Abilitare o disabilitare il controllo degli accessi in base al ruolo in Azure AI Search

Prima di poter assegnare ruoli per un accesso autorizzato ad Azure AI Search, abilitare il controllo degli accessi in base al ruolo nel servizio di ricerca.

L'accesso in base al ruolo per le operazioni del piano dati è facoltativo, ma consigliato, in quanto rappresenta l'opzione più sicura. L'alternativa è l'autenticazione basata su chiave, ovvero l'impostazione predefinita.

I ruoli per l'amministrazione del servizio (piano di controllo) sono incorporati e non possono essere abilitati o disabilitati.

Nota

Il piano dati fa riferimento alle operazioni sull'endpoint del servizio di ricerca, ad esempio l'indicizzazione o le query, o qualsiasi altra operazione specificata nell'API REST di ricerca o nelle librerie client equivalenti di Azure SDK.

Prerequisiti

• Un servizio di ricerca in qualsiasi area e a qualsiasi livello, incluso quello gratuito.

• Proprietario, Amministratore accesso utenti o un ruolo personalizzato con autorizzazioni Microsoft.Authorization/roleAssignments/write.

Abilitare l'accesso in base al ruolo per le operazioni del piano dati

Configurare il servizio di ricerca in modo da riconoscere un'intestazione dell'autorizzazione nelle richieste di dati che forniscono un token di accesso OAuth2.

Quando si abilitano i ruoli per il piano dati, la modifica viene applicata immediatamente, ma occorre attendere alcuni secondi prima di assegnare i ruoli.

La modalità di errore predefinita per le richieste non autorizzate è http401WithBearerChallenge. In alternativa, è possibile impostare la modalità di errore su http403.

Azure portal

1. Accedere al portale di Azure e aprire la pagina del servizio di ricerca.

2. Selezionare Impostazioni e quindi chiavi nel riquadro di spostamento a sinistra.

   

3. Scegliere Controllo in base al ruolo o Entrambi se si usano attualmente le chiavi e occorre tempo per eseguire la transizione dei client al controllo degli accessi in base al ruolo.

   Opzione	Descrizione
   Chiave API	(impostazione predefinita). Richiede chiavi API nell'intestazione della richiesta per l'autorizzazione.
   Controllo degli accessi in base al ruolo	Richiede l'appartenenza a un'assegnazione di ruolo per completare l'attività. Richiede anche un'intestazione di autorizzazione nella richiesta.
   Entrambi	Le richieste sono valide usando una chiave API o un controllo degli accessi in base al ruolo, ma se si specificano entrambe nella stessa richiesta, viene usata la chiave API.

4. In qualità di amministratore, se si sceglie un approccio basato solo su ruoli, assegnare ruoli del piano dati all'account utente per ripristinare l'accesso amministrativo completo sulle operazioni del piano dati nel portale di Azure. I ruoli includono Collaboratore al servizio di ricerca, Collaboratore ai dati dell'indice di ricerca e Lettore di dati dell'indice di ricerca. Se si vuole un accesso equivalente, sono necessari tutti e tre i ruoli.

   A volte possono essere necessari da cinque a dieci minuti per rendere effettive le assegnazioni di ruolo. Fino a quando questo accade, nelle pagine del portale utilizzate per le operazioni del piano dati viene visualizzato il messaggio seguente.

   

Interfaccia della riga di comando di Azure

Eseguire questo script per supportare solo i ruoli:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

In alternativa, eseguire questo script per supportare sia chiavi che ruoli:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Per altre informazioni, vedere Gestire il servizio Azure AI Search con l'interfaccia della riga di comando di Azure.

Azure PowerShell

Eseguire questo comando per impostare il tipo di autenticazione solo sui ruoli:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

In alternativa, eseguire questo comando per supportare sia chiavi che ruoli:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Per altre informazioni, vedere Gestire il servizio Azure AI Search con PowerShell.

REST API

Usare l'API REST di gestione Creare o aggiornare il servizio per configurare il servizio per il controllo degli accessi in base al ruolo.

Tutte le chiamate all'API REST di gestione vengono autenticate tramite Microsoft Entra ID. Per informazioni sulla configurazione delle richieste autenticate, vedere Gestire Azure AI Search con REST.

1. Ottenere le impostazioni del servizio in modo da poter esaminare la configurazione corrente.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Usare PATCH per aggiornare la configurazione del servizio. Le modifiche seguenti abilitano sia le chiavi, sia l'accesso in base al ruolo. Per una configurazione basata solo su ruoli, vedere Disabilitare le chiavi API.

