Compartir vía


Habilitar o deshabilitar el control de acceso basado en roles en Azure AI Search

Búsqueda de Azure AI usa la autenticación basada en claves de forma predeterminada, pero es totalmente compatible con la autenticación y autorización de Microsoft Entra ID para todas las operaciones del plano de control y del plano de datos a través del control de acceso basado en rol (RBAC) de Azure.

Para poder asignar roles para el acceso autorizado del plano de datos a Búsqueda de Azure AI, debe habilitar el control de acceso basado en rol en el servicio de búsqueda. Las funciones de administración de servicios (plano de control) están integradas y no pueden habilitarse ni deshabilitarse.

Nota:

El plano de datos se refiere a las operaciones contra el punto de conexión del servicio de búsqueda, como la indexación o las consultas, o cualquier otra operación especificada en la API de REST del servicio Search o en las bibliotecas de cliente Azure SDK equivalentes. El plano de control hace referencia a la administración de recursos de Azure, como crear o configurar un servicio de búsqueda.

Requisitos previos

Habilitación del acceso basado en roles para las operaciones del plano de datos

Configure su servicio de búsqueda para que reconozca un encabezado authorization en las solicitudes de datos que proporcionan un token de acceso de OAuth2.

Cuando habilita roles para el plano de datos, el cambio es efectivo inmediatamente, pero espere unos segundos antes de asignar roles.

El modo de error predeterminado para las solicitudes no autorizadas es http401WithBearerChallenge. Como alternativa, puede establecer el modo de error en http403.

  1. Inicie sesión en Azure Portal y abra la página del servicio de búsqueda.

  2. Seleccione Configuración, y luego seleccione Teclas en el panel de navegación izquierdo.

    Captura de pantalla de la página claves con opciones de autenticación.

  3. Elija Control basado en roles o Ambos si actualmente está utilizando claves y necesita tiempo para realizar la transición de los clientes al control de acceso basado en roles.

    Opción Descripción
    Clave de API (valor predeterminado). Requiere claves de API en el encabezado de solicitud para la autorización.
    Control de acceso basado en rol Requiere la pertenencia a una asignación de roles para completar la tarea. También requiere un encabezado de autorización en la solicitud.
    Ambos Las solicitudes son válidas mediante una clave de API o un control de acceso basado en rol, pero si proporciona ambos en la misma solicitud, se usa la clave de API.
  4. Como administrador, si elige un enfoque de solo roles, asignar roles de plano de datos a su cuenta de usuario para restaurar el acceso administrativo completo a través de las operaciones del plano de datos en Azure Portal. Los roles incluyen Colaborador del servicio Search, Colaborador de datos de índice de búsqueda y Lector de datos de índice de búsqueda. Necesita los dos primeros roles si quiere acceso equivalente.

    A veces, las asignaciones de roles pueden tardar entre cinco y diez minutos en surtir efecto. Hasta ese momento, aparece el mensaje siguiente en las páginas de Azure Portal usadas para las operaciones del plano de datos.

    Captura de pantalla del mensaje del portal que indica permisos insuficientes.

Deshabilitar el control de acceso basado en roles

Es posible deshabilitar el control de acceso basado en roles para las operaciones del plano de datos y utilizar en su lugar la autenticación basada en claves. Puede hacerlo como parte de un flujo de trabajo de prueba, por ejemplo, para descartar problemas de permisos.

Invierta los pasos que siguió anteriormente para habilitar el acceso basado en roles.

  1. Inicia sesión en Azure Portal y abre la página del servicio de búsqueda.

  2. Seleccione Configuración, y luego seleccione Teclas en el panel de navegación izquierdo.

  3. Seleccione API Keys (Claves de API).

Deshabilitación de la autenticación de clave de API

El acceso mediante clave, o autenticación local, puede deshabilitarse en su servicio si utiliza exclusivamente las funciones integradas y la autenticación de Microsoft Entra. Deshabilitar las claves de API hace que el servicio de búsqueda rechace todas las solicitudes relacionadas con datos que pasan una clave de API en el encabezado.

Las claves API de administración pueden deshabilitarse, pero no eliminarse. Las claves de API de consulta se pueden eliminar.

Se requieren permisos de Propietario o Colaborador para deshabilitar las características de seguridad.

  1. En Azure Portal, vaya al servicio de búsqueda.

  2. En el panel de navegación izquierdo, seleccione Claves.

  3. Seleccione Control de acceso basado en roles.

El cambio es efectivo inmediatamente, pero espere unos segundos antes de las pruebas. Suponiendo que tenga permiso para asignar roles como miembro con el rol Propietario, Administrador de servicios o Coadministrador, puede usar características del portal para probar el acceso basado en roles.

Efectos del control de acceso basado en roles

  • El control de acceso basado en rol puede aumentar la latencia de algunas solicitudes. Cada combinación única de recursos de servicio (índice, indexador, conjuntos de aptitudes, etc.) y la entidad de servicio desencadena una comprobación de autorización. Estas comprobaciones de autorización pueden agregar hasta 200 milisegundos de latencia por solicitud.

  • En raras ocasiones, cuando las solicitudes se originan a partir de un gran número de entidades de servicio diferentes, todas dirigidas a recursos de servicio diferentes (índices, indexadores, etc.), es posible que las comprobaciones de autorización den lugar a una limitación. La limitación solo se produciría si se usaran cientos de combinaciones únicas de recursos del servicio Search y entidades de servicio en un segundo.

Pasos siguientes