Felügyelt identitások a Document Intelligence esetén

Ez a tartalom a következőre vonatkozik: v4.0 (előzetes verzió) v3.1 (GA) v3.0 (GA) v2.1 (GA)

Az Azure-erőforrások felügyelt identitásai olyan szolgáltatásnevek, amelyek Microsoft Entra-identitást és az Azure által felügyelt erőforrásokra vonatkozó specifikus engedélyeket hoznak létre:

• A felügyelt identitások hozzáférést biztosítanak minden olyan erőforráshoz, amely támogatja a Microsoft Entra-hitelesítést, beleértve a saját alkalmazásait is. A biztonsági kulcsoktól és a hitelesítési tokenektől eltérően a felügyelt identitások esetében nincs szükség arra, hogy a fejlesztők kezeljék a hitelesítő adatokat.

• Hozzáférést adhat egy Azure-erőforráshoz, és Azure-szerepkört rendelhet hozzá egy felügyelt identitáshoz az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával. A felügyelt identitások használata az Azure-ban nem jár többletköltséggel.

Fontos

• A felügyelt identitások használatával nincs szükség a hitelesítő adatok kezelésére, beleértve a közös hozzáférésű jogosultságkódok (SAS) tokenjeinek kezelését is.

• A felügyelt identitások használatával biztonságosabban nyújthat hozzáférést az adatokhoz, anélkül, hogy a kódjának hitelesítő adatokat kellene tartalmaznia.

Privát tárfiók hozzáférése

A privát Azure-tárfiókok hozzáférése és hitelesítése támogatja az Azure-erőforrások felügyelt identitását. Ha rendelkezik virtuális hálózattal (VNet) vagy tűzfallal védett Azure Storage-fiókkal, a Dokumentumintelligencia nem tud közvetlenül hozzáférni a tárfiók adataihoz. Ha azonban engedélyezve van egy felügyelt identitás, a Dokumentumintelligencia egy hozzárendelt felügyelt identitás hitelesítő adataival férhet hozzá a tárfiókhoz.

Feljegyzés

• Ha a dokumentumintelligencia-mintacímkéző eszközzel (FOTT) szeretné elemezni a tárolási adatokat, akkor telepítenie kell az eszközt a virtuális hálózat vagy a tűzfal mögött.

• A Analyze Nyugta, a Névjegykártya, a Számla, az Azonosító dokumentum és az Egyéni űrlap API-k nyers bináris tartalomként való közzétételével adatokat nyerhetnek ki egyetlen dokumentumból. Ezekben a forgatókönyvekben nincs szükség felügyelt identitás hitelesítő adataira.

Előfeltételek

A kezdéshez a következők szükségesek:

• Aktív Azure-fiók – ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.

• Dokumentumintelligencia- vagy Azure AI-szolgáltatási erőforrás az Azure Portalon. Részletes lépésekért lásd: Többszolgáltatásos erőforrás létrehozása.

• Egy Azure Blob Storage-fiók ugyanabban a régióban, mint a Dokumentumintelligencia-erőforrás. Tárolókat is létre kell hoznia a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez.

  • Ha a tárfiók tűzfal mögött található, engedélyeznie kell a következő konfigurációt:
    
    

  • A tárfiók lapján válassza a Biztonság + hálózatkezelés → Hálózatkezelés lehetőséget a bal oldali menüből.

  • A főablakban válassza a Hozzáférés engedélyezése a kijelölt hálózatokból lehetőséget.

  • A kijelölt hálózatok lapon lépjen a Kivételek kategóriára, és győződjön meg arról, hogy a Allow Azure services on the trusted services list to access this storage account jelölőnégyzet engedélyezve van.

    

• Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) rövid ismertetése az Azure Portal használatával.

Felügyelt identitás-hozzárendelések

A felügyelt identitásnak két típusa van: a rendszer által hozzárendelt és a felhasználó által hozzárendelt. A Dokumentumintelligencia jelenleg csak a rendszer által hozzárendelt felügyelt identitásokat támogatja:

• A rendszer által hozzárendelt felügyelt identitások közvetlenül egy szolgáltatáspéldányon vannak engedélyezve . Alapértelmezés szerint nincs engedélyezve; lépjen az erőforrásra, és frissítse az identitásbeállítást.

• A rendszer által hozzárendelt felügyelt identitás az erőforráshoz kötődik az életciklusa során. Ha törli az erőforrást, a felügyelt identitás is törlődik.

A következő lépésekben engedélyezünk egy rendszer által hozzárendelt felügyelt identitást, és korlátozott hozzáférést biztosítunk a Document Intelligence számára az Azure Blob Storage-fiókhoz.

