Control de acceso basado en rol de LUIS

Importante

LUIS se retirará el 1 de octubre de 2025. Además, a partir del 1 de abril de 2023, ya no se podrán crear recursos de este servicio. Se recomienda migrar las aplicaciones de LUIS al reconocimiento del lenguaje conversacional para aprovechar el soporte continuo del producto y las capacidades multilingües.

LUIS admite el control de acceso basado en rol de Azure (Azure RBAC), un sistema de autorización que permite administrar el acceso individual a los recursos de Azure. Con Azure RBAC, se asignan diferentes miembros del equipo a distintos niveles de permisos para los recursos de creación de LUIS. Para obtener más información, consulte la documentación de Azure RBAC.

Habilitar la autenticación de Microsoft Entra

Para usar RBAC de Azure, es preciso habilitar la autenticación de Microsoft Entra. Puede crear un recurso con un subdominio personalizado o crear un subdominio personalizado para un recurso existente.

Adición de la asignación de roles al recurso de creación de Language Understanding

Azure RBAC se puede asignar a un recurso de creación de Language Understanding. Para conceder acceso a un recurso de Azure, se agrega una asignación de roles.

1. En Azure Portal, seleccione Todos los servicios.

2. Seleccione servicios de Azure AI y vaya a su recurso de creación de reconocimiento del lenguaje.

   Nota:

   También puede configurar Azure RBAC para grupos de recursos completos, suscripciones o grupos de administración. Para ello, seleccione el nivel de ámbito deseado y, después, vaya al elemento deseado. Por ejemplo, seleccione Grupos de recursos y vaya a un grupo de recursos específico.

3. Seleccione Control de acceso (IAM) en el panel de navegación izquierdo.

4. Seleccione Agregar y, luego, Agregar asignación de roles.

5. En la pestaña Rol de la siguiente pantalla, seleccione el rol que desea agregar.

6. En la pestaña Miembros, seleccione un usuario, grupo, entidad de servicio o identidad administrada.

7. En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

En cuestión de minutos, al destino se le asignará el rol seleccionado en el ámbito seleccionado. Para obtener ayuda con estos pasos, consulte Asignación de roles de Azure mediante Azure Portal.

Tipos de roles de LUIS

Use la tabla siguiente para determinar las necesidades de acceso para la aplicación de LUIS.

Estos roles personalizados solo se aplican a los recursos de creación (creación de Language Understanding) y no a los recursos de predicción (Language Understanding).

Nota

• Los roles Propietario y Colaborador tienen prioridad sobre los roles de LUIS personalizados.
• Microsoft Entra ID (Microsoft Entra ID de Azure) solo se usa con roles de LUIS personalizados.
• Si se le asigna como Colaborador en Azure, el rol se mostrará como Propietario en el portal de LUIS.

Lector de LUIS de Cognitive Services

Un usuario que solo debería validar y revisar las aplicaciones de LUIS. Normalmente se trata de un evaluador, para asegurarse de que la aplicación funciona bien antes de implementar el proyecto. Es posible que este usuario quiera revisar los recursos de la aplicación (expresiones, intenciones o entidades) para notificar a los desarrolladores de las aplicaciones sobre los cambios que deben realizarse, pero no tiene acceso directo para realizarlos.

Capabilities

Acceso de API

• Lectura de expresiones
• Intenciones
• Entidades
• Prueba de la aplicación

Todas las API GET en:

• API de programación de LUIS v3.0 (versión preliminar)
• API de programación de LUIS v2.0

Todas las API en:

• API de punto de conexión de LUIS v2.0
• API de punto de conexión de LUIS v3.0 Todas las API web de pruebas por lotes

Escritor de LUIS de Cognitive Services

Un usuario que es responsable de compilar y modificar la aplicación de LUIS como colaborador en un equipo más grande. El colaborador puede modificar la aplicación de LUIS de cualquier manera, entrenar esos cambios y validarlos o probarlos en el portal. Pero este usuario no tiene acceso a la implementación de esta aplicación en el entorno de ejecución, ya que podría reflejar accidentalmente sus cambios en un entorno de producción. Tampoco puede eliminar la aplicación ni modificar sus recursos de predicción o la configuración del punto de conexión (por ejemplo, asignando o desasignando recursos de predicción o haciendo que el punto de conexión sea público). Esto impide que este rol modifique una aplicación que se usa actualmente en un entorno de producción. Aunque puede crear nuevas aplicaciones en este recurso, pero con las restricciones mencionadas.

Capabilities

Acceso de API

• Todas las funcionalidades del rol de lector de LUIS de Cognitive Services.

La capacidad de agregar:

• Grabaciones de voz
• Intenciones
• Entidades

• Todas las API del lector de LUIS

Todas las API POST, PUT y DELETE en:

• API de programación de LUIS v3.0 (versión preliminar)
• API de programación de LUIS v2.0

Excepto para:

• Eliminar aplicación
• Trasladar la aplicación a otro recurso de Azure de creación de LUIS
• Publicar una aplicación
• Actualización de la configuración de la aplicación
• Asignar una cuenta de Azure de LUIS a una aplicación
• Eliminar una cuenta de Azure de LUIS asignada de una aplicación

Propietario de LUIS de Cognitive Services

Nota:

• Si se le asigna como Propietario y Propietario de LUIS, se le mostrará como Propietario de LUIS en el portal de LUIS.

Estos usuarios son los guardianes de las aplicaciones de LUIS en un entorno de producción. Deben tener acceso total a cualquiera de las funciones subyacentes y, por tanto, pueden ver todo en la aplicación y tener acceso directo para editar los cambios tanto en entornos de creación como en entornos de ejecución.

Funcionalidad

Acceso de API

• Todas las funcionalidades del rol de escritor de LUIS de Cognitive Services
• Implementar un modelo
• Eliminar una aplicación

• Todas las API disponibles para LUIS

Pasos siguientes

• Administración de recursos de Azure