Az Azure AI Search használata kulcsok nélkül

Az alkalmazáskódban beállíthat egy kulcs nélküli kapcsolatot az Azure AI Search szolgáltatással, amely a Microsoft Entra-azonosítót és a szerepköröket használja a hitelesítéshez és engedélyezéshez. A legtöbb Azure-szolgáltatáshoz irányuló alkalmazáskéréseket kulcsokkal vagy kulcs nélküli kapcsolatokkal kell hitelesíteni. A fejlesztőknek szorgalmasnak kell lenniük ahhoz, hogy a kulcsok ne legyenek biztonságos helyen elérhetővé. Bárki, aki hozzáfér a kulcshoz, hitelesítheti magát a szolgáltatásban. A kulcs nélküli hitelesítés továbbfejlesztett felügyeleti és biztonsági előnyöket biztosít a fiókkulcshoz képest, mivel nincs tárolandó kulcs (vagy kapcsolati sztring).

A kulcs nélküli kapcsolatok a következő lépésekkel engedélyezve vannak:

• Konfigurálja a hitelesítést.
• Szükség szerint állítsa be a környezeti változókat.
• Azure Identity-kódtár hitelesítő adattípusának használatával hozzon létre egy Azure AI Search-ügyfélobjektumot.

Előfeltételek

A helyi fejlesztési és éles számítási feladatok esetében a következő lépéseket kell elvégezni:

• AI Search-erőforrás létrehozása
• Szerepköralapú hozzáférés engedélyezése a keresési szolgáltatásban
• Az Azure Identity ügyfélkódtárának telepítése

AI Search-erőforrás létrehozása

A cikk folytatása előtt szüksége lesz egy Azure AI Search-erőforrásra, amellyel dolgozhat. Ha nem rendelkezik erőforrással, hozza létre most az erőforrást . Engedélyezze a szerepköralapú hozzáférés-vezérlést (RBAC) az erőforráshoz.

Az Azure Identity ügyfélkódtárának telepítése

Kulcs nélküli megközelítés használatához frissítse az AI Search-kompatibilis kódot az Azure Identity ügyfélkódtárával.

.NET

Telepítse az Azure Identity ügyfélkódtárat a .NET-hez:

dotnet add package Azure.Identity

Java

Telepítse a Java-hoz készült Azure Identity-ügyfélkódtárat a következő POM-fájllal:

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

JavaScript

Telepítse a JavaScripthez készült Azure Identity-ügyfélkódtárat:

npm install --save @azure/identity

Python

Telepítse a Pythonhoz készült Azure Identity-ügyfélkódtárat:

pip install azure-identity

Forráskód frissítése a DefaultAzureCredential használatára

Az Azure Identity-kódtár DefaultAzureCredential lehetővé teszi ugyanazt a kódot a helyi fejlesztési környezetben és az Azure-felhőben. Hozzon létre egyetlen hitelesítő adatot, és szükség szerint használja újra a hitelesítő példányt a jogkivonat-gyorsítótárazás előnyeinek kihasználásához.

.NET

A .NET-ről DefaultAzureCredential további információt a .NET-hez készült Azure Identity ügyfélkódtárában talál.

using Azure;
using Azure.Search.Documents;
using Azure.Search.Documents.Indexes;
using Azure.Search.Documents.Indexes.Models;
using Azure.Search.Documents.Models;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_SEARCH_ENDPOINT");
string indexName = "my-search-index";

DefaultAzureCredential credential = new();
SearchClient searchClient = new(new Uri(endpoint), indexName, credential);
SearchIndexClient searchIndexClient = new(endpoint, credential);

Java

A Java szolgáltatással kapcsolatos DefaultAzureCredential további információkért tekintse meg a Java Azure Identity ügyfélkódtárát.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.search.documents.SearchAsyncClient;
import com.azure.search.documents.SearchClientBuilder;
import com.azure.search.documents.SearchDocument;
import com.azure.search.documents.indexes.SearchIndexAsyncClient;
import com.azure.search.documents.indexes.SearchIndexClientBuilder;

String ENDPOINT = System.getenv("AZURE_SEARCH_ENDPOINT");
String INDEX_NAME = "my-index";

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Sync SearchClient
SearchClient searchClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildClient();

