Belge Zekası için yönetilen kimlikler
Bu içerik şunlar için geçerlidir:
v4.0 (önizleme)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Azure kaynakları için yönetilen kimlikler, Microsoft Entra kimliği ve Azure yönetilen kaynakları için belirli izinler oluşturan hizmet sorumlularıdır:
Kendi uygulamalarınız da dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir kaynağa erişim vermek için yönetilen kimlikleri kullanabilirsiniz. Güvenlik anahtarlarının ve kimlik doğrulama belirteçlerinin aksine, yönetilen kimlikler geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır.
Azure kaynağına erişim izni vermek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak yönetilen kimliğe Azure rolü atayın.
Azure'da yönetilen kimlikleri kullanmak için ek maliyet yoktur.
Önemli
Yönetilen kimlikler, Paylaşılan Erişim İmzası (SAS) belirteçleri de dahil olmak üzere kimlik bilgilerini yönetme gereksinimini ortadan kaldırır.
Yönetilen kimlikler, kodunuzda kimlik bilgileri olmadan verilere erişim vermenin daha güvenli bir yoludur.
Özel depolama hesabı erişimi
Özel Azure depolama hesabı erişimi ve kimlik doğrulaması, Azure kaynakları için yönetilen kimlikleri destekler. Sanal Ağ (VNet) veya güvenlik duvarıyla korunan bir Azure depolama hesabınız varsa, Belge Zekası depolama hesabı verilerinize doğrudan erişemez. Ancak, yönetilen kimlik etkinleştirildikten sonra, Belge Yönetim Bilgileri atanmış yönetilen kimlik kimlik bilgilerini kullanarak depolama hesabınıza erişebilir.
Dekont
Depolama verilerinizi Belge Zekası Örnek Etiketleme aracı (FOTT) ile çözümlemek istiyorsanız, aracı sanal ağınızın veya güvenlik duvarınızın arkasına dağıtmanız gerekir.
AlındıYı Çözümle, Kartvizit, Fatura, Kimlik belgesi ve Özel Form API'leri, istekleri ham ikili içerik olarak göndererek tek bir belgedeki verileri ayıklayabilir. Bu senaryolarda yönetilen kimlik kimlik bilgilerine gerek yoktur.
Önkoşullar
Başlamak için gerekli olanlar:
Etkin bir Azure hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
Azure portalında Bir Belge Zekası veya Azure AI hizmetleri kaynağı. Ayrıntılı adımlar için bkz. Çok hizmetli kaynak oluşturma.
Belge Yönetim Bilgileri kaynağınızla aynı bölgede yer alan bir Azure blob depolama hesabı . Blob verilerinizi depolama hesabınızda depolamak ve düzenlemek için de kapsayıcılar oluşturmanız gerekir.
Depolama hesabınız bir güvenlik duvarının arkasındaysa aşağıdaki yapılandırmayı etkinleştirmeniz gerekir:
Depolama hesabı sayfanızda soldaki menüden Güvenlik + ağ → Ağ'ı seçin.
Ana pencerede Seçili ağlardan erişime izin ver'i seçin.
Seçili ağlar sayfasında Özel Durumlar kategorisine gidin ve Güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver onay kutusunun etkinleştirildiğinden emin olun.
Azure portalını kullanarak Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında kısa bir bilgi.
Yönetilen kimlik atamaları
İki tür yönetilen kimlik vardır: sistem tarafından atanan ve kullanıcı tarafından atanan. Şu anda, Belge Zekası yalnızca sistem tarafından atanan yönetilen kimliği destekler:
Sistem tarafından atanan yönetilen kimlik doğrudan bir hizmet örneğinde etkinleştirilir . Varsayılan olarak etkin değildir; kaynağınıza gidip kimlik ayarını güncelleştirmeniz gerekir.
Sistem tarafından atanan yönetilen kimlik, yaşam döngüsü boyunca kaynağınıza bağlıdır. Kaynağınızı silerseniz yönetilen kimlik de silinir.
Aşağıdaki adımlarda, sistem tarafından atanan yönetilen kimliği etkinleştirir ve Azure blob depolama hesabınıza Belge Zekası sınırlı erişimi veririz.
