Condividi tramite

Abilitare o disabilitare il controllo degli accessi in base al ruolo in Azure AI Search

  • Articolo

Ricerca di intelligenza artificiale di Azure supporta sia l'autenticazione basata su chiave che senza chiave per tutte le operazioni del piano di controllo e del piano dati. È possibile usare l'autenticazione e l'autorizzazione di Microsoft Entra ID per tutte le operazioni del piano di controllo e del piano dati tramite il controllo degli accessi in base al ruolo di Azure.

Importante

Quando si crea un servizio di ricerca, l'autenticazione basata su chiave è l'impostazione predefinita, ma non è l'opzione più sicura. È consigliabile sostituirlo con l'accesso in base al ruolo, come descritto in questo articolo.

Prima di poter assegnare ruoli per l'accesso autorizzato del piano dati a Ricerca intelligenza artificiale di Azure, è necessario abilitare il controllo degli accessi in base al ruolo nel servizio di ricerca. I ruoli per l'amministrazione del servizio (piano di controllo) sono incorporati e non possono essere abilitati o disabilitati.

Nota

Il piano dati fa riferimento alle operazioni sull'endpoint del servizio di ricerca, ad esempio l'indicizzazione o le query, o qualsiasi altra operazione specificata nelle API REST del servizio di ricerca o nelle librerie client equivalenti di Azure SDK. Il piano di controllo si riferisce alla gestione delle risorse di Azure, ad esempio la creazione o la configurazione di un servizio di ricerca.

Prerequisiti

  • Un servizio di ricerca in qualsiasi area e a qualsiasi livello, incluso quello gratuito.

  • Proprietario, Amministratore accesso utenti o un ruolo personalizzato con autorizzazioni Microsoft.Authorization/roleAssignments/write.

Abilitare l'accesso in base al ruolo per le operazioni del piano dati

Configurare il servizio di ricerca in modo da riconoscere un'intestazione dell'autorizzazione nelle richieste di dati che forniscono un token di accesso OAuth2.

Quando si abilitano i ruoli per il piano dati, la modifica viene applicata immediatamente, ma occorre attendere alcuni secondi prima di assegnare i ruoli.

La modalità di errore predefinita per le richieste non autorizzate è http401WithBearerChallenge. In alternativa, è possibile impostare la modalità di errore su http403.

  1. Accedere al portale di Azure e passare al servizio di ricerca.

  2. Selezionare Impostazioni e quindi chiavi nel riquadro di spostamento a sinistra.

    Screenshot della pagina delle chiavi con opzioni di autenticazione.

  3. Scegliere Controllo basato su ruoli. Scegliere Entrambi se attualmente si usano chiavi e si ha bisogno di tempo per eseguire la transizione dei client al controllo degli accessi in base al ruolo.

    Opzione Descrizione
    Chiave API (impostazione predefinita) Richiede chiavi API nell'intestazione della richiesta per l'autorizzazione.
    Controllo degli accessi in base al ruolo (scelta consigliata) Richiede l'appartenenza a un'assegnazione di ruolo per completare l'attività. Richiede anche un'intestazione di autorizzazione nella richiesta.
    Entrambi Le richieste sono valide usando una chiave API o un controllo degli accessi in base al ruolo, ma se si specificano entrambe nella stessa richiesta, viene usata la chiave API.

  4. In qualità di amministratore, se si sceglie un approccio basato solo su ruoli, assegnare ruoli del piano dati all'account utente per ripristinare l'accesso amministrativo completo sulle operazioni del piano dati nel portale di Azure. I ruoli includono Collaboratore al servizio di ricerca, Collaboratore ai dati dell'indice di ricerca e Lettore di dati dell'indice di ricerca. Se si vuole un accesso equivalente, sono necessari i primi due ruoli.

    A volte possono essere necessari da cinque a dieci minuti per rendere effettive le assegnazioni di ruolo. Fino a quando questo accade, il messaggio seguente viene visualizzato nelle pagine portale di Azure utilizzate per le operazioni del piano dati.

    Screenshot del messaggio del portale che indica autorizzazioni insufficienti.

Disabilitare il controllo degli accessi in base al ruolo

È possibile disabilitare il controllo degli accessi in base al ruolo per le operazioni del piano dati e usare invece l'autenticazione basata su chiave. È possibile eseguire questa operazione come parte di un flusso di lavoro di test, ad esempio per escludere i problemi di autorizzazione.

Per disabilitare il controllo degli accessi in base al ruolo nel portale di Azure:

  1. Accedere al portale di Azure e aprire la pagina del servizio di ricerca.

  2. Selezionare Impostazioni e quindi chiavi nel riquadro di spostamento a sinistra.

  3. Selezionare Chiavi API.

Disabilitare l'autenticazione tramite chiave API

L'accesso alla chiaveo l'autenticazione locale può essere disabilitato nel servizio se si usano esclusivamente i ruoli predefiniti e l'autenticazione di Microsoft Entra. La disabilitazione delle chiavi API fa sì che il servizio di ricerca rifiuti tutte le richieste correlate ai dati che passano una chiave API nell'intestazione.

Le chiavi API di amministrazione possono essere disabilitate, ma non eliminate. Le chiavi API di query possono essere eliminate.

Le autorizzazioni di proprietario o collaboratore sono necessarie per disabilitare le funzionalità di sicurezza.

  1. Nel portale di Azure passare al servizio di ricerca.

  2. Nel pannello di navigazione sinistro selezionare Chiavi.

  3. Selezionare Controllo degli accessi in base al ruolo.

La modifica viene applicata immediatamente, ma attendere alcuni secondi prima del test. Supponendo di disporre dell'autorizzazione per assegnare ruoli come membro del proprietario, dell'amministratore del servizio o del co-amministratore, è possibile usare le funzionalità del portale per testare l'accesso in base al ruolo.

Passaggi successivi

Configurare i ruoli per l'accesso a un servizio di ricerca