// Sync IndexClient
SearchIndexClient searchIndexClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildClient();

// Async SearchClient
SearchAsyncClient searchAsyncClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildAsyncClient();

// Async IndexClient
SearchIndexAsyncClient searchIndexAsyncClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildAsyncClient();

JavaScript

További információ a DefaultAzureCredential JavaScriptről: Azure Identity ügyfélkódtár JavaScripthez.

import { DefaultAzureCredential } from "@azure/identity";
import {
  SearchClient,
  SearchIndexClient
} from "@azure/search-documents";

const AZURE_SEARCH_ENDPOINT = process.env.AZURE_SEARCH_ENDPOINT;
const index = "my-index";
const credential = new DefaultAzureCredential();

// To query and manipulate documents
const searchClient = new SearchClient(
  AZURE_SEARCH_ENDPOINT,
  index,
  credential
);

// To manage indexes and synonymmaps
const indexClient = new SearchIndexClient(
  AZURE_SEARCH_ENDPOINT, 
  credential
);

Python

A Pythonról DefaultAzureCredential további információt a Pythonhoz készült Azure Identity ügyfélkódtárában talál.

import os
from azure.search.documents import SearchClient
from azure.identity import DefaultAzureCredential, AzureAuthorityHosts

# Azure Public Cloud
audience = "https://search.windows.net"
authority = AzureAuthorityHosts.AZURE_PUBLIC_CLOUD

service_endpoint = os.environ["AZURE_SEARCH_ENDPOINT"]
index_name = os.environ["AZURE_SEARCH_INDEX_NAME"]
credential = DefaultAzureCredential(authority=authority)

search_client = SearchClient(
    endpoint=service_endpoint, 
    index=index_name, 
    credential=credential, 
    audience=audience)

search_index_client = SearchIndexClient(
    endpoint=service_endpoint, 
    credential=credential, 
    audience=audience)

Helyi fejlesztés

A szerepköröket használó helyi fejlesztés az alábbi lépéseket tartalmazza:

• Rendelje hozzá személyes identitását az adott erőforrás RBAC-szerepköreihez.
• Az Azure CLI-vel vagy az Azure PowerShell-lel való hitelesítéshez használjon olyan eszközt, mint az Azure CLI.
• Környezeti változók létrehozása az erőforráshoz.

Szerepkörök helyi fejlesztéshez

Helyi fejlesztőként az Azure-identitásnak teljes körű ellenőrzést kell végeznie az adatsík-műveletek felett. Ezek a javasolt szerepkörök:

• Keresési szolgáltatás közreműködője, objektumok létrehozása és kezelése
• Indexadat-közreműködő keresése, index betöltése
• Indexadat-olvasó keresése, index lekérdezése

Keresse meg a személyes identitását az alábbi eszközök egyikével. Használja ezt az identitást <identity-id> értékként.

Azure CLI

1. Jelentkezzen be az Azure CLI-be.

   az login
   

2. Szerezze be a személyes személyazonosságát.

   az ad signed-in-user show \
       --query id -o tsv
   

3. Rendelje hozzá a szerepköralapú hozzáférés-vezérlési (RBAC) szerepkört az erőforráscsoport identitásához.

   az role assignment create \
       --role "<role-name>" \
       --assignee "<identity-id>" \
       --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure PowerShell

1. Jelentkezzen be a PowerShell-lel.

   Connect-AzAccount
   

2. Szerezze be a személyes személyazonosságát.

   (Get-AzContext).Account.ExtendedProperties.HomeAccountId.Split('.')[0]
   

3. Rendelje hozzá a szerepköralapú hozzáférés-vezérlési (RBAC) szerepkört az erőforráscsoport identitásához.

   New-AzRoleAssignment -ObjectId "<identity-id>" -RoleDefinitionName "<role-name>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure Portalra

1. Kövesse az itt található lépéseket: keresse meg a felhasználói objektum azonosítóját az Azure Portalon.

2. Az Azure Portal szerepkör-hozzárendelési lapjának megnyitásakor található lépéseket követve.

Szükség esetén cserélje le <identity-id>a , <subscription-id>és <resource-group-name> a tényleges értékeket.

