Identidades gerenciadas para a Informação de Documentos
Este conteúdo se aplica a:
v4.0 (versão prévia)v3.1 (GA)v3.0 (GA)v2.1 (GA)
As identidades gerenciadas para recursos do Azure são entidades de serviço que criam uma identidade do Microsoft Entra e permissões específicas para recursos gerenciados do Azure:
Você pode usar identidades gerenciadas para conceder acesso a qualquer recurso que dê suporte à autenticação do Microsoft Entra, incluindo seus próprios aplicativos. Ao contrário das chaves de segurança e dos tokens de autenticação, as identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais.
Para conceder acesso a um recurso do Azure, atribua uma função do Azure a uma identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure.
Não há nenhum custo adicional para usar identidades gerenciadas no Azure.
Importante
As identidades gerenciadas eliminam a necessidade de gerenciar credenciais, inclusive tokens SAS (Assinatura de Acesso Compartilhado).
Identidades gerenciadas são uma maneira mais segura de conceder acesso aos dados sem ter credenciais em seu código.
Acesso à conta de armazenamento privada
O acesso e a autenticação da conta de armazenamento privado do Azure suportam identidades gerenciadas para recursos do Azure. Se você tiver uma conta de Armazenamento do Microsoft Azure, protegida por uma Rede Virtual (VNet) ou firewall, o Informação de Documentos não poderá acessar diretamente os dados da sua conta de armazenamento. No entanto, quando uma identidade gerenciada é habilitada, o Informação de Documentos pode acessar sua conta de armazenamento utilizando uma credencial de identidade gerenciada atribuída.
Observação
Se você pretende analisar os dados de armazenamento com a ferramenta de Etiquetagem de Informações de Documentos (FOTT), é necessário implantar a ferramenta atrás da VNet ou do firewall.
As APIs Analisar Recibo, Cartão de Visita, Fatura, Documento de Identidade e Formulário Personalizado podem extrair dados de apenas um documento postando solicitações como conteúdo binário bruto. Nesses cenários, não há nenhum requisito para uma credencial de identidade gerenciada.
Pré-requisitos
Para começar, você precisa do seguinte:
Uma conta do Azure ativa - caso não tenha uma, você pode criar uma conta gratuita.
Um recurso da Informação de Documentos ou dos serviços de AI do Azure no portal do Azure. Para obter etapas detalhadas, consulteCriar um recurso de vários serviços.
Uma conta de armazenamento de Blobs do Azure na mesma região que o recurso da Informação de Documentos. Você também precisa criar contêineres para armazenar e organizar dados de blob em sua conta de armazenamento.
Se sua conta de armazenamento estiver atrás de um firewall, você deverá habilitar a seguinte configuração:
Na página da sua conta de armazenamento, selecione Segurança + rede → Rede no menu à esquerda.
Na janela principal, selecione Permitir acessos de redes selecionadas.
Na página das redes selecionadas, navegue até a categoria Exceções e verifique se a caixa de seleção Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento esta habilitada.
Uma breve compreensão do RBAC (controle de acesso baseado em função) do Azure usando o portal do Azure.
Atribuições de identidade gerenciada
Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. Atualmente, o Informação de Documentos suporta apenas a identidade gerenciada atribuída pelo sistema:
Uma identidade gerenciada atribuída pelo sistema é habilitada diretamente em uma instância de serviço. Esse recurso não está habilitado por padrão, é preciso acessar o recurso e atualizar a configuração de identidade.
A identidade gerenciada atribuída pelo sistema é vinculada ao seu recurso durante todo o ciclo de vida. Se você excluir seu recurso, a identidade gerenciada também será excluída.
Nas etapas a seguir, habilitaremos uma identidade gerenciada atribuída pelo sistema e concederemos ao Informação de Documentos acesso limitado à sua conta de armazenamento de blobs do Azure.
Habilitar uma identidade gerenciada atribuída ao sistema
Importante
Para habilitar uma identidade gerenciada atribuída pelo sistema, você precisa de permissões Microsoft.Authorization/roleAssignments/write, como Proprietário ou Administrador de Acesso do Usuário. Você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos ou recurso.
Entre no portal do Azure usando uma conta associada à sua assinatura do Azure.
Navegue até sua página de recursos Informação de Documentos no portal do Microsoft Azure.
No trilho esquerdo, selecione Identidade na lista de Gerenciamento de Recursos :
Na janela principal, alterne a guia Status atribuído pelo sistema para Ativado.
Conceder acesso à sua conta de armazenamento
Você precisa conceder acesso de Inteligência de Documentos à sua conta de armazenamento para que ela possa ler blobs. Agora que você habilitou a Informação de Documentos com uma identidade gerenciada atribuída pelo sistema, pode utilizar o controle de acesso baseado em funções do Azure (RBAC do Azure), para conceder ao Informação de Documentos acesso ao armazenamento do Azure. A função Leitor de Dados de Armazenamento de Blobs dá ao Informação de Documentos (representado pela identidade gerenciada atribuída pelo sistema) acesso de leitura e lista ao contêiner e aos dados do blob.
Em Permissões, selecione Atribuições de função do Azure:
Na página Atribuições de função do Azure que é aberta, escolha sua assinatura no menu suspenso e, em seguida, selecione + Adicionar atribuição de função.
Observação
Se não for possível atribuir uma função no portal do Azure porque a opção Adicionar >, Adicionar atribuição de função está desabilitada ou receber o erro de permissões "você não tem permissões para adicionar a atribuição de função neste escopo", verifique se você está conectado no momento como um usuário com uma função atribuída que tenha permissões Microsoft.Authorization/roleAssignments/write como Proprietário ou Administrador de Acesso do Usuário no escopo de armazenamento do recurso de armazenamento.
Avançar, você atribuirá uma função Leitor de Dados de Blobs de Armazenamento ao seu recurso do serviço de Informação de Documentos. Na janela pop-up Adicionar atribuição de função, preencha os campos como segue, e selecione Salvar:
Campo Valor Escopo Storage Assinatura A assinatura associada ao recurso de armazenamento. Recurso O nome do recurso de armazenamento Função Leitor de Dados de Blob de Armazenamento - permite o acesso de leitura aos dados e aos contêineres do Azure Storage Blob. 
Depois de receber a mensagem de confirmação Atribuição de função adicionada, atualize a página para ver a atribuição de função adicionada.
Se você não vir a alteração imediatamente, aguarde e tente atualizar a página mais uma vez. Quando você atribui ou remove atribuições de função, pode levar até 30 minutos para que as alterações entrem em vigor.
É isso! Você concluiu as etapas para habilitar uma identidade gerenciada atribuída pelo sistema. Com a identidade gerenciada e o RBAC do Azure, você concedeu à Informação de Documentos direitos de acesso específicos ao seu recurso de armazenamento sem precisar gerenciar credenciais, como tokens SAS.
Atribuição de uma função adicional para o Estúdio de Inteligência de Documentos
Se estiver pretendendo usar o Estúdio de Inteligência de Documentos e sua conta de armazenamento estiver configurada com uma restrição de rede, como firewall ou rede virtual, será preciso atribuir ao seu serviço de Inteligência de Documentos a função adicional Colaborador de Dados de Blobs de Armazenamento. O Estúdio de Inteligência de Documentos requer essa função para gravar blobs na sua conta de armazenamento quando você executa o rotulamento automático, o upgrade de OCR, o ser humano no loop ou as operações de compartilhamento de projeto.