Tożsamości zarządzane na potrzeby analizy dokumentów
Ta zawartość dotyczy:
v4.0 (wersja zapoznawcza)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Tożsamości zarządzane dla zasobów platformy Azure to jednostki usługi, które tworzą tożsamość firmy Microsoft Entra i określone uprawnienia dla zasobów zarządzanych platformy Azure:
Tożsamości zarządzane umożliwiają udzielanie dostępu do dowolnego zasobu obsługującego uwierzytelnianie firmy Microsoft Entra, w tym własnych aplikacji. W przeciwieństwie do kluczy zabezpieczeń i tokenów uwierzytelniania tożsamości zarządzane eliminują potrzebę zarządzania poświadczeniami przez deweloperów.
Aby udzielić dostępu do zasobu platformy Azure, przypisz rolę platformy Azure do tożsamości zarządzanej przy użyciu kontroli dostępu na podstawie ról (RBAC) platformy Azure.
Nie ma żadnych dodatkowych kosztów korzystania z tożsamości zarządzanych na platformie Azure.
Ważne
Tożsamości zarządzane eliminują konieczność zarządzania poświadczeniami, w tym tokenami sygnatury dostępu współdzielonego (SAS).
Tożsamości zarządzane to bezpieczniejszy sposób udzielania dostępu do danych bez konieczności posiadania poświadczeń w kodzie.
Dostęp do prywatnego konta magazynu
Prywatny dostęp do konta usługi Azure Storage i uwierzytelnianie obsługują tożsamości zarządzane dla zasobów platformy Azure. Jeśli masz konto usługi Azure Storage, chronione przez sieć wirtualną lub zaporę, analiza dokumentów nie może bezpośrednio uzyskać dostępu do danych konta magazynu. Jednak po włączeniu tożsamości zarządzanej funkcja Document Intelligence może uzyskiwać dostęp do konta magazynu przy użyciu przypisanych poświadczeń tożsamości zarządzanej.
Uwaga
Jeśli zamierzasz analizować dane magazynu za pomocą narzędzia do etykietowania przykładowego analizy dokumentów (FOTT), musisz wdrożyć narzędzie za siecią wirtualną lub zaporą.
Interfejsy API analizowania paragonu, wizytówki, faktury, identyfikatora i niestandardowego formularza mogą wyodrębniać dane z pojedynczego dokumentu, publikując żądania jako nieprzetworzonej zawartości binarnej. W tych scenariuszach nie jest wymagane podanie poświadczeń tożsamości zarządzanej.
Wymagania wstępne
Aby rozpocząć pracę, potrzebne będą następujące elementy:
Aktywne konto platformy Azure — jeśli go nie masz, możesz utworzyć bezpłatne konto.
Zasób analizy dokumentów lub usług Azure AI w witrynie Azure Portal. Aby uzyskać szczegółowe instrukcje, zobaczTworzenie zasobu z wieloma usługami.
Konto usługi Azure Blob Storage w tym samym regionie co zasób analizy dokumentów. Należy również utworzyć kontenery do przechowywania i organizowania danych obiektów blob na koncie magazynu.
Jeśli konto magazynu znajduje się za zaporą, należy włączyć następującą konfigurację:
Na stronie konta magazynu wybierz pozycję Zabezpieczenia i sieć → Sieć w menu po lewej stronie.
W oknie głównym wybierz pozycję Zezwalaj na dostęp z wybranych sieci.
Na stronie wybrane sieci przejdź do kategorii Wyjątki i upewnij się, że pole wyboru Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu jest włączone.
Krótka wiedza na temat kontroli dostępu na podstawie ról (RBAC) platformy Azure przy użyciu witryny Azure Portal.
Przypisania tożsamości zarządzanej
Istnieją dwa typy tożsamości zarządzanej: przypisane przez system i przypisane przez użytkownika. Obecnie analiza dokumentów obsługuje tylko tożsamość zarządzaną przypisaną przez system:
Tożsamość zarządzana przypisana przez system jest włączona bezpośrednio w wystąpieniu usługi. Nie jest ona domyślnie włączona; Musisz przejść do zasobu i zaktualizować ustawienie tożsamości.
Tożsamość zarządzana przypisana przez system jest powiązana z zasobem w całym cyklu życia. Jeśli usuniesz zasób, tożsamość zarządzana zostanie również usunięta.
