Koneksi ke Azure AI Search menggunakan kontrol akses berbasis peran Azure (Azure RBAC)

Azure menyediakan sistem otorisasi kontrol akses berbasis peran global untuk semua layanan yang berjalan di platform. Di Azure AI Search, Anda dapat menggunakan peran Azure untuk:

• Operasi sarana kontrol (tugas administrasi layanan melalui Azure Resource Manager).

• Operasi sarana data, seperti membuat, memuat, dan mengkueri indeks.

Akses per pengguna melalui hasil pencarian (terkadang disebut sebagai keamanan tingkat baris atau keamanan tingkat dokumen) tidak didukung. Sebagai solusinya, buat filter keamanan yang memangkas hasil berdasarkan identitas pengguna, menghapus dokumen yang tidak boleh diakses pemohon.

Catatan

Di Azure AI Search, "sarana kontrol" mengacu pada operasi yang didukung di REST API Manajemen atau pustaka klien yang setara. "Data plane" mengacu pada operasi terhadap titik akhir layanan pencarian, seperti pengindeks atau kueri, atau operasi lainnya yang ditentukan dalam REST API Pencarian atau pustaka klien yang setara.

Peran bawaan yang digunakan dalam Pencarian

Peran berikut dibangun. Jika peran ini tidak mencukup, buat peran kustom.

Peran	Pesawat	Deskripsi
Pemilik	Kontrol & Data	Akses penuh ke sarana kontrol sumber daya pencarian, termasuk kemampuan untuk menetapkan peran Azure. Hanya peran Pemilik yang dapat mengaktifkan atau menonaktifkan opsi autentikasi atau mengelola peran untuk pengguna lain. Admin langganan menjadi anggota secara default. Pada bidang data, peran ini memiliki akses yang sama dengan peran Kontributor Layanan Pencarian. Ini termasuk akses ke semua tindakan bidang data kecuali kemampuan untuk mengkueri atau mengindeks dokumen.
Kontributor	Kontrol & Data	Tingkat akses sarana kontrol yang sama dengan Pemilik, dikurangi kemampuan untuk menetapkan peran atau mengubah opsi autentikasi. Pada bidang data, peran ini memiliki akses yang sama dengan peran Kontributor Layanan Pencarian. Ini termasuk akses ke semua tindakan bidang data kecuali kemampuan untuk mengkueri atau mengindeks dokumen.
Pembaca	Kontrol & Data	Membaca akses di seluruh layanan, termasuk metrik pencarian, metrik konten (penyimpanan yang digunakan, jumlah objek), dan definisi objek sumber daya data plane (indeks, pengindeks, dan sebagainya). Namun, itu tidak dapat membaca kunci API atau membaca konten dalam indeks.
Kontributor Layanan Pencarian	Kontrol & Data	Akses baca-tulis ke definisi objek (indeks, peta sinonim, pengindeks, sumber data, dan set keterampilan). Lihat Microsoft.Search/searchServices/* untuk daftar izin. Peran ini tidak dapat mengakses konten dalam indeks, sehingga tidak ada kueri atau pengindeksan, tetapi dapat membuat, menghapus, dan mencantumkan indeks, mengembalikan definisi dan statistik indeks, dan menguji penganalisis. Peran ini untuk administrator layanan pencarian yang perlu mengelola layanan pencarian dan objeknya, tetapi tanpa akses konten.
Kontributor Data Indeks Pencarian	Data	Akses baca-tulis ke konten di semua indeks pada layanan pencarian. Peran ini untuk pengembang atau pemilik indeks yang perlu mengimpor, me-refresh, atau mengkueri koleksi dokumen indeks.
Pembaca Data Indeks Pencarian	Data	Akses baca-saja ke semua indeks pencarian pada layanan pencarian. Peran ini untuk aplikasi dan pengguna yang menjalankan kueri.

Catatan

Jika Anda menonaktifkan akses berbasis peran Azure, peran bawaan untuk sarana kontrol (Pemilik, Kontributor, Pembaca) terus tersedia. Menonaktifkan Azure RBAC hanya menghapus izin terkait data yang terkait dengan peran tersebut. Dalam skenario disabled-RBAC, Kontributor Layanan Pencarian setara dengan Kontributor sarana kontrol.

