Szerepköralapú hozzáférés-vezérlés engedélyezése vagy letiltása az Azure AI Searchben

Cikk
06/20/2024

Mielőtt szerepköröket rendelhet az Azure AI Searchhez való engedélyezett hozzáféréshez, engedélyezze a szerepköralapú hozzáférés-vezérlést a keresési szolgáltatásban.

Az adatsík-műveletek szerepköralapú elérése nem kötelező, de biztonságosabb megoldásként ajánlott. A másik lehetőség a kulcsalapú hitelesítés, amely az alapértelmezett.

A szolgáltatásfelügyeleti szerepkörök (vezérlősík) beépítettek, és nem engedélyezhetők és nem tilthatók le.

Feljegyzés

Az adatsík a keresési szolgáltatás végpontján végzett műveletekre utal, például indexelésre vagy lekérdezésekre, vagy a Search REST API-ban vagy az azzal egyenértékű Azure SDK-ügyfélkódtárakban megadott bármely más műveletre.

Előfeltételek

Keresési szolgáltatás bármely régióban, bármilyen szinten, ingyenesen is.
Tulajdonos, felhasználói hozzáférés-rendszergazda vagy egyéni szerepkör Microsoft.Authorization/roleAssignments/write engedélyekkel.

Szerepköralapú hozzáférés engedélyezése adatsík-műveletekhez

Konfigurálja a keresési szolgáltatást, hogy felismerjen egy engedélyezési fejlécet az OAuth2 hozzáférési jogkivonatot biztosító adatkéréseken.

Ha engedélyezi a szerepköröket az adatsíkon, a módosítás azonnal életbe lép, de várjon néhány másodpercet a szerepkörök hozzárendelése előtt.

A jogosulatlan kérések alapértelmezett hibamódja a következő http401WithBearerChallenge: . Másik lehetőségként a hibamódot http403is beállíthatja.

Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.
Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

Válassza a szerepköralapú vezérlőt vagy mindkettőt , ha jelenleg kulcsokat használ, és időre van szüksége ahhoz, hogy az ügyfeleket szerepköralapú hozzáférés-vezérlésre váltsa.

Lehetőség	Leírás
API-kulcs	(alapértelmezett). Az engedélyezéshez API-kulcsokat igényel a kérelem fejlécén.
Szerepköralapú hozzáférés-vezérlés	A feladat elvégzéséhez tagságra van szükség egy szerepkör-hozzárendelésben. A kérelemhez szükség van egy engedélyezési fejlécre is.
Mindkettő	A kérések API-kulccsal vagy szerepköralapú hozzáférés-vezérléssel érvényesek, de ha mindkettőt ugyanabban a kérésben adja meg, az API-kulcsot használja a rendszer.

Rendszergazdaként, ha csak szerepkörökre vonatkozó megközelítést választ, rendeljen adatsík-szerepköröket a felhasználói fiókjához, hogy visszaállítsa a teljes rendszergazdai hozzáférést az Adatsík-műveletekhez az Azure Portalon. A szerepkörök közé tartozik a keresési szolgáltatás közreműködője, a keresési index adatszolgáltatója és a keresési index adatolvasója. Mindhárom szerepkörre szüksége van, ha egyenértékű hozzáférést szeretne.

Előfordulhat, hogy a szerepkör-hozzárendelések érvénybe lépése 5-10 percet is igénybe vehet. Amíg ez nem történik meg, a következő üzenet jelenik meg az adatsík-műveletekhez használt portállapokon.

Futtassa ezt a szkriptet a szerepkörök támogatásához:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Vagy futtassa ezt a szkriptet a kulcsok és a szerepkörök támogatásához:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

További információ: Azure AI-Search szolgáltatás kezelése az Azure CLI-vel.

Futtassa ezt a parancsot a hitelesítési típus csak szerepkörökre való beállításához:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Vagy futtassa ezt a parancsot a kulcsok és a szerepkörök támogatásához:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

További információ: Azure AI-Search szolgáltatás kezelése a PowerShell-lel.

A Felügyeleti REST API létrehozási vagy frissítési szolgáltatásával konfigurálhatja a szolgáltatást a szerepköralapú hozzáférés-vezérléshez.

A Felügyeleti REST API-ba irányuló összes hívás hitelesítése a Microsoft Entra-azonosítón keresztül történik. A hitelesített kérelmek beállításával kapcsolatos segítségért tekintse meg az Azure AI Search REST-lel való kezelését.

Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01

A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítások lehetővé teszik a kulcsokat és a szerepköralapú hozzáférést is. Ha csak szerepköröket szeretne konfigurálni, olvassa el az API-kulcsok letiltása című témakört.

A "tulajdonságok" területen állítsa az "authOptions" értéket "aadOrApiKey" értékre. Az "authOptions" beállításához a "disableLocalAuth" tulajdonságnak hamisnak kell lennie.

