Aktivieren oder Deaktivieren der rollenbasierten Zugriffssteuerung in Azure KI-Suche

Azure KI Suche unterstützt sowohl die schlüssellose als auch die schlüsselbasierte Authentifizierung für alle Vorgänge auf Steuerungsebene und Datenebene. Sie können die Microsoft Entra ID-Authentifizierung und -Autorisierung für alle Vorgänge auf Steuerungs- und Datenebene über die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwenden.

Wichtig

Wenn Sie einen Suchdienst erstellen, ist die schlüsselbasierte Authentifizierung die Standardauthentifizierung, dies ist jedoch nicht die sicherste Option. Es wird empfohlen, sie durch rollenbasierten Zugriff zu ersetzen, wie in diesem Artikel beschrieben.

Bevor Sie Azure KI-Suche Rollen für den autorisierten Zugriff auf die Datenebene zuweisen können, müssen Sie die rollenbasierte Zugriffssteuerung für Ihren Suchdienst aktivieren. Rollen für die Dienstverwaltung (Steuerungsebene) sind integriert und können nicht aktiviert oder deaktiviert werden.

Hinweis

Der Begriff Datenebene bezieht sich auf Vorgänge, die für den Suchdienstendpunkt ausgeführt werden (z. B. Indizierung oder Abfragen), oder auf alle anderen Vorgänge, die in den Suchdienst-REST-APIs oder in entsprechenden Azure SDK-Clientbibliotheken angegeben sind. Der Begriff Steuerungsebene bezieht sich auf die Verwaltung von Azure-Ressourcen, z. B. das Erstellen oder Konfigurieren eines Suchdiensts.

Voraussetzungen

• Ein Suchdienst in einer beliebigen Region und mit einem beliebigen Tarif, einschließlich des Free-Tarifs

• Besitzer, Benutzerzugriffsadministrator oder eine benutzerdefinierte Rolle mit Microsoft.Authorization/roleAssignments/Write-Berechtigungen.

Aktivieren des rollenbasierten Zugriffs für Datenebenenvorgänge

Konfigurieren Sie Ihren Dienst so, dass er einen Autorisierungsheader bei Datenanforderungen erkennt, der ein OAuth2-Token für den Zugriff enthält.

Wenn Sie Rollen für die Datenebene aktivieren, ist die Änderung sofort wirksam, aber warten Sie ein paar Sekunden, bevor Sie Rollen zuweisen.

Der Standardfehlermodus für nicht autorisierte Anforderungen ist http401WithBearerChallenge. Alternativ können Sie den Fehlermodus auf http403 festlegen.

Azure portal

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem Suchdienst.

2. Wählen Sie im linken Navigationsbereich Einstellungen und dann Schlüssel aus.

   

3. Wählen Sie Rollenbasierte Steuerung aus. Wählen Sie die Option Beides nur dann aus, wenn Sie derzeit Schlüssel verwenden und Zeit benötigen, um Clients auf die rollenbasierte Zugriffssteuerung umzustellen.

   Option	Beschreibung
   API-Schlüssel (Standard)	Erfordert API-Schlüssel im Anforderungsheader für die Autorisierung
   Rollenbasierte Zugriffssteuerung (empfohlen)	Erfordert die Mitgliedschaft in einer Rollenzuweisung, um die Aufgabe abzuschließen. Außerdem ist ein Autorisierungsheader in der Anforderung erforderlich.
   Beides	Anforderungen sind entweder mithilfe eines API-Schlüssels oder einer rollenbasierten Zugriffssteuerung gültig, aber wenn Sie beide in derselben Anforderung bereitstellen, wird der API-Schlüssel verwendet.

4. Wenn Sie als Administrator einen Nur-Rollen-Ansatz auswählen, weisen Sie Ihrem Benutzerkonto Datenebenenrollen zu, um den vollständigen Administratorzugriff über Vorgänge auf datenebenen Vorgängen im Azure-Portal wiederherzustellen. Rollen umfassen Suchdienstmitwirkender, Suchindexdatenmitwirkender und Suchindexdatenleser. Sie benötigen die ersten beiden Rollen, wenn Sie einen gleichwertigen Zugriff wünschen.

   Manchmal kann es fünf bis zehn Minuten dauern, bis Rollenzuweisungen wirksam werden. Bis zu diesem Zeitpunkt wird die folgende Meldung auf den Seiten im Azure-Portal angezeigt, die für Vorgänge auf Datenebene verwendet werden.

   

Azure-Befehlszeilenschnittstelle

Führen Sie dieses Skript aus, um nur Rollen zu unterstützen:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Oder führen Sie dieses Skript aus, um sowohl Schlüssel als auch Rollen zu unterstützen:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit der Azure CLI.

Azure PowerShell

Führen Sie diesen Befehl aus, um als Authentifizierungstyp nur Rollen festzulegen:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Oder führen Sie diesen Befehl aus, um sowohl Schlüssel als auch Rollen zu unterstützen:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Weitere Informationen finden Sie unter Verwalten des Azure KI-Suche-Diensts mit PowerShell.

