenamiento de blobs de Azure en la misma región que el recurso de Document Intelligence. También necesita crear contenedores para almacenar y organizar los datos de los blobs en la cuenta de almacenamiento.

  • Si la cuenta de almacenamiento está detrás de un firewall, debe habilitar la configuración siguiente:
    
    .

  • En la página de la cuenta de almacenamiento, seleccione Seguridad y redes → Redes en el menú izquierdo.

  • En la ventana principal, seleccione Permitir acceso desde Redes seleccionadas.

  • En la página de redes seleccionada, vaya a la categoría Excepciones y asegúrese de que la casilla Allow Azure services on the trusted services list to access this storage account está habilitada.

    

• Estar algo familiarizado con el control de acceso basado en roles de Azure mediante Azure Portal.

Asignaciones de identidad administrada

Hay dos tipos de identidad administrada: las asignadas por el sistema y las asignadas por el usuario. Actualmente, Document Intelligence solo admite la identidad administrada asignada por el sistema:

• Una identidad administrada asignada por el sistema se habilita directamente en una instancia de servicio. No está habilitada de forma predeterminada; debe ir al recurso y actualizar la configuración de identidad.

• La identidad administrada asignada por el sistema está vinculada al recurso a lo largo de su ciclo de vida. Si elimina el recurso, la identidad administrada se elimina también.

En los siguientes pasos, habilitaremos una identidad administrada asignada por el sistema y concederemos a Document Intelligence acceso limitado a su cuenta de almacenamiento blob de Azure.

Habilitación de una identidad administrada asignada por el sistema.

Importante

Para habilitar una identidad administrada asignada por el sistema, necesita permisos de Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuarios. Puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos o recurso.

1. Inicie sesión en Azure Portal con una cuenta asociada a su suscripción de Azure.

2. En Azure Portal, navegue hasta el recurso de Document Intelligence.

3. En el raíl izquierdo, seleccione Identidad en la lista Administración de recursos:

   

4. En la ventana principal, cambie la pestaña Estado asignado por el sistema a On.

Conceder acceso a la cuenta de almacenamiento

Debe conceder a Document Intelligence acceso a su cuenta de almacenamiento para que pueda leer blobs. Ahora que el acceso a Document Intelligence está habilitado con una identidad administrada asignada por el sistema, puede usar el control de acceso basado en roles de Azure (Azure RBAC), para dar acceso a Document Intelligence al almacenamiento de Azure. El rol de Lector de datos de Blob de almacenamiento da a Document Intelligence (representado por la identidad administrada asignada por el sistema) acceso de lectura y de lista al contenedor de blob y a los datos.

1. En Permisos, seleccione Asignaciones de roles de Azure:

   

2. En la página Asignaciones de roles de Azure que se abre, elija su suscripción en el menú desplegable y, después, seleccione + Agregar asignación de roles.

   

   Nota:

   Si no puede asignar un rol en Azure Portal porque la opción Agregar > Agregar asignación de roles está deshabilitada o experimenta este error de permisos: "no tiene permisos para agregar la asignación de roles en este ámbito", compruebe que tiene una sesión iniciada actualmente como usuario con un rol asignado que disponga de permisos Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuario en el ámbito de almacenamiento del recurso de almacenamiento.

3. A continuación, va a asignar un rol de Lector de datos de bloques de almacenamiento a su recurso de servicio de Document Intelligence. En la ventana emergente Add role assignment, complete los campos como se indica a continuación y seleccione Guardar:

   Campo	Valor
   Ámbito	Storage
   Suscripción	La suscripción asociada al recurso de almacenamiento.
   Recurso	El nombre del recurso de almacenamiento.
   Rol	Lector de datos de blobs de almacenamiento: permite el acceso de lectura a los contenedores de blobs y a los datos de Azure Storage.

   

4. Después de recibir el mensaje de confirmación Asignación de roles agregada, actualice la página para ver la asignación de roles agregada.

   

5. Si no ve el cambio de inmediato, espere e intente actualizar la página una vez más. Al asignar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en aplicarse.

   

Eso es todo. Ha completado los pasos para habilitar una identidad administrada asignada por el sistema. Con la identidad administrada y RBAC de Azure, otorgó derechos de acceso específicos a Document Intelligence a su recurso de almacenamiento sin tener que administrar credenciales como tokens SAS.

Otras asignaciones de rol para Document Intelligence Studio

Si va a usar Document Intelligence Studio y la cuenta de almacenamiento está configurada con restricciones de red (como firewall o red virtual) debe asignarse un rol adicional (colaborador de datos de Storage Blob) al servicio Document Intelligence. Document Intelligence Studio requiere este rol para escribir blobs en la cuenta de almacenamiento al realizar operaciones de etiquetado automático, supervisión humana o compartir/actualizar proyectos.

Pasos siguientes

Configuración del acceso seguro con identidades administradas y puntos de conexión privados