W poniższych krokach włączymy tożsamość zarządzaną przypisaną przez system i przyznamy usłudze Document Intelligence ograniczony dostęp do konta usługi Azure Blob Storage.
Włączanie tożsamości zarządzanej przypisanej przez system
Ważne
Aby włączyć tożsamość zarządzaną przypisaną przez system, musisz mieć uprawnienia Microsoft.Authorization/roleAssignments/write, takie jak właściciel lub dostęp użytkowników Administracja istrator. Zakres można określić na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów lub zasób.
Zaloguj się do witryny Azure Portal przy użyciu konta skojarzonego z subskrypcją platformy Azure.
Przejdź do strony zasobów analizy dokumentów w witrynie Azure Portal.
W lewej kolejce wybierz pozycję Tożsamość z listy Zarządzanie zasobami:
W oknie głównym przełącz kartę Stan przypisany przez system na włączone.
Udzielanie dostępu do konta magazynu
Aby móc odczytywać obiekty blob, musisz udzielić dostępu do analizy dokumentów na koncie magazynu. Po włączeniu analizy dokumentów z tożsamością zarządzaną przypisaną przez system możesz użyć kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), aby zapewnić dostęp analizy dokumentów do usługi Azure Storage. Rola Czytelnik danych obiektu blob usługi Storage zapewnia analizę dokumentów (reprezentowaną przez tożsamość zarządzaną przypisaną przez system) dostęp do odczytu i listy kontenera obiektów blob i danych.
W obszarze Uprawnienia wybierz pozycję Przypisania ról platformy Azure:
Na otwieranej stronie Przypisania ról platformy Azure wybierz subskrypcję z menu rozwijanego, a następnie wybierz pozycję + Dodaj przypisanie roli.
Uwaga
Jeśli nie możesz przypisać roli w witrynie Azure Portal, ponieważ opcja Dodaj > przypisanie roli jest wyłączona lub występuje błąd uprawnień", "nie masz uprawnień do dodawania przypisania roli w tym zakresie", sprawdź, czy użytkownik jest obecnie zalogowany jako użytkownik z przypisaną rolą z przypisaną rolą z uprawnieniami Microsoft.Authorization/roleAssignments/write, takimi jak Właściciel lub Dostęp użytkowników Administracja istrator w zakresie magazynu dla zasobu magazynu.
Następnie przypiszesz rolę Czytelnik danych obiektu blob usługi Storage do zasobu usługi Document Intelligence Service. W oknie podręcznym Dodawanie przypisania roli wypełnij pola w następujący sposób i wybierz pozycję Zapisz:
Pole Wartość Scope Storage Subskrypcja Subskrypcja skojarzona z zasobem magazynu. Zasób Nazwa zasobu magazynu Rola Czytelnik danych obiektów blob usługi Storage — umożliwia dostęp do odczytu do kontenerów obiektów blob i danych usługi Azure Storage. 
Po otrzymaniu komunikatu potwierdzenia Dodano przypisanie roli odśwież stronę, aby wyświetlić dodane przypisanie roli.
Jeśli nie widzisz zmiany od razu, poczekaj i spróbuj odświeżyć stronę jeszcze raz. Po przypisaniu lub usunięciu przypisań ról może upłynąć do 30 minut, aby zmiany zaczęły obowiązywać.
I już! Wykonano kroki włączania tożsamości zarządzanej przypisanej przez system. W przypadku tożsamości zarządzanej i kontroli dostępu opartej na rolach platformy Azure udzielono uprawnień dostępu specyficznych dla analizy dokumentów do zasobu magazynu bez konieczności zarządzania poświadczeniami, takimi jak tokeny SAS.
Dodatkowe przypisanie roli dla programu Document Intelligence Studio
Jeśli zamierzasz używać programu Document Intelligence Studio i konto magazynu jest skonfigurowane z ograniczeniem sieci, takim jak zapora lub sieć wirtualna, dodatkowa rola, współautor danych obiektu blob usługi Storage, musi zostać przypisana do usługi Analizy dokumentów. Program Document Intelligence Studio wymaga tej roli do zapisywania obiektów blob na koncie magazynu podczas wykonywania operacji automatycznego etykietowania, uaktualniania OCR, człowieka w pętli lub operacji udostępniania projektu.