Batasan

• Adopsi kontrol akses berbasis peran dapat meningkatkan latensi beberapa permintaan. Setiap kombinasi unik sumber daya layanan (indeks, pengindeks, dll.) dan perwakilan layanan yang digunakan pada permintaan memicu pemeriksaan otorisasi. Pemeriksaan otorisasi ini dapat menambahkan hingga 200 milidetik latensi ke permintaan.

• Dalam kasus yang jarang terjadi di mana permintaan berasal dari sejumlah besar perwakilan layanan yang berbeda, semua menargetkan sumber daya layanan yang berbeda (indeks, pengindeks, dll.), dimungkinkan bagi pemeriksaan otorisasi untuk menghasilkan pembatasan. Pembatasan hanya akan terjadi jika ratusan kombinasi unik sumber daya layanan pencarian dan perwakilan layanan digunakan dalam hitungan detik.

Mengonfigurasi akses berbasis peran untuk bidang data

Berlaku pada: Kontributor Data Indeks Pencarian, Pembaca Data Indeks, Kontributor Layanan Pencarian

Pada langkah ini, konfigurasikan layanan pencarian Anda untuk mengenali header otorisasi pada permintaan data yang menyediakan token akses OAuth2.

Portal Azure

1. Masuk ke portal Azure dan buka halaman layanan pencarian.

2. Di panel navigasi sebelah kiri, pilih Kunci.

   

3. Pilih opsi kontrol akses API. Kami merekomendasikan Keduanya jika Anda menginginkan fleksibilitas atau perlu memigrasikan aplikasi.

   Opsi	Deskripsi
   Kunci API	(default). Memerlukan kunci API admin atau kueri pada header permintaan untuk otorisasi. Tidak ada peran yang digunakan.
   Kontrol Akses Berbasis Peran	Membutuhkan keanggotaan dalam penetapan peran untuk menyelesaikan tugas, yang dijelaskan pada langkah berikutnya. Hal ini juga memerlukan header otorisasi.
   Keduanya	Permintaan valid menggunakan kunci API atau kontrol akses berbasis peran.

Perubahan segera efektif, tetapi tunggu beberapa detik sebelum pengujian.

Semua panggilan jaringan untuk operasi layanan pencarian dan konten mematuhi opsi yang Anda pilih: Kunci API, token pembawa, atau salah satu jika Anda memilih Keduanya.

Saat Anda mengaktifkan kontrol akses berbasis peran di portal, mode kegagalan adalah "http401WithBearerChallenge" jika otorisasi gagal.

REST API

Gunakan Management REST API Create atau Update Service untuk mengonfigurasi layanan Anda untuk kontrol akses berbasis peran.

Semua panggilan ke Rest API Manajemen diautentikasi melalui ID Microsoft Entra, dengan izin Kontributor atau Pemilik. Untuk bantuan dalam menyiapkan permintaan terautentikasi, lihat Mengelola Pencarian Azure AI menggunakan REST.

1. Dapatkan pengaturan layanan sehingga Anda dapat meninjau konfigurasi saat ini.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Gunakan PATCH untuk memperbarui konfigurasi layanan. Modifikasi berikut memungkinkan kunci dan akses berbasis peran. Jika Anda menginginkan konfigurasi khusus peran, lihat Menonaktifkan kunci API.

   Di bagian "properti", atur "authOptions" ke "aadOrApiKey". Properti "disableLocalAuth" harus false untuk mengatur "authOptions".

   Secara opsional, atur "aadAuthFailureMode" untuk menentukan apakah 401 dikembalikan alih-alih 403 saat autentikasi gagal. Nilai yang valid adalah "http401WithBearerChallenge" atau "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

3. Ikuti instruksi di langkah berikutnya untuk menetapkan peran untuk operasi data plane.

Menetapkan peran

Penetapan peran bersifat kumulatif dan pervasif di semua alat dan pustaka klien. Anda dapat menetapkan peran menggunakan salah satu pendekatan yang didukung yang dijelaskan dalam dokumentasi kontrol akses berbasis peran Azure.

Anda harus menjadi Pemilik atau memiliki izin Microsoft.Authorization/roleAssignments/write untuk mengelola penetapan peran.

Portal Azure

Penetapan peran di portal berskala layanan. Jika Anda ingin memberikan izin ke satu indeks, gunakan PowerShell atau Azure CLI sebagai gantinya.

1. Masuk ke portal Azure.

2. Buka layanan pencarian Anda.

3. Pilih Kontrol akses (IAM) di panel navigasi kiri.

4. Pilih + Tambahkan>Tambahkan penetapan peran.

   

5. Pilih peran yang berlaku:

   • Pemilik
   • Kontributor
   • Pembaca
   • Kontributor Layanan Pencarian
   • Kontributor Data Indeks Pencarian
   • Pembaca Data Indeks Pencarian

6. Pada tab Anggota , pilih identitas pengguna atau grup Microsoft Entra.

7. Di tab Tinjau + tetapkan, pilih Tinjau + tetapkan untuk menetapkan peran.

PowerShell

Saat menggunakan PowerShell untuk menetapkan peran, panggil New-AzRoleAssignment, yang menyediakan nama pengguna atau grup Azure dan cakupan penetapan.

Sebelum memulai, pastikan untuk memuat modul Az dan AzureAD dan menyambungkan ke Azure:

Import-Module -Name Az
Import-Module -Name AzureAD
Connect-AzAccount

Contoh ini membuat penetapan peran yang dilingkup ke layanan pencarian:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

Contoh ini membuat penetapan peran yang dilingkup ke indeks tertentu:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"

Ingat bahwa Anda hanya dapat mencakupkan akses ke sumber daya tingkat atas, seperti indeks, peta sinonim, pengindeks, sumber data, dan set keterampilan. Anda tidak dapat mengontrol akses ke dokumen pencarian (konten indeks) dengan peran Azure.

Menguji penetapan peran

Gunakan klien untuk menguji penetapan peran. Ingatlah bahwa peran adalah peran kumulatif dan diwariskan yang dilingkup ke grup langganan atau sumber daya tidak dapat dihapus atau ditolak di tingkat sumber daya (layanan pencarian).

Pastikan Anda mendaftarkan aplikasi klien dengan ID Microsoft Entra dan memiliki penetapan peran sebelum menguji akses.

Portal Azure

1. Masuk ke portal Azure.

2. Buka layanan pencarian Anda.

3. Di halaman Ringkasan, pilih Indeks:

   • Kontributor dapat menampilkan dan membuat objek apa pun, tetapi tidak dapat mengkueri indeks menggunakan Search Explorer.

   • Pembaca Data Indeks Pencarian dapat menggunakan Search Explorer untuk mengkueri indeks. Anda dapat menggunakan versi API apa pun untuk memeriksa akses. Anda seharusnya dapat mengirim kueri dan melihat hasil, tetapi Anda seharusnya tidak dapat melihat definisi indeks.

   • Kontributor Data Indeks Pencarian dapat memilih Indeks Baru untuk membuat indeks baru. Menyimpan indeks baru memverifikasi akses tulis pada layanan.

REST API

Pendekatan ini mengasumsikan Visual Studio Code dengan ekstensi klien REST.

1. Buka shell perintah untuk Azure CLI dan masuk ke langganan Azure Anda.

   az login
   

2. Dapatkan ID penyewa dan ID langganan Anda. ID digunakan sebagai variabel di langkah mendatang.

   az account show
   

3. Mendapatkan token akses.

   az account get-access-token --query accessToken --output tsv
   

4. Dalam file teks baru di Visual Studio Code, tempelkan dalam variabel ini:

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

5. Tempelkan lalu kirim permintaan yang menggunakan variabel yang telah Anda tentukan. Untuk peran "Pembaca Data Indeks Pencarian", Anda bisa mengirim kueri. Anda dapat menggunakan versi API yang didukung.

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

Untuk informasi selengkapnya tentang cara memperoleh token untuk lingkungan tertentu, lihat Mengelola azure AI layanan Pencarian dengan REST API dan pustaka autentikasi platform identitas Microsoft.

.NET

1. Gunakan paket Azure.Search.Documents.

2. Gunakan Azure.Identity untuk .NET untuk autentikasi token. Microsoft merekomendasikan DefaultAzureCredential() untuk sebagian besar skenario.

   • Saat mendapatkan token OAuth, cakupannya adalah "https://search.azure.com/.default". SDK mengharuskan audiens menjadi "https://search.azure.com". ".default" adalah konvensi Microsoft Entra.

   • SDK memvalidasi bahwa pengguna memiliki cakupan "user_impersonation", yang harus diberikan oleh aplikasi Anda, tetapi SDK itu sendiri hanya meminta "https://search.azure.com/.default".

3. Berikut adalah contoh koneksi klien menggunakan DefaultAzureCredential().

   // Create a SearchIndexClient to send create/delete index commands
   SearchIndexClient adminClient = new SearchIndexClient(serviceEndpoint, new DefaultAzureCredential());
   
   // Create a SearchClient to load and query documents
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, new DefaultAzureCredential());
   

4. Berikut adalah contoh lain menggunakan kredensial rahasia klien:

   var tokenCredential =  new ClientSecretCredential(aadTenantId, aadClientId, aadSecret);
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, tokenCredential);
   

Python

1. Gunakan azure.search.documents (Azure SDK for Python).

2. Gunakan Azure.Identity untuk Python untuk autentikasi token.

3. Gunakan DefaultAzureCredential jika klien Python adalah aplikasi yang menjalankan sisi server. Aktifkan autentikasi interaktif jika aplikasi berjalan di browser.

4. Berikut contohnya:

   from azure.search.documents import SearchClient
   from azure.identity import DefaultAzureCredential
   
   credential = DefaultAzureCredential()
   endpoint = "https://<mysearch>.search.windows.net"
   index_name = "myindex"
   client = SearchClient(endpoint=endpoint, index_name=index_name, credential=credential)
   

JavaScript

1. Gunakan @azure/search-documents (Azure SDK untuk JavaScript), versi 11.3.

2. Gunakan Azure.Identity untuk JavaScript untuk autentikasi token.

3. Jika Anda menggunakan React, gunakan InteractiveBrowserCredential untuk autentikasi Microsoft Entra ke Pencarian. Lihat Kapan menggunakan @azure/identity untuk detailnya.

Java

1. Gunakan azure-search-documents (Azure SDK for Java).

2. Gunakan Azure.Identity untuk Java untuk autentikasi token.

3. Microsoft merekomendasikan DefaultAzureCredential untuk aplikasi yang berjalan di Azure.

Uji sebagai pengguna saat ini

Jika Anda sudah menjadi Kontributor atau Pemilik layanan pencarian, Anda dapat menyajikan token pembawa untuk identitas pengguna Anda untuk autentikasi ke Azure AI Search.

1. Dapatkan token pembawa untuk pengguna saat ini menggunakan Azure CLI:

   az account get-access-token --scope https://search.azure.com/.default
   

   Atau dengan menggunakan PowerShell:

   Get-AzAccessToken -ResourceUrl "https://graph.microsoft.com/"
   

2. Dalam file teks baru di Visual Studio Code, tempelkan dalam variabel ini:

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

3. Tempelkan lalu kirim permintaan untuk mengonfirmasi akses. Berikut adalah salah satu yang mengkueri indeks hotel-quickstart

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

Memberikan akses ke satu indeks

Dalam beberapa skenario, Anda mungkin ingin membatasi akses aplikasi ke satu sumber daya, seperti indeks.

Portal saat ini tidak mendukung penetapan peran pada tingkat granularitas ini, tetapi dapat dilakukan dengan PowerShell atau Azure CLI.

Di PowerShell, gunakan New-AzRoleAssignment, memberikan nama pengguna atau grup Azure, dan cakupan penugasan.

1. Muat modul Azure dan AzureAD dan sambungkan ke akun Azure Anda:

   Import-Module -Name Az
   Import-Module -Name AzureAD
   Connect-AzAccount
   

2. Tambahkan penetapan peran yang terlingkup ke indeks individual:

   New-AzRoleAssignment -ObjectId <objectId> `
       -RoleDefinitionName "Search Index Data Contributor" `
       -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"
   

Membuat peran kustom

Jika peran bawaan tidak menyediakan kombinasi izin yang tepat, Anda dapat membuat peran kustom untuk mendukung operasi yang Anda butuhkan

Contoh ini mengkloning Pembaca Data Indeks Pencarian lalu menambahkan kemampuan untuk mencantumkan indeks berdasarkan nama. Biasanya, mencantumkan indeks pada layanan pencarian dianggap sebagai hak administratif.

Portal Azure

Langkah-langkah ini berasal dari Membuat atau memperbarui peran kustom Azure menggunakan portal Azure. Kloning dari peran yang ada didukung di halaman layanan pencarian.

Langkah-langkah ini membuat peran kustom yang menambah hak kueri pencarian untuk menyertakan daftar indeks menurut nama. Biasanya, mencantumkan indeks dianggap sebagai fungsi admin.

1. Di portal Azure, navigasikan ke layanan pencarian Anda.

2. Di panel navigasi kiri, pilih Kontrol Akses (IAM).

3. Di bilah tindakan, pilih Peran.

4. Klik kanan Pembaca Data Indeks Pencarian (atau peran lain) dan pilih Kloning untuk membuka wizard Buat peran kustom.

5. Pada tab Dasar, berikan nama untuk peran kustom, seperti "Search Index Data Explorer", lalu pilih Berikutnya.

6. Pada tab Izin, pilih Tambahkan izin.

7. Pada tab Tambahkan izin, cari lalu pilih petak peta Microsoft Search .

8. Atur izin untuk peran kustom Anda. Di bagian atas halaman, menggunakan pilihan Tindakan default:

   • Di bawah Microsoft.Search/operations, pilih Baca : Cantumkan semua operasi yang tersedia.
   • Di bawah Microsoft.Search/searchServices/indexes, pilih Baca : Baca Indeks.

9. Pada halaman yang sama, beralihlah ke Tindakan data dan di bawah Microsoft.Search/searchServices/indexes/documents, pilih Baca : Baca Dokumen.

   Definisi JSON terlihat seperti contoh berikut:

   {
    "properties": {
        "roleName": "search index data explorer",
        "description": "",
        "assignableScopes": [
            "/subscriptions/a5b1ca8b-bab3-4c26-aebe-4cf7ec4791a0/resourceGroups/heidist-free-search-svc/providers/Microsoft.Search/searchServices/demo-search-svc"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Search/operations/read",
                    "Microsoft.Search/searchServices/indexes/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Search/searchServices/indexes/documents/read"
                ],
                "notDataActions": []
            }
        ]
      }
    }
   

10. Pilih Tinjau + buat untuk membuat peran. Sekarang Anda dapat menetapkan pengguna dan grup ke peran tersebut.

Azure PowerShell

Contoh PowerShell memperlihatkan sintaks JSON untuk membuat peran kustom yang merupakan kloning Pembaca Data Indeks Pencarian, tetapi dengan kemampuan untuk mencantumkan semua indeks berdasarkan nama.

1. Tinjau daftar izin atom untuk menentukan izin mana yang Anda butuhkan. Untuk contoh ini, Anda memerlukan hal berikut:

   "Microsoft.Search/operations/read",
   "Microsoft.Search/searchServices/read",
   "Microsoft.Search/searchServices/indexes/read"
   

2. Siapkan sesi PowerShell untuk membuat peran kustom. Untuk instruksi mendetail, lihat Azure PowerShell

3. Berikan definisi peran sebagai dokumen JSON. Contoh berikut menunjukkan sintaks untuk membuat peran kustom dengan PowerShell.

{
  "Name": "Search Index Data Explorer",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "List all indexes on the service and query them.",
  "Actions": [
      "Microsoft.Search/operations/read",
      "Microsoft.Search/searchServices/read"
  ],
  "NotActions": [],
  "DataActions": [
      "Microsoft.Search/searchServices/indexes/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}"
  ]
}

Catatan

Jika cakupan yang dapat ditetapkan berada di tingkat indeks, tindakan data harus "Microsoft.Search/searchServices/indexes/documents/read".

REST API

1. Tinjau daftar izin atom untuk menentukan izin mana yang Anda butuhkan.

2. Lihat Membuat atau memperbarui peran kustom Azure menggunakan REST API untuk langkah-langkahnya.

3. Kloning atau buat peran, atau gunakan JSON untuk menentukan peran kustom (lihat tab PowerShell untuk sintaks JSON).

Azure CLI

1. Tinjau daftar izin atom untuk menentukan izin mana yang Anda butuhkan.

2. Lihat Membuat atau memperbarui peran kustom Azure menggunakan Azure CLI untuk langkah-langkahnya.

3. Kloning atau buat peran, atau gunakan JSON untuk menentukan peran kustom (lihat tab PowerShell untuk sintaks JSON).

Menonaktifkan autentikasi kunci API

Akses kunci, atau autentikasi lokal, dapat dinonaktifkan pada layanan Anda jika Anda menggunakan peran Kontributor Layanan Pencarian, Kontributor Data Indeks Pencarian, dan Pembaca Data Indeks Pencarian dan autentikasi Microsoft Entra. Menonaktifkan kunci API menyebabkan layanan pencarian menolak semua permintaan terkait data yang meneruskan kunci API di header.

