A dokumentumintelligencia felügyelt identitásai
Ez a tartalom a következőre vonatkozik::v4.0 (előzetes verzió)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Az Azure-erőforrások felügyelt identitásai olyan szolgáltatásnevek, amelyek Microsoft Entra-identitást és az Azure által felügyelt erőforrásokra vonatkozó specifikus engedélyeket hoznak létre:
Felügyelt identitásokkal hozzáférést biztosíthat a Microsoft Entra-hitelesítést támogató erőforrásokhoz, beleértve a saját alkalmazásait is. A biztonsági kulcsoktól és a hitelesítési jogkivonatoktól eltérően a felügyelt identitások nem igénylik a fejlesztőknek a hitelesítő adatok kezelését.
Az Azure-erőforrásokhoz való hozzáférés biztosításához rendeljen hozzá egy Azure-szerepkört egy felügyelt identitáshoz az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával.
A felügyelt identitások azure-beli használata nem jár többletköltséggel.
Fontos
A felügyelt identitások nem igénylik a hitelesítő adatok, köztük a közös hozzáférésű jogosultságkódok (SAS) jogkivonatainak kezelését.
A felügyelt identitások biztonságosabban biztosítják az adatokhoz való hozzáférést anélkül, hogy hitelesítő adatokkal kellene rendelkezniük a kódban.
Privát tárfiók hozzáférése
A privát Azure-tárfiókok hozzáférése és hitelesítése támogatja az Azure-erőforrások felügyelt identitását. Ha rendelkezik virtuális hálózattal (VNet) vagy tűzfallal védett Azure-tárfiókkal, a Dokumentumintelligencia nem tud közvetlenül hozzáférni a tárfiók adataihoz. Ha azonban engedélyezve van egy felügyelt identitás, a Dokumentumintelligencia egy hozzárendelt felügyelt identitás hitelesítő adataival férhet hozzá a tárfiókhoz.
Megjegyzés:
Ha a dokumentumintelligencia-mintacímkéző eszközzel (FOTT) szeretné elemezni a tárolási adatokat, akkor telepítenie kell az eszközt a virtuális hálózat vagy a tűzfal mögött.
Az Elemzési visszaigazolás, a Névjegykártya, a Számla, az Azonosító dokumentum és az Egyéni űrlap API-k egyetlen dokumentumból nyerhetnek ki adatokat úgy, hogy nyers bináris tartalomként küldik el a kéréseket. Ezekben a forgatókönyvekben nincs szükség felügyelt identitás hitelesítő adataira.
Előfeltételek
A kezdéshez a következők szükségesek:
Aktív Azure-fiók – ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.
Dokumentumintelligencia- vagy Azure AI-szolgáltatási erőforrás az Azure Portalon. Részletes lépésekért lásd: Többszolgáltatásos erőforrás létrehozása.
Egy Azure Blob Storage-fiók ugyanabban a régióban, mint a Dokumentumintelligencia-erőforrás. Tárolókat is létre kell hoznia a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez.
Ha a tárfiók tűzfal mögött található, engedélyeznie kell a következő konfigurációt:
A tárfiók lapján válassza a Biztonság + hálózatkezelés → Hálózatkezelés lehetőséget a bal oldali menüből.
A főablakban válassza a Hozzáférés engedélyezése a kijelölt hálózatokból lehetőséget.
A kijelölt hálózatok lapon lépjen a Kivételek kategóriára, és győződjön meg arról, hogy engedélyezve van a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz jelölőnégyzet.
Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) rövid ismertetése az Azure Portal használatával.
Felügyelt identitás-hozzárendelések
A felügyelt identitásnak két típusa van: a rendszer által hozzárendelt és a felhasználó által hozzárendelt. A Dokumentumintelligencia jelenleg csak a rendszer által hozzárendelt felügyelt identitásokat támogatja:
A rendszer által hozzárendelt felügyelt identitások közvetlenül egy szolgáltatáspéldányon vannak engedélyezve . Alapértelmezés szerint nincs engedélyezve; lépjen az erőforrásra, és frissítse az identitásbeállítást.
A rendszer által hozzárendelt felügyelt identitás az erőforráshoz kötődik az életciklusa során. Ha törli az erőforrást, a felügyelt identitás is törlődik.
A következő lépésekben engedélyezünk egy rendszer által hozzárendelt felügyelt identitást, és korlátozott hozzáférést biztosítunk a Document Intelligence számára az Azure Blob Storage-fiókhoz.