Ha a hitelesítés sikertelen, állítsa be az "aadAuthFailureMode" értéket annak megadására, hogy a rendszer a 401-es értéket adja-e vissza a 403 helyett. Az érvényes értékek a "http401WithBearerChallenge" vagy a "http403".
```
PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
{
    "properties": {
        "disableLocalAuth": false,
        "authOptions": {
            "aadOrApiKey": {
                "aadAuthFailureMode": "http401WithBearerChallenge"
            }
        }
    }
}
```

Szerepköralapú hozzáférés-vezérlés letiltása

Az adatsík-műveletek szerepköralapú hozzáférés-vezérlését letilthatja, és ehelyett kulcsalapú hitelesítést használhat. Ezt egy tesztfolyamat részeként teheti meg, például kizárhatja az engedélyekkel kapcsolatos problémákat.

A szerepköralapú hozzáférés engedélyezéséhez fordítsa vissza a korábban követett lépéseket.

Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.
Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.
Válassza ki az API-kulcsokat.

API-kulcs hitelesítésének letiltása

A kulcshozzáférés vagy a helyi hitelesítés letiltható a szolgáltatásban, ha kizárólag a beépített szerepköröket és a Microsoft Entra-hitelesítést használja. Az API-kulcsok letiltása miatt a keresési szolgáltatás elutasítja az összes olyan adattal kapcsolatos kérést, amely egy API-kulcsot ad át a fejlécben.

A rendszergazdai API-kulcsok letilthatók, de nem törölhetők. A lekérdezési API-kulcsok törölhetők.

A biztonsági funkciók letiltásához tulajdonosi vagy közreműködői engedélyek szükségesek.

Az Azure Portalon keresse meg a keresési szolgáltatást.
A bal oldali navigációs panelen válassza a Kulcsok lehetőséget.
Válassza a szerepköralapú hozzáférés-vezérlést.

A módosítás azonnal érvényes, de várjon néhány másodpercet a tesztelés előtt. Feltéve, hogy rendelkezik engedéllyel a szerepkörök tulajdonosi, szolgáltatásadminisztrátori vagy társminisztrátori szerepkörök hozzárendelésére, a portálfunkciókkal tesztelheti a szerepköralapú hozzáférést.

A kulcsalapú hitelesítés letiltásához állítsa a -disableLocalAuth értéket igaz értékre. Ez ugyanaz a szintaxis, mint az előző szakaszban bemutatott "Csak szerepkörök engedélyezése" szkript.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

A kulcshitelesítés újbóli engedélyezéséhez állítsa a -disableLocalAuth beállítást hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

További információ: Azure AI-Search szolgáltatás kezelése az Azure CLI-vel.

A kulcsalapú hitelesítés letiltásához állítsa a DisableLocalAuth értéket igaz értékre. Ez ugyanaz a szintaxis, mint az előző szakaszban bemutatott "Csak szerepkörök engedélyezése" szkript.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

A kulcshitelesítés újbóli engedélyezéséhez állítsa a DisableLocalAuth beállítást hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

További információ: Azure AI-Search szolgáltatás kezelése a PowerShell-lel.

A kulcsalapú hitelesítés letiltásához állítsa a "disableLocalAuth" értéket igazra.

Kérje le a szolgáltatásbeállításokat, hogy áttekinthesse az aktuális konfigurációt.

GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01

A szolgáltatáskonfiguráció frissítéséhez használja a PATCH-et. Az alábbi módosítás null értékre állítja az "authOptions" értéket.

PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
{
    "properties": {
        "disableLocalAuth": true
    }
}

A kulcshitelesítés újbóli engedélyezéséhez állítsa a "disableLocalAuth" értéket hamisra. A keresési szolgáltatás automatikusan folytatja az API-kulcsok elfogadását a kérelemben (feltéve, hogy meg vannak adva).

Korlátozások

A szerepköralapú hozzáférés-vezérlés növelheti egyes kérések késését. A szolgáltatáserőforrás (index, indexelő stb.) és a szolgáltatásnév minden egyedi kombinációja engedélyezési ellenőrzést indít el. Ezek az engedélyezési ellenőrzések kérelemenként legfeljebb 200 ezredmásodperc késést adhatnak hozzá.
Ritka esetekben, amikor a kérések számos különböző szolgáltatásnévből származnak, amelyek mindegyike különböző szolgáltatáserőforrásokat (indexeket, indexelőket stb.) céloz meg, az engedélyezési ellenőrzések szabályozást eredményezhetnek. A szabályozás csak akkor történne, ha a keresési szolgáltatás erőforrásának és a szolgáltatásnévnek több száz egyedi kombinációját használnák egy másodpercen belül.

Következő lépések

Szerepkörök beállítása keresési szolgáltatáshoz való hozzáféréshez

Megosztás a következőn keresztül: