Partager via


Identités managées pour Intelligence documentaire

Ce contenu s’applique à : coche v4.0 (GA) coche v3.1 (GA) coche v3.0 (GA) coche v2.1 (GA)

Les identités managées des ressources Azure sont des principaux de service qui créent une identité Microsoft Entra et des autorisations spécifiques pour des ressources managées Azure :

Capture d’écran du flux d’identité managée (RBAC).

  • Les identités managées octroient l’accès à des ressources qui prennent en charge l’authentification Microsoft Entra, y compris vos propres applications. Contrairement aux clés de sécurité et aux jetons d’authentification, les identités managées éliminent la nécessité pour les développeurs de gérer les informations d’identification.

  • Vous pouvez accorder l’accès à une ressource Azure et attribuer un rôle à une identité managée en utilisant le contrôle d’accès en fonction du rôle Azure (Azure RBAC). L’utilisation d’identités managées dans Azure n’occasionne aucun coût supplémentaire.

Important

  • Les identités managées éliminent la nécessité de gérer les informations d’identification, y compris les jetons de signature d’accès partagé (SAS).

  • Les identités managées constituent un moyen plus sûr d’accorder l’accès aux données sans avoir d’informations d’identification dans votre code.

Accès aux comptes de stockage privé

L’accès et l’authentification des comptes de stockage Azure privés prennent en charge les identités managées pour les ressources Azure. Si vous disposez d’un compte de stockage Azure protégé par un réseau virtuel (VNet) ou un pare-feu, Intelligence documentaire ne peut pas accéder directement aux données de votre compte de stockage. Toutefois, une fois qu’une identité managée est activée, Intelligence documentaire peut accéder à votre compte de stockage à l’aide des informations d’identification d’identité managée attribuées.

Remarque

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

Attributions d’identités managées

Il existe deux types d’identités managées : celles qui sont affectées par le système et celles qui sont affectées par l’utilisateur. Actuellement, Intelligence documentaire prend uniquement en charge les identités managées affectées par le système :

  • Une identité managée affectée par le système est activée directement sur une instance de service. Elle n’est pas activée par défaut. Vous devez accéder à votre ressource et mettre à jour le paramètre d’identité.

  • L’identité managée affectée par le système est liée à votre ressource tout au long de son cycle de vie. Si vous supprimez votre ressource, l’identité managée est également supprimée.

Dans les étapes suivantes, nous allons activer une identité managée affectée par le système et accorder à Intelligence documentaire un accès limité à votre compte de stockage Blob Azure.

Activer une identité managée affectée par le système

Important

Pour activer une identité managée affectée par le système, vous avez besoin d’autorisations Microsoft.Authorization/roleAssignments/write, telles que Propriétaire ou Administrateur de l’accès utilisateur. Vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources ou ressource.

  1. Connectez-vous au portail Azure à l’aide d’un compte associé à votre abonnement Azure.

  2. Accédez à la page de votre ressource Intelligence documentaire dans le portail Azure.

  3. Dans le rail de gauche, sélectionnez Identité dans la liste Gestion des ressources :

    Capture d’écran de l’onglet Identité de gestion des ressources dans le portail Azure.

  4. Dans la fenêtre principale, basculez le curseur État affecté par le système sur Activé.

Accorder l’accès à votre compte de stockage

Vous devez accorder à Intelligence documentaire l’accès à votre compte de stockage avant de pouvoir lire des objets blob. Maintenant que l’accès d’Intelligence documentaire est activé avec une identité managée affectée par le système, vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour accorder à Intelligence documentaire l’accès au stockage Azure. Le rôle Lecteur des données blob du stockage donne à Intelligence documentaire (représenté par l’identité managée affectée par le système) un accès en lecture et en création de listes au conteneur d’objets blob et aux données.

  1. Sous Autorisations, sélectionnez Attributions des rôles Azure :

    Capture d’écran montrant où activer une identité managée affectée par le système dans le portail Azure.

  2. Dans la page Attributions de rôles d’Azure qui s’ouvre, choisissez votre abonnement dans le menu déroulant, puis sélectionnez + Ajouter une attribution de rôle.

    Capture d’écran de la page des attributions de rôles Azure dans le portail Azure.

    Remarque

    Si vous ne parvenez pas à affecter un rôle dans le portail Azure parce que l’option Ajouter >Ajouter une attribution de rôle est désactivée ou que vous recevez l’erreur d’autorisation « Vous ne disposez pas des autorisations nécessaires pour ajouter une attribution de rôle à cette étendue », vérifiez que vous êtes actuellement connecté en tant qu’utilisateur avec un rôle attribué qui dispose des autorisations Microsoft.Authorization/roleAssignments/write, telles que Propriétaire ou Administrateur de l’accès utilisateur, dans l’étendue Stockage de la ressource de stockage.

  3. Ensuite, vous allez attribuer un rôle Lecteur des données Blob du stockage à votre ressource de service Intelligence documentaire. Dans la fenêtre contextuelle Add role assignment, renseignez les champs comme suit, puis sélectionnez Enregistrer :

    Champ Valeur
    Étendue Stockage
    Abonnement L’abonnement associé à votre ressource de stockage.
    Ressource Le nom de votre ressource de stockage
    Rôle Lecteur des données Blob du stockage – Permet l’accès en lecture aux données et aux conteneurs blob du Stockage Azure.

    Capture d’écran de la page d’ajout d’attributions de rôles dans le portail Azure.

  4. Une fois que vous avez reçu le message de confirmation Attribution de rôle ajoutée, actualisez la page pour voir l’attribution de rôle ajoutée.

    Capture d’écran du message contextuel de confirmation de l’ajout de l’attribution de rôle.

  5. Si vous ne voyez pas immédiatement la modification, patientez et essayez d’actualiser la page une nouvelle fois. Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai maximal de 30 minutes peut être nécessaire avant que les modifications prennent effet.

    Capture d’écran de la fenêtre des attributions de rôles Azure.

Et voilà ! Vous avez effectué les étapes nécessaires pour activer une identité managée affectée par le système. Avec l’identité managée et Azure RBAC, vous avez accordé à Intelligence documentaire des droits d’accès spécifiques à votre ressource de stockage sans avoir à gérer les informations d’identification telles que les jetons SAS.

Attributions d’autres rôles pour Studio d’intelligence documentaire

Si vous envisagez d’utiliser Studio d’intelligence documentaire et que votre compte de stockage est configuré avec des restrictions réseau comme un pare-feu ou un réseau virtuel, un autre rôle, Contributeur aux données Blob du stockage, doit être attribué à votre service Intelligence documentaire. Studio d’intelligence documentaire nécessite ce rôle pour écrire des blobs dans votre compte de stockage quand vous effectuez des opérations Étiquetage automatique, Opérateur humain dans la boucle ou Partage/mise à jour de projet.

Capture d’écran montrant le rôle Contributeur aux données Blob du stockage.

Étapes suivantes