Hitelesítés helyi fejlesztéshez

Az Azure-identitás hitelesítéséhez használjon egy eszközt a helyi fejlesztési környezetben. A hitelesítés után a DefaultAzureCredential forráskódban szereplő példány megkeresi és használja a hitelesítést.

.NET

Válasszon egy eszközt a hitelesítéshez a helyi fejlesztés során.

Java

Válasszon egy eszközt a hitelesítéshez a helyi fejlesztés során.

JavaScript

Válasszon egy eszközt a hitelesítéshez a helyi fejlesztés során.

Python

Válasszon egy eszközt a hitelesítéshez a helyi fejlesztés során.

Környezeti változók konfigurálása helyi fejlesztéshez

Az Azure AI Search szolgáltatáshoz való csatlakozáshoz a kódnak ismernie kell az erőforrásvégpontot.

Hozzon létre egy környezeti változót az Azure AI Search-végponthoz.AZURE_SEARCH_ENDPOINT Ennek az URL-címnek általában a formátuma https://<YOUR-RESOURCE-NAME>.search.windows.net/van.

Éles számítási feladatok

Az éles számítási feladatok üzembe helyezése az alábbi lépéseket tartalmazza:

• Válassza ki azokat az RBAC-szerepköröket, amelyek megfelelnek a minimális jogosultság elvének.
• RBAC-szerepkörök hozzárendelése az adott erőforrás éles identitásához.
• Környezeti változók beállítása az erőforráshoz.

Szerepkörök éles számítási feladatokhoz

Az éles erőforrások létrehozásához létre kell hoznia egy felhasználó által hozzárendelt felügyelt identitást , majd hozzá kell rendelnie ezt az identitást az erőforrásokhoz a megfelelő szerepkörökkel.

Éles alkalmazás esetén a következő szerepkör javasolt:

Szerepkör neve	Azonosító
Keresési index adatolvasója	1407120a-92aa-4202-b7e9-c0e197c71c8f

Hitelesítés éles számítási feladatokhoz

Az erőforrás létrehozásához és a hitelesítés beállításához használja az alábbi Azure AI Search Bicep-sablontidentityId. A Bicep-nek szüksége van a szerepkör-azonosítóra. Az name ebben a Bicep-kódrészletben szereplő kódrészlet nem az Azure-szerepkör, hanem a Bicep-telepítésre jellemző.

// main.bicep
param environment string = 'production'
param roleGuid string = ''

module aiSearchRoleUser 'core/security/role.bicep' = {
    scope: aiSearchResourceGroup
    name: 'aiSearch-role-user'
    params: {
        principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity.properties.principalId 
        principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
        roleDefinitionId: roleGuid
    }
}

A main.bicep fájl meghívja a következő általános Bicep-kódot, hogy bármilyen szerepkört hozzon létre. Több RBAC-szerepkört is létrehozhat, például egyet a felhasználónak, egy másikat pedig éles környezetben. Ez lehetővé teszi mind a fejlesztési, mind az éles környezetek engedélyezését ugyanazon a Bicep-telepítésen belül.

// core/security/role.bicep
metadata description = 'Creates a role assignment for an identity.'
param principalId string // passed in from main.bicep

@allowed([
    'Device'
    'ForeignGroup'
    'Group'
    'ServicePrincipal'
    'User'
])
param principalType string = 'ServicePrincipal'
param roleDefinitionId string // Role ID

resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
    name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
    properties: {
        principalId: principalId
        principalType: principalType
        roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
    }
}

Környezeti változók konfigurálása éles számítási feladatokhoz

Az Azure AI Search szolgáltatáshoz való csatlakozáshoz a kódnak ismernie kell az erőforrásvégpontot és a felügyelt identitás azonosítóját.

Környezeti változók létrehozása az üzembe helyezett és kulcs nélküli Azure AI Search-erőforráshoz:

• AZURE_SEARCH_ENDPOINT: Ez az URL-cím az Azure AI Search-erőforrás hozzáférési pontja. Ennek az URL-címnek általában a formátuma https://<YOUR-RESOURCE-NAME>.search.windows.net/van.
• AZURE_CLIENT_ID: Ez a hitelesítéshez szükséges identitás.

Kapcsolódó tartalom

• Kulcs nélküli kapcsolatok fejlesztői útmutatója
• Beépített Azure-szerepkörök
• Környezeti változók beállítása