Identità gestite per Document Intelligence

Articolo
07/12/2024

Questo contenuto si applica a: v4.0 (anteprima) v3.1 (disponibilità generale) v3.0 (disponibilità generale) v2.1 (disponibilità generale)

Le identità gestite per le risorse di Azure sono entità servizio che creano un'identità Microsoft Entra e autorizzazioni specifiche per le risorse gestite di Azure:

Screenshot del flusso di identità gestita (Controllo degli accessi in base al ruolo).

Le identità gestite concedono l'accesso a qualsiasi risorsa che supporti l'autenticazione di Microsoft Entra, incluse le proprie applicazioni. A differenza delle chiavi di sicurezza e dei token di autenticazione, le identità gestite eliminano la necessità per gli sviluppatori di gestire le credenziali.
È possibile concedere l'accesso a una risorsa di Azure e assegnare un ruolo di Azure a un'identità gestita usando il Controllo degli accessi in base al ruolo di Azure. Non sono previsti costi aggiuntivi per l'uso di identità gestite in Azure.

Importante

Le identità gestite eliminano la necessità di gestire le credenziali, inclusi i token di firma di accesso condiviso.
Le identità gestite sono un modo più sicuro per concedere l'accesso ai dati senza avere credenziali nel codice.

Accesso all'account di archiviazione privato

L'accesso e l'autenticazione dell'account di archiviazione di Azure privato supportano le identità gestite per le risorse di Azure. Se si ha un account di archiviazione di Azure protetto da una rete virtuale (VNet) o da un firewall, Informazioni sui documenti non può accedere direttamente ai dato dell'account di archiviazione. Tuttavia, dopo l'abilitazione di un'identità gestita, Informazioni sui documenti può accedere all'account di archiviazione usando una credenziale di identità gestita assegnata.

Nota

Se si intende analizzare i dati di archiviazione con lo strumento di etichettatura di esempio di Informazioni sui documenti (FOTT), è necessario distribuire lo strumento dietro la rete virtuale o il firewall.
Le API Analyze Ricevuta, Biglietto da visita, Fattura, Documento di identità e Modulo personalizzato possono estrarre dati da un singolo documento inviando le richieste come contenuto binario non elaborato. In questi scenari non esiste alcun requisito per le credenziali dell'identità gestita.

Prerequisiti

Per iniziare, è necessario:

Un account Azure attivo. Se non si ha un account Azure, è possibile creare un account gratuito.
Una risorsa di Informazioni sui documenti o dei Servizi di Azure AI nel portale di Azure. Per i passaggi dettagliati, vedere Creare una risorsa multiservizio.
Un account di archiviazione BLOB di Azure nella stessa area della risorsa di Informazioni sui documenti. È anche necessario creare contenitori per archiviare e organizzare i dati BLOB all'interno dell'account di archiviazione.
- Se l'account di archiviazione si trova dietro un firewall, è necessario abilitare la configurazione seguente:
- Nella pagina dell'account di archiviazione selezionare Sicurezza e rete → Rete dal menu a sinistra.
- Nella finestra principale selezionare Consenti accesso dalle reti selezionate.
- Nella pagina Reti selezionate passare alla categoria Eccezioni e assicurarsi che la casella di controllo Allow Azure services on the trusted services list to access this storage account sia abilitata.
Una breve conoscenza del controllo degli accessi in base al ruolo di Azure tramite il portale di Azure.

Assegnazioni di identità gestite

Esistono due tipi di identità gestita: assegnata dal sistema e assegnata dall'utente. Attualmente, Informazioni sui documenti supporta solo l'identità gestita assegnata dal sistema:

Un'identità gestita assegnata dal sistema viene abilitata direttamente in un'istanza del servizio. Non è abilitata per impostazione predefinita; è necessario passare alla risorsa e aggiornare l'impostazione di identità.
L'identità gestita assegnata dal sistema è associata alla risorsa per tutto il ciclo di vita. Se si elimina la risorsa, viene eliminata anche l'identità gestita.