Rendszer által hozzárendelt felügyelt identitás engedélyezése
Fontos
A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez Microsoft.Authorization/roleAssignments/write engedélyre van szükség, például Tulajdonos vagy Felhasználói hozzáférés Rendszergazda istrator. Négy szinten adhat meg hatókört: felügyeleti csoport, előfizetés, erőforráscsoport vagy erőforrás.
Jelentkezzen be az Azure Portalra az Azure-előfizetéséhez társított fiókkal.
Lépjen a Document Intelligence erőforráslapjára az Azure Portalon.
A bal oldali sínen válassza ki az Identitást az Erőforrás-kezelés listából:
A főablakban állítsa be a rendszer által hozzárendelt Állapot lapot Be állásba.
Hozzáférés biztosítása a tárfiókhoz
A blobok olvasásához hozzáférést kell adnia a dokumentumintelligencia-fiókhoz. Most, hogy engedélyezte a dokumentumintelligencia használatát egy rendszer által hozzárendelt felügyelt identitással, azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) hozzáférést biztosíthat a Dokumentumintelligencia számára az Azure Storage-hoz. A Storage Blob Data Reader szerepkör olvasási és listázási hozzáférést biztosít a blobtárolóhoz és az adatokhoz a dokumentumintelligencia (amelyet a rendszer által hozzárendelt felügyelt identitás jelöl).
Az Engedélyek területen válassza ki az Azure-szerepkör-hozzárendeléseket:
A megnyíló Azure-szerepkör-hozzárendelések lapon válassza ki előfizetését a legördülő menüből, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget.
Megjegyzés:
Ha nem tud szerepkört hozzárendelni az Azure Portalon, mert a Szerepkör-hozzárendelés hozzáadása > lehetőség le van tiltva, vagy a következő engedélyhiba jelenik meg: "Nincs engedélye szerepkör-hozzárendelés hozzáadására ebben a hatókörben", ellenőrizze, hogy jelenleg microsoft.authorization/roleAssignments/write engedélyekkel (például Tulajdonos vagy Felhasználói hozzáférés Rendszergazda istrator) rendelkező szerepkörrel van-e bejelentkezve felhasználóként a tárerőforrás Tárterület hatókörében.
Ezután egy Storage Blob-adatolvasó szerepkört fog hozzárendelni a Dokumentumintelligencia szolgáltatás erőforrásához. A Szerepkör-hozzárendelés hozzáadása előugró ablakban töltse ki a mezőket az alábbiak szerint, és válassza a Mentés lehetőséget:
Mező Érték Hatókör Storage Előfizetés A tárolási erőforráshoz társított előfizetés. Erőforrás A tárolási erőforrás neve Szerepkör Storage Blob Data Reader – olvasási hozzáférést tesz lehetővé az Azure Storage blobtárolóihoz és adataihoz. Miután megkapta a Szerepkör-hozzárendelés hozzáadása megerősítést kérő üzenetet, frissítse a lapot a hozzáadott szerepkör-hozzárendelés megtekintéséhez.
Ha nem látja azonnal a módosítást, várjon, és próbálja meg még egyszer frissíteni a lapot. Szerepkör-hozzárendelések hozzárendelése vagy eltávolítása akár 30 percet is igénybe vehet, amíg a módosítások érvénybe lépnek.
Ennyi az egész! Elvégezte a rendszer által hozzárendelt felügyelt identitás engedélyezésének lépéseit. A felügyelt identitással és az Azure RBAC-vel a dokumentumintelligencia-specifikus hozzáférési jogosultságokat biztosított a tárerőforráshoz anélkül, hogy hitelesítő adatokat, például SAS-jogkivonatokat kellene kezelnie.
További szerepkör-hozzárendelés a Document Intelligence Studióhoz
Ha a Document Intelligence Studiót fogja használni, és a tárfiókja hálózati korlátozással van konfigurálva, például tűzfallal vagy virtuális hálózattal, egy további szerepkört, a Storage Blob Data Közreműködőt kell hozzárendelni a Dokumentumintelligencia-szolgáltatáshoz. A Document Intelligence Studio megköveteli, hogy ez a szerepkör blobokat írjon a tárfiókba az automatikus címkézés, az OCR-frissítés, az Emberi a hurokban vagy a Projektmegosztási műveletek végrehajtásakor.