Sistem tarafından atanan yönetilen kimliği etkinleştirme
Önemli
Sistem tarafından atanan yönetilen kimliği etkinleştirmek için Sahip veya Kullanıcı Erişimi Yönetici istrator gibi Microsoft.Authorization/roleAssignments/write izinlerine sahip olmanız gerekir. Dört düzeyde bir kapsam belirtebilirsiniz: yönetim grubu, abonelik, kaynak grubu veya kaynak.
Azure aboneliğinizle ilişkili bir hesabı kullanarak Azure portalında oturum açın.
Azure portalında Belge Yönetim Bilgileri kaynak sayfanıza gidin.
Sol rayda Kaynak Yönetimi listesinden Kimlik'i seçin:
Ana pencerede Sistem tarafından atanan Durum sekmesini Açık olarak değiştirin.
Depolama hesabınıza erişim izni verme
Blobları okuyabilmesi için önce depolama hesabınıza Belge Yönetim Bilgileri erişimi vermeniz gerekir. Artık Sistem tarafından atanan yönetilen bir kimlikle Belge Zekasını etkinleştirdiğinize göre, Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak Belge Zekası'na Azure depolama erişimi verebilirsiniz. Depolama Blob Veri Okuyucusu rolü, Belge Zekası'na (sistem tarafından atanan yönetilen kimlikle temsil edilir) blob kapsayıcısı ve verilerine okuma ve listeleme erişimi verir.
İzinler'in altında Azure rol atamaları'ı seçin:
Açılan Azure rol atamaları sayfasında, açılan menüden aboneliğinizi seçin ve ardından + Rol ataması ekle'yi seçin.
Dekont
Rol ataması ekle > seçeneği devre dışı bırakıldığından Azure portalında rol atayamıyorsanız veya "Bu kapsamda rol ataması ekleme izniniz yok" izinlerini alırsanız, şu anda Depolama Sahip veya Kullanıcı Erişimi Yönetici istrator gibi Microsoft.Authorization/roleAssignments/write izinlerine sahip bir kullanıcı olarak oturum açıp açmadığınızı denetleyin depolama kaynağının kapsamı.
Ardından, Belge Yönetim Bilgileri hizmeti kaynağınıza Depolama Blob Veri Okuyucusu rolü ataacaksınız. Rol ataması ekle açılır penceresinde, alanları aşağıdaki gibi doldurun ve Kaydet'i seçin:
Alan Değer Scope Depolama Abonelik Depolama kaynağınızla ilişkili abonelik. Kaynak Depolama kaynağınızın adı Rol Blob Veri Okuyucusu'Depolama—Azure Depolama blob kapsayıcılarına ve verilerine okuma erişimi sağlar. 
Rol ataması eklendi onay iletisini aldıktan sonra, eklenen rol atamasını görmek için sayfayı yenileyin.
Değişikliği hemen görmüyorsanız bekleyin ve sayfayı bir kez daha yenilemeyi deneyin. Rol atamalarını atadığınızda veya kaldırdığınızda değişikliklerin geçerlilik kazanması 30 dakika kadar sürebilir.
İşte hepsi bu! Sistem tarafından atanan yönetilen kimliği etkinleştirme adımlarını tamamladınız. Yönetilen kimlik ve Azure RBAC ile SAS belirteçleri gibi kimlik bilgilerini yönetmek zorunda kalmadan depolama kaynağınıza Belge Zekası'na özgü erişim hakları vermişsinizdir.
Document Intelligence Studio için ek rol ataması
Document Intelligence Studio'yu kullanacaksanız ve depolama hesabınız güvenlik duvarı veya sanal ağ gibi ağ kısıtlamasıyla yapılandırılmışsa, Blob Veri Katkıda Bulunanı Depolama ek bir rolün Belge Zekası hizmetinize atanması gerekir. Document Intelligence Studio, Otomatik etiket, OCR yükseltmesi, Döngüdeki İnsan veya Proje paylaşım işlemleri gerçekleştirdiğinizde depolama hesabınıza blob yazmak için bu rolü gerektirir.