Rendszer által hozzárendelt felügyelt identitás engedélyezése

Fontos

A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez Microsoft.Authorization/roleAssignments/write engedélyre van szükség, például tulajdonosra vagy felhasználói hozzáférés-rendszergazdara. Négy szinten adhat meg hatókört: felügyeleti csoport, előfizetés, erőforráscsoport vagy erőforrás.

1. Jelentkezzen be az Azure Portalra az Azure-előfizetéséhez társított fiókkal.

2. Lépjen a Document Intelligence erőforráslapjára az Azure Portalon.

3. A bal oldali sínen válassza ki az Identitást az Erőforrás-kezelés listából:

   

4. A főablakban állítsa be a rendszer által hozzárendelt Állapot lapot Be állásba.

Hozzáférés biztosítása a tárfiókhoz

A blobok olvasásához hozzáférést kell adnia a dokumentumintelligencia-fiókhoz. Most, hogy a Dokumentumintelligencia-hozzáférés engedélyezve van egy rendszer által hozzárendelt felügyelt identitással, azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) biztosíthatja a dokumentumintelligencia-hozzáférést az Azure Storage-hoz. A Storage Blob Data Reader szerepkör olvasási és listázási hozzáférést biztosít a blobtárolóhoz és az adatokhoz a dokumentumintelligencia (amelyet a rendszer által hozzárendelt felügyelt identitás jelöl).

1. Az Engedélyek területen válassza ki az Azure-szerepkör-hozzárendeléseket:

   

2. A megnyíló Azure-szerepkör-hozzárendelések lapon válassza ki előfizetését a legördülő menüből, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

   Feljegyzés

   Ha nem tud szerepkört hozzárendelni az Azure Portalon, mert a Szerepkör-hozzárendelés hozzáadása > lehetőség le van tiltva, vagy a következő engedélyhiba jelenik meg: "Nincs engedélye szerepkör-hozzárendelés hozzáadására ebben a hatókörben", ellenőrizze, hogy jelenleg olyan szerepkörrel van-e bejelentkezve felhasználóként, amely rendelkezik Microsoft.Authorization/roleAssignments/write engedélyekkel, például tulajdonosi vagy felhasználói hozzáférés-rendszergazdai engedélyekkel a tárerőforrás Tárterület hatókörében.

3. Ezután egy Storage Blob-adatolvasó szerepkört fog hozzárendelni a Dokumentumintelligencia szolgáltatás erőforrásához. Add role assignment Az előugró ablakban töltse ki a mezőket az alábbiak szerint, és válassza a Mentés lehetőséget:

   Mező	Érték
   Hatókör	Tárolás
   Előfizetés	A tárolási erőforráshoz társított előfizetés.
   Erőforrás	A tárolási erőforrás neve
   Szerepkör	Storage Blob Data Reader – olvasási hozzáférést tesz lehetővé az Azure Storage blobtárolóihoz és adataihoz.

   

4. Miután megkapta a hozzáadott szerepkör-hozzárendelést megerősítő üzenetet, frissítse a lapot a hozzáadott szerepkör-hozzárendelés megtekintéséhez.

   

5. Ha nem látja azonnal a módosítást, várjon, és próbálja meg még egyszer frissíteni a lapot. Szerepkör-hozzárendelések hozzárendelése vagy eltávolítása akár 30 percet is igénybe vehet, amíg a módosítások érvénybe lépnek.

   

Ennyi az egész! Elvégezte a rendszer által hozzárendelt felügyelt identitás engedélyezésének lépéseit. A felügyelt identitással és az Azure RBAC-vel a dokumentumintelligencia-specifikus hozzáférési jogosultságokat biztosított a tárerőforráshoz anélkül, hogy hitelesítő adatokat, például SAS-jogkivonatokat kellene kezelnie.

A Document Intelligence Studio egyéb szerepkör-hozzárendelései

Ha a Document Intelligence Studiót használja, és a tárfiókja hálózati korlátozásokkal van konfigurálva, például tűzfallal vagy virtuális hálózattal, egy másik szerepkört, a Storage Blob Data Közreműködőt kell hozzárendelni a Dokumentumintelligencia-szolgáltatáshoz. A Document Intelligence Studio megköveteli, hogy ez a szerepkör blobokat írjon a tárfiókba, amikor automatikus címkét, Emberit hajt végre a hurokban, vagy projektmegosztási/frissítési műveleteket hajt végre.

Következő lépések

Biztonságos hozzáférés konfigurálása felügyelt identitásokkal és privát végpontokkal