   In "properties" impostare "authOptions" su "aadOrApiKey". La proprietà "disableLocalAuth" deve essere false per impostare "authOptions".

   Facoltativamente, impostare "aadAuthFailureMode" per specificare se restituire 401 anziché 403 quando l'autenticazione non riesce. I valori validi sono "http401WithBearerChallenge" o "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Disabilitare il controllo degli accessi in base al ruolo

È possibile disabilitare il controllo degli accessi in base al ruolo per le operazioni del piano dati e usare invece l'autenticazione basata su chiave. È possibile eseguire questa operazione come parte di un flusso di lavoro di test, ad esempio per escludere i problemi di autorizzazione.

Invertire i passaggi seguiti in precedenza per abilitare l'accesso in base al ruolo.

1. Accedere al portale di Azure e aprire la pagina del servizio di ricerca.

2. Selezionare Impostazioni e quindi chiavi nel riquadro di spostamento a sinistra.

3. Selezionare Chiavi API.

Disabilitare l'autenticazione tramite chiave API

L'accesso alla chiaveo l'autenticazione locale può essere disabilitato nel servizio se si usano esclusivamente i ruoli predefiniti e l'autenticazione di Microsoft Entra. La disabilitazione delle chiavi API fa sì che il servizio di ricerca rifiuti tutte le richieste correlate ai dati che passano una chiave API nell'intestazione.

Le chiavi API di amministrazione possono essere disabilitate, ma non eliminate. Le chiavi API di query possono essere eliminate.

Le autorizzazioni di proprietario o collaboratore sono necessarie per disabilitare le funzionalità di sicurezza.

Azure portal

1. Nel portale di Azure passare al servizio di ricerca.

2. Nel pannello di navigazione sinistro selezionare Chiavi.

3. Selezionare Controllo degli accessi in base al ruolo.

La modifica viene applicata immediatamente, ma attendere alcuni secondi prima del test. Supponendo di disporre dell'autorizzazione per assegnare ruoli come membro del proprietario, dell'amministratore del servizio o del co-amministratore, è possibile usare le funzionalità del portale per testare l'accesso in base al ruolo.

Interfaccia della riga di comando di Azure

Per disabilitare l'autenticazione basata su chiave, impostare -disableLocalAuth su true. Si tratta della stessa sintassi dello script "enable roles only" presentato nella sezione precedente.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Per riabilitare l'autenticazione della chiave, impostare -disableLocalAuth su false. Il servizio di ricerca riprende automaticamente l'accettazione delle chiavi API nella richiesta (presupponendo che siano specificate).

Per altre informazioni, vedere Gestire il servizio Azure AI Search con l'interfaccia della riga di comando di Azure.

Azure PowerShell

Per disabilitare l'autenticazione basata su chiave, impostare DisableLocalAuth su true. Si tratta della stessa sintassi dello script "enable roles only" presentato nella sezione precedente.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Per riabilitare l'autenticazione della chiave, impostare DisableLocalAuth su false. Il servizio di ricerca riprende automaticamente l'accettazione delle chiavi API nella richiesta (presupponendo che siano specificate).

Per altre informazioni, vedere Gestire il servizio Azure AI Search con PowerShell.

REST API

Per disabilitare l'autenticazione basata su chiave, impostare "disableLocalAuth" su true.

1. Ottenere le impostazioni del servizio in modo da poter esaminare la configurazione corrente.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Usare PATCH per aggiornare la configurazione del servizio. La modifica seguente imposta "authOptions" su null.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Per riabilitare l'autenticazione della chiave, impostare "disableLocalAuth" su false. Il servizio di ricerca riprende automaticamente l'accettazione delle chiavi API nella richiesta (presupponendo che siano specificate).

Limiti

• Il controllo degli accessi in base al ruolo può aumentare la latenza di alcune richieste. Ogni combinazione univoca di risorsa del servizio (indice, indicizzatore e così via) ed entità servizio attiva un controllo di autorizzazione. Questi controlli di autorizzazione possono aggiungere fino a 200 millisecondi di latenza per richiesta.

• Nei rari casi in cui le richieste provengono da un numero elevato di entità servizio diverse, tutte destinate a risorse del servizio diverse (indici, indicizzatori e così via), è possibile che i controlli di autorizzazione comportino una limitazione delle richieste. La limitazione delle richieste si verifica solo se vengono usate centinaia di combinazioni univoche di risorse del servizio di ricerca ed entità servizio nell’arco di un secondo.

---

Passaggi successivi

Configurare i ruoli per l'accesso a un servizio di ricerca