Belge Makine Zekası için yönetilen kimlikler
Bu içerik şunlar için geçerlidir: 
v4.0 (önizleme) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Azure kaynakları için yönetilen kimlikler, Microsoft Entra kimliği ve Azure yönetilen kaynakları için belirli izinler oluşturan hizmet sorumlularıdır:
Yönetilen kimlikler, kendi uygulamalarınız da dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen tüm kaynaklara erişim sunar. Güvenlik anahtarlarının ve kimlik doğrulama belirteçlerinin aksine, yönetilen kimlikler geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır.
Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak bir Azure kaynağına erişim verebilir ve yönetilen kimliğe Azure rolü atayabilirsiniz. Azure'da yönetilen kimlikleri kullanmak için ek maliyet yoktur.
Önemli
Yönetilen kimlikler, Paylaşılan Erişim İmzası (SAS) belirteçleri de dahil olmak üzere kimlik bilgilerini yönetme gereksinimini ortadan kaldırır.
Yönetilen kimlikler, kodunuzda kimlik bilgileri olmadan verilere erişim vermenin daha güvenli bir yoludur.
Özel depolama hesabı erişimi
Özel Azure depolama hesabı erişimi ve kimlik doğrulaması, Azure kaynakları için yönetilen kimlikleri destekler. Sanal Ağ (VNet) veya güvenlik duvarıyla korunan bir Azure depolama hesabınız varsa, Document Intelligence depolama hesabı verilerinize doğrudan erişemez. Ancak, yönetilen kimlik etkinleştirildikten sonra, Belge Yönetim Bilgileri atanmış yönetilen kimlik kimlik bilgilerini kullanarak depolama hesabınıza erişebilir.
Not
Depolama verilerinizi Belge Zekası Örnek Etiketleme aracı (FOTT) ile çözümlemek istiyorsanız, aracı sanal ağınızın veya güvenlik duvarınızın arkasına dağıtmanız gerekir.
Makbuz
Analyze, Kartvizit, Fatura, Kimlik belgesi ve Özel Form API'leri, istekleri ham ikili içerik olarak göndererek tek bir belgedeki verileri ayıklayabilir. Bu senaryolarda yönetilen kimlik kimlik bilgilerine gerek yoktur.
Önkoşullar
Başlamak için gerekli olanlar:
Etkin bir Azure hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
Azure portalında Bir Belge Zekası veya Azure AI hizmetleri kaynağı. Ayrıntılı adımlar için bkz. Azure AI hizmetleri kaynağı oluşturma.
Belge Yönetim Bilgileri kaynağınızla aynı bölgede yer alan bir Azure blob depolama hesabı . Blob verilerinizi depolama hesabınızda depolamak ve düzenlemek için de kapsayıcılar oluşturmanız gerekir.
Depolama hesabınız bir güvenlik duvarının arkasındaysa aşağıdaki yapılandırmayı etkinleştirmeniz gerekir:
Depolama hesabı sayfanızda soldaki menüden Güvenlik + ağ → Ağ'ı seçin.
Ana pencerede Seçili ağlardan erişime izin ver'i seçin.
Seçili ağlar sayfasında Özel Durumlar kategorisine gidin ve onay kutusunun etkinleştirildiğinden
Allow Azure services on the trusted services list to access this storage accountemin olun.
Azure portalını kullanarak Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında kısa bir bilgi.
Yönetilen kimlik atamaları
İki tür yönetilen kimlik vardır: sistem tarafından atanan ve kullanıcı tarafından atanan. Şu anda, Belge Zekası yalnızca sistem tarafından atanan yönetilen kimliği destekler:
Sistem tarafından atanan yönetilen kimlik doğrudan bir hizmet örneğinde etkinleştirilir . Varsayılan olarak etkin değildir; kaynağınıza gidip kimlik ayarını güncelleştirmeniz gerekir.
Sistem tarafından atanan yönetilen kimlik, yaşam döngüsü boyunca kaynağınıza bağlıdır. Kaynağınızı silerseniz yönetilen kimlik de silinir.
