Szerepköralapú hozzáférés-vezérlés engedélyezése vagy letiltása az Azure AI Searchben

Az Azure AI Search alapértelmezés szerint kulcsalapú hitelesítést használ, de teljes mértékben támogatja a Microsoft Entra ID hitelesítést és engedélyezést minden vezérlősík- és adatsík-művelethez az Azure szerepköralapú hozzáférés-vezérlésén (RBAC) keresztül.

Mielőtt szerepköröket rendelhet az Azure AI Searchhez engedélyezett adatsík-hozzáféréshez, engedélyeznie kell a szerepköralapú hozzáférés-vezérlést a keresési szolgáltatásban. A szolgáltatásfelügyeleti szerepkörök (vezérlősík) beépítettek, és nem engedélyezhetők és nem tilthatók le.

Feljegyzés

Az adatsík a keresési szolgáltatás végpontján végzett műveletekre vonatkozik, például indexelésre vagy lekérdezésekre, vagy a Keresési szolgáltatás REST API-jaiban vagy az azzal egyenértékű Azure SDK-ügyfélkódtárakban megadott bármely más műveletre. A vezérlősík az Azure-erőforrás-kezelésre utal, például keresési szolgáltatás létrehozására vagy konfigurálására.

Előfeltételek

• Keresési szolgáltatás bármely régióban, bármilyen szinten, ingyenesen is.

• Tulajdonos, felhasználói hozzáférés-rendszergazda vagy egyéni szerepkör Microsoft.Authorization/roleAssignments/write engedélyekkel.

Szerepköralapú hozzáférés engedélyezése adatsík-műveletekhez

Konfigurálja a keresési szolgáltatást, hogy felismerjen egy engedélyezési fejlécet az OAuth2 hozzáférési jogkivonatot biztosító adatkéréseken.

Ha engedélyezi a szerepköröket az adatsíkon, a módosítás azonnal életbe lép, de várjon néhány másodpercet a szerepkörök hozzárendelése előtt.

A jogosulatlan kérések alapértelmezett hibamódja a következő http401WithBearerChallenge: . Másik lehetőségként a hibamódot http403is beállíthatja.

Azure Portal

1. Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.

2. Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

   

3. Válassza a szerepköralapú vezérlőt vagy mindkettőt , ha jelenleg kulcsokat használ, és időre van szüksége ahhoz, hogy az ügyfeleket szerepköralapú hozzáférés-vezérlésre váltsa.

   Lehetőség	Leírás
   API-kulcs	(alapértelmezett). Az engedélyezéshez API-kulcsokat igényel a kérelem fejlécén.
   Szerepköralapú hozzáférés-vezérlés	A feladat elvégzéséhez tagságra van szükség egy szerepkör-hozzárendelésben. A kérelemhez szükség van egy engedélyezési fejlécre is.
   Mindkettő	A kérések API-kulccsal vagy szerepköralapú hozzáférés-vezérléssel érvényesek, de ha mindkettőt ugyanabban a kérésben adja meg, az API-kulcsot használja a rendszer.

4. Rendszergazdaként, ha csak szerepkörökre vonatkozó megközelítést választ, rendeljen adatsík-szerepköröket a felhasználói fiókjához, hogy visszaállítsa a teljes rendszergazdai hozzáférést az Adatsík-műveletekhez az Azure Portalon. A szerepkörök közé tartozik a keresési szolgáltatás közreműködője, a keresési index adatszolgáltatója és a keresési index adatolvasója. Mindhárom szerepkörre szüksége van, ha egyenértékű hozzáférést szeretne.

   Előfordulhat, hogy a szerepkör-hozzárendelések érvénybe lépése 5-10 percet is igénybe vehet. Amíg ez nem történik meg, a következő üzenet jelenik meg az adatsík-műveletekhez használt portállapokon.

   

Azure CLI

Futtassa ezt a szkriptet a szerepkörök támogatásához:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Vagy futtassa ezt a szkriptet a kulcsok és a szerepkörök támogatásához:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

További információ: Azure AI-Search szolgáltatás kezelése az Azure CLI-vel.

Azure PowerShell

Futtassa ezt a parancsot a hitelesítési típus csak szerepkörökre való beállításához:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Vagy futtassa ezt a parancsot a kulcsok és a szerepkörök támogatásához:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

További információ: Azure AI-Search szolgáltatás kezelése a PowerShell-lel.

REST API

A Felügyeleti REST API létrehozási vagy frissítési szolgáltatásával konfigurálhatja a szolgáltatást a szerepköralapú hozzáférés-vezérléshez.

A Felügyeleti REST API-ba irányuló összes hívás hitelesítése a Microsoft Entra-azonosítón keresztül történik. A hitelesített kérelmek beállításával kapcsolatos segítségért tekintse meg az Azure AI Search REST-lel való kezelését.

1. Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítások lehetővé teszik a kulcsokat és a szerepköralapú hozzáférést is. Ha csak szerepköröket szeretne konfigurálni, olvassa el az API-kulcsok letiltása című témakört.

   A "tulajdonságok" területen állítsa az "authOptions" értéket "aadOrApiKey" értékre. Az "authOptions" beállításához a "disableLocalAuth" tulajdonságnak hamisnak kell lennie.

   Ha a hitelesítés sikertelen, állítsa be az "aadAuthFailureMode" értéket annak megadására, hogy a rendszer a 401-es értéket adja-e vissza a 403 helyett. Az érvényes értékek a "http401WithBearerChallenge" vagy a "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Szerepköralapú hozzáférés-vezérlés letiltása

Az adatsík-műveletek szerepköralapú hozzáférés-vezérlését letilthatja, és ehelyett kulcsalapú hitelesítést használhat. Ezt egy tesztfolyamat részeként teheti meg, például kizárhatja az engedélyekkel kapcsolatos problémákat.

A szerepköralapú hozzáférés engedélyezéséhez fordítsa vissza a korábban követett lépéseket.

1. Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.

2. Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

3. Válassza ki az API-kulcsokat.

API-kulcs hitelesítésének letiltása

A kulcshozzáférés vagy a helyi hitelesítés letiltható a szolgáltatásban, ha kizárólag a beépített szerepköröket és a Microsoft Entra-hitelesítést használja. Az API-kulcsok letiltása miatt a keresési szolgáltatás elutasítja az összes olyan adattal kapcsolatos kérést, amely egy API-kulcsot ad át a fejlécben.

A rendszergazdai API-kulcsok letilthatók, de nem törölhetők. A lekérdezési API-kulcsok törölhetők.

A biztonsági funkciók letiltásához tulajdonosi vagy közreműködői engedélyek szükségesek.

Azure Portal

1. Az Azure Portalon keresse meg a keresési szolgáltatást.

2. A bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

3. Válassza a szerepköralapú hozzáférés-vezérlést.

A módosítás azonnal érvényes, de várjon néhány másodpercet a tesztelés előtt. Feltéve, hogy rendelkezik engedéllyel a szerepkörök tulajdonosi, szolgáltatásadminisztrátori vagy társminisztrátori szerepkörök hozzárendelésére, a portálfunkciókkal tesztelheti a szerepköralapú hozzáférést.

Azure CLI

A kulcsalapú hitelesítés letiltásához állítsa a -disableLocalAuth értéket igaz értékre. Ez ugyanaz a szintaxis, mint az előző szakaszban bemutatott "Csak szerepkörök engedélyezése" szkript.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

A kulcshitelesítés újbóli engedélyezéséhez állítsa a -disableLocalAuth beállítást hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

További információ: Azure AI-Search szolgáltatás kezelése az Azure CLI-vel.

Azure PowerShell

A kulcsalapú hitelesítés letiltásához állítsa a DisableLocalAuth értéket igaz értékre. Ez ugyanaz a szintaxis, mint az előző szakaszban bemutatott "Csak szerepkörök engedélyezése" szkript.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

A kulcshitelesítés újbóli engedélyezéséhez állítsa a DisableLocalAuth beállítást hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

További információ: Azure AI-Search szolgáltatás kezelése a PowerShell-lel.

REST API

A kulcsalapú hitelesítés letiltásához állítsa a "disableLocalAuth" értéket igazra.

1. Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítás null értékre állítja az "authOptions" értéket.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

A kulcshitelesítés újbóli engedélyezéséhez állítsa a "disableLocalAuth" értéket hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

A szerepköralapú hozzáférés-vezérlés hatásai

• A szerepköralapú hozzáférés-vezérlés növelheti egyes kérések késését. A szolgáltatáserőforrás (index, indexelő, képességkészletek és így tovább) és a szolgáltatásnév minden egyedi kombinációja engedélyezési ellenőrzést indít el. Ezek az engedélyezési ellenőrzések kérelemenként legfeljebb 200 ezredmásodperc késést adhatnak hozzá.

• Ritka esetekben, amikor a kérések számos különböző szolgáltatásnévből származnak, amelyek mindegyike különböző szolgáltatáserőforrásokat (indexeket, indexelőket stb.) céloz meg, az engedélyezési ellenőrzések szabályozást eredményezhetnek. A szabályozás csak akkor történne, ha a keresési szolgáltatás erőforrásának és a szolgáltatásnévnek több száz egyedi kombinációját használnák egy másodpercen belül.

Következő lépések

Szerepkörök beállítása keresési szolgáltatáshoz való hozzáféréshez