REST-API

Verwenden Sie die Verwaltungs-REST-API Erstellen oder Aktualisieren des Dienstes, um Ihren Dienst für die rollenbasierte Zugriffssteuerung zu konfigurieren.

Alle Aufrufe der Verwaltungs-REST-API werden über Microsoft Entra ID authentifiziert. Hilfe bei der Einrichtung von authentifizierten Anfragen finden Sie unter Verwalten von Azure AI Search über REST.

1. Rufen Sie Diensteinstellungen ab, damit Sie die aktuelle Konfiguration überprüfen können.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Verwenden Sie PATCH, um die Dienstkonfiguration zu aktualisieren. Die folgenden Änderungen ermöglichen sowohl Schlüssel als auch rollenbasierten Zugriff. Wenn Sie eine reine Rollenkonfiguration wünschen, siehe API-Schlüssel deaktivieren.

   Setzen Sie unter „Eigenschaften“ „authOptions“ auf „aadOrApiKey“. Die Eigenschaft "disableLocalAuth" muss falsch sein, um "authOptions" zu setzen.

   Legen Sie optional AadAuthFailureMode fest, um anzugeben, ob 401 anstelle von 403 zurückgegeben wird, wenn die Authentifizierung fehlschlägt. Gültige Werte sind "http401WithBearerChallenge" oder "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Deaktivieren der rollenbasierten Zugriffssteuerung

Es ist möglich, die rollenbasierte Zugriffssteuerung für Vorgänge auf Datenebene zu deaktivieren und stattdessen eine schlüsselbasierte Authentifizierung zu verwenden. Ein möglicher Anwendungsfall hierfür wäre im Rahmen eines Testworkflows, um Berechtigungsprobleme auszuschließen.

So deaktivieren Sie die rollenbasierte Zugriffssteuerung im Azure-Portal

1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Übersichtsseite des Suchdiensts.

2. Wählen Sie im linken Navigationsbereich Einstellungen und dann Schlüssel aus.

3. Wählen Sie API Keys (API-Schlüssel) aus.

Deaktivieren der API-Schlüssel-Authentifizierung

Der Schlüsselzugriff (auch „lokale Authentifizierung“ genannt) kann für Ihren Dienst deaktiviert werden, wenn Sie ausschließlich die integrierten Rollen und die Microsoft Entra-Authentifizierung verwenden. Das Deaktivieren von API-Schlüsseln führt dazu, dass der Suchdienst alle datenbezogenen Anforderungen ablehnt, die einen API-Schlüssel im Header übergeben.

Administrator-API-Schlüssel können deaktiviert, aber nicht gelöscht werden. Abfrage-API-Schlüssel können gelöscht werden.

Zum Deaktivieren von Sicherheitsfeatures sind die Berechtigungen der Rolle „Besitzer“ oder „Mitwirkender“ erforderlich.

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrem Suchdienst.

2. Wählen Sie im linken Navigationsbereich die Option Schlüssel aus.

3. Wählen Sie Rollenbasierte Zugriffssteuerung aus.

Die Änderung ist sofort wirksam, warten Sie aber einige Sekunden vor dem Testen. Wenn Sie über die Berechtigung zum Zuweisen von Rollen als Mitglied der Rolle „Besitzer“, „Dienstadministrator“ oder „Co-Admin“ verfügen, können Sie Portalfeatures verwenden, um den rollenbasierten Zugriff zu testen.

Azure-Befehlszeilenschnittstelle

Legen Sie zum Deaktivieren der schlüsselbasierten Authentifizierung „-disableLocalAuth“ auf „true“ fest. Die Syntax ist gleich wie bei dem Skript für die ausschließliche Aktivierung von Rollen im vorherigen Abschnitt.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „-disableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Weitere Informationen finden Sie unter Verwalten Ihres Azure KI-Suche-Diensts mit der Azure CLI.

Azure PowerShell

Legen Sie zum Deaktivieren der schlüsselbasierten Authentifizierung „DisableLocalAuth“ auf „true“ fest. Die Syntax ist gleich wie bei dem Skript für die ausschließliche Aktivierung von Rollen im vorherigen Abschnitt.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „DisableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Weitere Informationen finden Sie unter Verwalten des Azure KI-Suche-Diensts mit PowerShell.

REST-API

Um die schlüsselbasierte Authentifizierung zu deaktivieren, stellen Sie "disableLocalAuth" auf "true".

1. Rufen Sie Diensteinstellungen ab, damit Sie die aktuelle Konfiguration überprüfen können.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Verwenden Sie PATCH, um die Dienstkonfiguration zu aktualisieren. Mit der folgenden Änderung wird „authOptions“ auf NULL festgelegt.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Legen Sie zum Reaktivieren der schlüsselbasierten Authentifizierung „disableLocalAuth“ auf „false“ fest. Der Suchdienst akzeptiert API-Schlüssel in Anforderungen automatisch erneut (vorausgesetzt, diese Schlüssel sind angegeben).

Nächste Schritte

Einrichten von Rollen für den Zugriff auf einen Suchdienst