Aşağıdaki adımlarda, sistem tarafından atanan yönetilen kimliği etkinleştirir ve Azure blob depolama hesabınıza Belge Zekası sınırlı erişimi veririz.
Sistem tarafından atanan yönetilen kimliği etkinleştirme
Önemli
Sistem tarafından atanan yönetilen kimliği etkinleştirmek için Sahip veya Kullanıcı Erişimi Yöneticisi gibi Microsoft.Authorization/roleAssignments/write izinlerine sahip olmanız gerekir. Dört düzeyde bir kapsam belirtebilirsiniz: yönetim grubu, abonelik, kaynak grubu veya kaynak.
Azure aboneliğinizle ilişkili bir hesabı kullanarak Azure portalında oturum açın.
Azure portalında Belge Yönetim Bilgileri kaynak sayfanıza gidin.
Sol rayda Kaynak Yönetimi listesinden Kimlik'i seçin:
Ana pencerede Sistem tarafından atanan Durum sekmesini Açık olarak değiştirin.
Depolama hesabınıza erişim izni verme
Blobları okuyabilmesi için önce depolama hesabınıza Belge Yönetim Bilgileri erişimi vermeniz gerekir. Artık Belge Zekası erişimi sistem tarafından atanan yönetilen kimlikle etkinleştirildiğine göre, Belge Zekası'na Azure depolama erişimi vermek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanabilirsiniz. Depolama Blob Veri Okuyucusu rolü, Belge Zekası'na (sistem tarafından atanan yönetilen kimlikle temsil edilir) blob kapsayıcısı ve verilerine okuma ve listeleme erişimi verir.
İzinler'in altında Azure rol atamaları'ı seçin:
Açılan Azure rol atamaları sayfasında, açılan menüden aboneliğinizi seçin ve ardından + Rol ataması ekle'yi seçin.
Not
Rol ataması ekle > seçeneği devre dışı bırakıldığından Azure portalında rol atayamıyorsanız veya "Bu kapsamda rol ataması ekleme izniniz yok" izinlerini alırsanız, depolama kaynağının Depolama kapsamında Sahip veya Kullanıcı Erişimi Yöneticisi gibi Microsoft.Authorization/roleAssignments/write izinleri olan bir kullanıcı olarak oturum açmış olduğunuzdan emin olun.
Ardından, Belge Yönetim Bilgileri hizmeti kaynağınıza bir Depolama Blob Veri Okuyucusu rolü ataacaksınız.
Add role assignmentAçılır pencerede alanları aşağıdaki gibi doldurun ve Kaydet'i seçin:Alan Değer Scope Depolama Abonelik Depolama kaynağınızla ilişkili abonelik. Kaynak Depolama kaynağınızın adı Rol Depolama Blobu Veri Okuyucusu; Azure Depolama blob kapsayıcılarına ve verilerine okuma erişimi sağlar. 
Rol ataması eklendi onay iletisini aldıktan sonra, eklenen rol atamasını görmek için sayfayı yenileyin.
Değişikliği hemen görmüyorsanız bekleyin ve sayfayı bir kez daha yenilemeyi deneyin. Rol atamalarını atadığınızda veya kaldırdığınızda değişikliklerin geçerlilik kazanması 30 dakika kadar sürebilir.
İşte hepsi bu! Sistem tarafından atanan yönetilen kimliği etkinleştirme adımlarını tamamladınız. Yönetilen kimlik ve Azure RBAC ile SAS belirteçleri gibi kimlik bilgilerini yönetmek zorunda kalmadan depolama kaynağınıza Belge Zekası'na özgü erişim hakları vermişsinizdir.
Document Intelligence Studio için diğer rol atamaları
Document Intelligence Studio'yu kullanacaksanız ve depolama hesabınız güvenlik duvarı veya sanal ağ gibi ağ kısıtlamasıyla yapılandırılmışsa, Başka bir rol olan Depolama Blobu Veri Katkıda Bulunanı'nın Belge Zekası hizmetinize atanması gerekir. Document Intelligence Studio, Otomatik etiket, Döngüdeki İnsan veya Proje paylaşımı/yükseltme işlemleri gerçekleştirdiğinizde depolama hesabınıza blob yazmak için bu rolü gerektirir.