Catatan

Kunci API admin hanya dapat dinonaktifkan, bukan dihapus. Kunci API kueri dapat dihapus.

Izin Pemilik atau Kontributor diperlukan untuk menonaktifkan fitur.

Untuk menonaktifkan autentikasi berbasis kunci, gunakan portal Azure atau REST API Manajemen.

Portal

1. Di portal Azure, navigasikan ke layanan pencarian Anda.

2. Di panel navigasi kiri, pilih Kunci.

3. Pilih Kontrol akses berbasis peran.

Perubahan segera efektif, tetapi tunggu beberapa detik sebelum pengujian. Dengan asumsi Anda memiliki izin untuk menetapkan peran sebagai anggota Pemilik, administrator layanan, atau administrator bersama, Anda dapat menggunakan fitur portal untuk menguji akses berbasis peran.

REST API

Untuk menonaktifkan autentikasi berbasis kunci, atur "disableLocalAuth" ke true.

1. Dapatkan pengaturan layanan sehingga Anda dapat meninjau konfigurasi saat ini.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Gunakan PATCH untuk memperbarui konfigurasi layanan. Modifikasi berikut akan mengatur "authOptions" ke null.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Permintaan yang hanya menyertakan kunci API, tanpa token pembawa, gagal dengan HTTP 401.

Untuk mengaktifkan kembali autentikasi kunci, jalankan kembali permintaan terakhir, mengatur "disableLocalAuth" menjadi false. Layanan pencarian melanjutkan penerimaan kunci API pada permintaan secara otomatis (dengan asumsi mereka ditentukan).

Akses Bersyarat

Akses Bersyar adalah alat di ID Microsoft Entra yang digunakan untuk menegakkan kebijakan organisasi. Dengan menggunakan kebijakan Akses Bersyarat, Anda dapat menerapkan kontrol akses yang tepat saat diperlukan untuk menjaga organisasi Anda tetap aman. Saat mengakses azure AI layanan Pencarian menggunakan kontrol akses berbasis peran, Akses Bersyar dapat memberlakukan kebijakan organisasi.

Untuk mengaktifkan kebijakan Akses Bersyar untuk Pencarian Azure AI, ikuti langkah-langkah di bawah ini:

1. Masuk ke portal Microsoft Azure.

2. Cari Microsoft Entra Conditional Access.

3. Pilih Kebijakan.

4. Pilih + Kebijakan baru.

5. Di bagian Aplikasi cloud atau tindakan kebijakan, tambahkan Azure AI Search sebagai aplikasi cloud tergantung pada cara Anda ingin menyiapkan kebijakan Anda.

6. Perbarui parameter kebijakan yang tersisa. Misalnya, tentukan pengguna dan grup mana yang berlaku untuk kebijakan ini.

7. Simpan kebijakan.

Penting

Jika layanan pencarian Anda memiliki identitas terkelola yang ditetapkan, layanan pencarian tertentu akan muncul sebagai aplikasi cloud yang dapat disertakan atau dikecualikan sebagai bagian dari kebijakan Akses Bersyarat. Kebijakan Akses Bersyarkat tidak dapat diberlakukan pada layanan pencarian tertentu. Sebagai gantinya, pastikan Anda memilih aplikasi cloud Azure AI Search umum.

Pemecahan masalah kontrol akses berbasis peran

Saat mengembangkan aplikasi yang menggunakan kontrol akses berbasis peran untuk autentikasi, beberapa masalah umum mungkin terjadi:

• Jika token otorisasi berasal dari identitas terkelola dan izin yang sesuai baru-baru ini ditetapkan, mungkin perlu waktu beberapa jam agar penetapan izin ini berlaku.
• Konfigurasi default untuk layanan pencarian hanya autentikasi berbasis kunci. Jika Anda tidak mengubah pengaturan kunci default ke Kontrol akses berbasis Peran atau Keduanya, maka semua permintaan yang menggunakan autentikasi berbasis peran secara otomatis ditolak terlepas dari izin yang mendasar.