Identidades administradas para Document Intelligence
Este contenido se aplica a:
v4.0 (versión preliminar)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Las identidades administradas para los recursos de Azure son entidades de servicio que crean una identidad de Microsoft Entra y permisos específicos para los recursos administrados de Azure:
Puede usar identidades administradas para conceder acceso a cualquier recurso que admita la autenticación de Microsoft Entra, incluidas sus propias aplicaciones. A diferencia de las claves de seguridad y los tokens de autenticación, las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales.
Para conceder acceso a un recurso de Azure, asigne un rol de Azure a una identidad administrada mediante el control de acceso basado en roles de Azure (Azure RBAC).
El uso de identidades administradas en Azure no tiene ningún costo adicional.
Importante
Las identidades administradas eliminan la necesidad de administrar las credenciales, incluidos los tokens de firma de acceso compartido (SAS).
Las identidades administradas son una manera más segura de conceder acceso a los datos sin tener credenciales en el código.
Acceso de la cuenta de almacenamiento privado
Las identidades administradas para recursos de Azure admiten el acceso y la autenticación de la cuenta de almacenamiento privado de Azure. Si tiene una cuenta de almacenamiento Azure, protegida por una red virtual (VNet) o un cortafuegos, Document Intelligence no puede acceder directamente a los datos de su cuenta de almacenamiento. Sin embargo, una vez habilitada una identidad administrada, Document Intelligence puede acceder a su cuenta de almacenamiento utilizando una credencial de identidad administrada asignada.
Nota:
Si pretende analizar sus datos de almacenamiento con la Herramienta de etiquetado de muestras de Document Intelligence (FOTT), debe implementar la herramienta detrás de su VNet o firewall.
Las API Analyze Receipt, Business Card, Invoice, ID document y Custom Form pueden extraer datos de un solo documento mediante la publicación de solicitudes como contenido binario sin formato. En estos escenarios, no hay ningún requisito para una credencial de identidad administrada.
Requisitos previos
Para empezar, necesitará lo siguiente:
Una cuenta activa de Azure: en caso de no tener una, puede crear una cuenta gratuita.
Un recurso en Azure Portel de Documento de inteligencia o servicios de Azure AI. Para ver los pasos detallados, consulteCreación de un recurso de varios servicios.
Una cuenta de almacenamiento de blobs de Azure en la misma región que el recurso de Document Intelligence. También necesita crear contenedores para almacenar y organizar los datos de los blobs en la cuenta de almacenamiento.
Si la cuenta de almacenamiento está detrás de un firewall, debe habilitar la configuración siguiente:
.En la página de la cuenta de almacenamiento, seleccione Seguridad y redes → Redes en el menú izquierdo.
En la ventana principal, seleccione Permitir acceso desde Redes seleccionadas.
En la página de redes seleccionadas, vaya a la categoría Excepciones y asegúrese de que la casilla Allow Azure services on the trusted services list to access this storage account (Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento) esté seleccionada.
Estar algo familiarizado con el control de acceso basado en roles de Azure mediante Azure Portal.
Asignaciones de identidad administrada
Hay dos tipos de identidad administrada: las asignadas por el sistema y las asignadas por el usuario. Actualmente, Document Intelligence solo admite la identidad administrada asignada por el sistema:
Una identidad administrada asignada por el sistema se habilita directamente en una instancia de servicio. No está habilitada de forma predeterminada; debe ir al recurso y actualizar la configuración de identidad.
La identidad administrada asignada por el sistema está vinculada al recurso a lo largo de su ciclo de vida. Si elimina el recurso, la identidad administrada se elimina también.
En los siguientes pasos, habilitaremos una identidad administrada asignada por el sistema y concederemos a Document Intelligence acceso limitado a su cuenta de almacenamiento blob de Azure.
Habilitación de una identidad administrada asignada por el sistema.
Importante
Para habilitar una identidad administrada asignada por el sistema, necesita permisos de Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuarios. Puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos o recurso.
Inicie sesión en Azure Portal con una cuenta asociada a su suscripción de Azure.
En Azure Portal, navegue hasta el recurso de Document Intelligence.
En el raíl izquierdo, seleccione Identidad en la lista Administración de recursos:
En la ventana principal, cambie la pestaña Estado asignado por el sistema a On.
Conceder acceso a la cuenta de almacenamiento
Debe conceder a Document Intelligence acceso a su cuenta de almacenamiento para que pueda leer blobs. Ahora que ha habilitado Document Intelligence con una identidad administrada asignada por el sistema, puede utilizar el control de acceso basado en roles de Azure (Azure RBAC) para dar a Document Intelligence acceso al almacenamiento de Azure. El rol de Lector de datos de Blob de almacenamiento da a Document Intelligence (representado por la identidad administrada asignada por el sistema) acceso de lectura y de lista al contenedor de blob y a los datos.
En Permisos, seleccione Asignaciones de roles de Azure:
En la página Asignaciones de roles de Azure que se abre, elija su suscripción en el menú desplegable y, después, seleccione + Agregar asignación de roles.
Nota:
Si no puede asignar un rol en Azure Portal porque la opción Agregar > Agregar asignación de roles está deshabilitada o experimenta este error de permisos: "no tiene permisos para agregar la asignación de roles en este ámbito", compruebe que tiene una sesión iniciada actualmente como usuario con un rol asignado que disponga de permisos Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario o Administrador de acceso de usuario en el ámbito de almacenamiento del recurso de almacenamiento.
A continuación, va a asignar un rol de Lector de datos de bloques de almacenamiento a su recurso de servicio de Document Intelligence. En la ventana emergente Agregar asignación de roles, complete los campos como se muestra a continuación y seleccione Guardar:
Campo Valor Ámbito Storage Suscripción La suscripción asociada al recurso de almacenamiento. Recurso El nombre del recurso de almacenamiento. Rol Lector de datos de blobs de almacenamiento: permite el acceso de lectura a los contenedores de blobs y a los datos de Azure Storage. 
Después de recibir el mensaje de confirmación Asignación de roles agregada, actualice la página para ver la asignación de roles agregada.
Si no ve el cambio de inmediato, espere e intente actualizar la página una vez más. Al asignar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en aplicarse.
Ya está. Ha completado los pasos para habilitar una identidad administrada asignada por el sistema. Con la identidad administrada y RBAC de Azure, otorgó derechos de acceso específicos a Document Intelligence a su recurso de almacenamiento sin tener que administrar credenciales como tokens SAS.
Asignación de roles adicional para Document Intelligence Studio
Si va a usar Document Intelligence Studio y la cuenta de almacenamiento está configurada con restricciones de red (como firewall o red virtual) debe asignarse un rol adicional (colaborador de datos de Storage Blob) al servicio Document Intelligence. Document Intelligence Studio requiere este rol para escribir blobs en la cuenta de almacenamiento al realizar operaciones de etiquetado automático, actualización de OCR, supervisión humana en ML o uso compartido de proyectos.