Nei passaggi seguenti si abilita un'identità gestita assegnata dal sistema e si concede a Informazioni sui documenti l'accesso limitato all'account di archiviazione BLOB di Azure.

Abilitare un'identità gestita assegnata dal sistema

Importante

Per abilitare un'identità gestita assegnata dal sistema, sono necessarie le autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario o Amministratore Accesso utenti. È possibile specificare un ambito a quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.

Accedere al portale di Azure usando un account associato alla sottoscrizione di Azure.
Nel portale di Azure, passare alla risorsa di Informazioni sui documenti.
Nella barra sinistra selezionare Identità nell'elenco Gestione risorse:
Nella finestra principale impostare la scheda Stato assegnato dal sistema su On.

Concedere l'accesso all'account di archiviazione

Prima di poter leggere i BLOB, è necessario concedere a Informazioni sui documenti l'accesso all'account di archiviazione. Dopo aver abilitato Informazioni sui documenti con un'identità gestita assegnata dal sistema, è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere a Informazioni sui documenti l'accesso all'archiviazione di Azure. Il Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione fornisce a Informazioni sui documenti (rappresentato dall'identità gestita assegnata dal sistema) l'accesso in lettura ed elenco al contenitore BLOB e ai dati.

In Autorizzazioni selezionare Assegnazioni di ruolo di Azure:
Nella pagina Assegnazioni di ruolo di Azure aperta scegliere la sottoscrizione dal menu a discesa e quindi selezionare + Aggiungi assegnazione di ruolo.

Nota

Se non è possibile assegnare un ruolo nel portale di Azure perché l'opzione Aggiungi > Aggiungi assegnazione di ruolo è disabilitata o perché viene visualizzato l'errore relativo alle autorizzazioni "non si dispone delle autorizzazioni per aggiungere un'assegnazione di ruolo in questo ambito", verificare di aver eseguito l'accesso come utente a cui è stato assegnato un ruolo con autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario o Amministratore Accesso utenti nell'ambito di archiviazione per la risorsa di archiviazione.

Successivamente, si assegnerà un Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione alla risorsa del servizio Informazioni sui documenti. Nella finestra popup Add role assignment completare i campi come indicato di seguito e selezionare Salva:

Campo	Valore
Scope	*Storage*
Abbonamento	*Sottoscrizione associata alla risorsa di archiviazione*.
Conto risorse	*Nome della risorsa di archiviazione*
Ruolo	*Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione* consente l'accesso in lettura ai contenitori e ai dati dei BLOB di Archiviazione di Azure.

Screenshot della pagina Aggiungi assegnazioni di ruolo nel portale di Azure.

Dopo aver ricevuto il messaggio di conferma Assegnazione di ruolo aggiunta, aggiornare la pagina per visualizzarla.
Se non viene visualizzata subito la modifica, attendere e provare ad aggiornare nuovamente la pagina. Quando si assegnano o si rimuovono le assegnazioni di ruolo, l'applicazione delle modifiche può richiedere fino a 30 minuti.

Ecco fatto! Sono stati completati i passaggi per abilitare un'identità gestita assegnata dal sistema. Con l'identità gestita e il controllo degli accessi in base al ruolo di Azure, sono stati concessi a Informazioni sui documenti i diritti di accesso specifici per la risorsa di archiviazione senza dover gestire credenziali come i token di firma di accesso condiviso.

Altre assegnazioni di ruolo per Studio di Informazioni sui documenti

Se si intende usare Studio di Informazioni sui documenti e l'account di archiviazione è configurato con restrizioni di rete come firewall o rete virtuale, è necessario assegnare un altro ruolo, Collaboratore ai dati dei BLOB di archiviazione, al servizio Informazioni sui documenti. Studio di Informazioni sui documenti richiede questo ruolo per scrivere BLOB nell'account di archiviazione quando si eseguono operazioni di etichettatura automatica, intervento umano nel ciclo o condivisione/aggiornamento del progetto.

Screenshot dell'assegnazione del ruolo collaboratore ai dati del BLOB di archiviazione.

Passaggi successivi

Configurare l'accesso sicuro con identità gestite ed endpoint privati

Condividi tramite