Azure AI Search zonder sleutels gebruiken

In uw toepassingscode kunt u een sleutelloze verbinding met Azure AI Search instellen die gebruikmaakt van Microsoft Entra-id en -rollen voor verificatie en autorisatie. Toepassingsaanvragen voor de meeste Azure-services moeten worden geverifieerd met sleutels of sleutelloze verbindingen. Ontwikkelaars moeten ijverig zijn om de sleutels nooit beschikbaar te maken op een onbeveiligde locatie. Iedereen die toegang krijgt tot de sleutel, kan zich verifiëren bij de service. Sleutelloze verificatie biedt verbeterde beheer- en beveiligingsvoordelen ten opzichte van de accountsleutel, omdat er geen sleutel (of verbindingsreeks) is om op te slaan.

Sleutelloze verbindingen zijn ingeschakeld met de volgende stappen:

• Configureer uw verificatie.
• Stel indien nodig omgevingsvariabelen in.
• Gebruik een referentietype voor de Azure Identity-bibliotheek om een Azure AI Search-clientobject te maken.

Vereisten

De volgende stappen moeten worden uitgevoerd voor zowel lokale ontwikkelings- als productieworkloads:

• Een AI Search-resource maken
• Op rollen gebaseerde toegang inschakelen voor uw zoekservice
• Azure Identity-clientbibliotheek installeren

Een AI Search-resource maken

Voordat u verdergaat met dit artikel, hebt u een Azure AI Search-resource nodig om mee te werken. Als u geen resource hebt, maakt u nu uw resource . Schakel op rollen gebaseerd toegangsbeheer (RBAC) in voor de resource.

Azure Identity-clientbibliotheek installeren

Als u een sleutelloze benadering wilt gebruiken, werkt u uw code met AI Search bij met de Azure Identity-clientbibliotheek.

.NET

Installeer de Azure Identity-clientbibliotheek voor .NET:

dotnet add package Azure.Identity

Java

Installeer de Azure Identity-clientbibliotheek voor Java met het volgende POM-bestand:

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

JavaScript

Installeer de Azure Identity-clientbibliotheek voor JavaScript:

npm install --save @azure/identity

Python

Installeer de Azure Identity-clientbibliotheek voor Python:

pip install azure-identity

Broncode bijwerken voor gebruik van DefaultAzureCredential

Met de Azure Identity-bibliotheek DefaultAzureCredential kunt u dezelfde code uitvoeren in de lokale ontwikkelomgeving en in de Azure-cloud. Maak één referentie en hergebruik het referentie-exemplaar indien nodig om gebruik te maken van tokencaching.

.NET

Zie de Azure Identity-clientbibliotheek voor .NET voor meer informatie over DefaultAzureCredential . NET.

using Azure;
using Azure.Search.Documents;
using Azure.Search.Documents.Indexes;
using Azure.Search.Documents.Indexes.Models;
using Azure.Search.Documents.Models;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_SEARCH_ENDPOINT");
string indexName = "my-search-index";

DefaultAzureCredential credential = new();
SearchClient searchClient = new(new Uri(endpoint), indexName, credential);
SearchIndexClient searchIndexClient = new(endpoint, credential);

Java

Zie de Azure Identity-clientbibliotheek voor Java voor meer informatie over DefaultAzureCredential Java.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.search.documents.SearchAsyncClient;
import com.azure.search.documents.SearchClientBuilder;
import com.azure.search.documents.SearchDocument;
import com.azure.search.documents.indexes.SearchIndexAsyncClient;
import com.azure.search.documents.indexes.SearchIndexClientBuilder;

String ENDPOINT = System.getenv("AZURE_SEARCH_ENDPOINT");
String INDEX_NAME = "my-index";

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Sync SearchClient
SearchClient searchClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildClient();

// Sync IndexClient
SearchIndexClient searchIndexClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildClient();

// Async SearchClient
SearchAsyncClient searchAsyncClient = new SearchClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .indexName(INDEX_NAME)
    .buildAsyncClient();

// Async IndexClient
SearchIndexAsyncClient searchIndexAsyncClient = new SearchIndexClientBuilder()
    .endpoint(ENDPOINT)
    .credential(credential)
    .buildAsyncClient();

JavaScript

Zie de Azure Identity-clientbibliotheek voor JavaScript voor meer informatie over DefaultAzureCredential JavaScript.

import { DefaultAzureCredential } from "@azure/identity";
import {
  SearchClient,
  SearchIndexClient
} from "@azure/search-documents";

const AZURE_SEARCH_ENDPOINT = process.env.AZURE_SEARCH_ENDPOINT;
const index = "my-index";
const credential = new DefaultAzureCredential();

// To query and manipulate documents
const searchClient = new SearchClient(
  AZURE_SEARCH_ENDPOINT,
  index,
  credential
);

// To manage indexes and synonymmaps
const indexClient = new SearchIndexClient(
  AZURE_SEARCH_ENDPOINT, 
  credential
);

Python

Zie de Azure Identity-clientbibliotheek voor Python voor meer informatie over DefaultAzureCredential Python.

import os
from azure.search.documents import SearchClient
from azure.identity import DefaultAzureCredential, AzureAuthorityHosts

# Azure Public Cloud
audience = "https://search.windows.net"
authority = AzureAuthorityHosts.AZURE_PUBLIC_CLOUD

service_endpoint = os.environ["AZURE_SEARCH_ENDPOINT"]
index_name = os.environ["AZURE_SEARCH_INDEX_NAME"]
credential = DefaultAzureCredential(authority=authority)

search_client = SearchClient(
    endpoint=service_endpoint, 
    index=index_name, 
    credential=credential, 
    audience=audience)

search_index_client = SearchIndexClient(
    endpoint=service_endpoint, 
    credential=credential, 
    audience=audience)

Lokale ontwikkeling

Lokale ontwikkeling met behulp van rollen omvat de volgende stappen:

• Wijs uw persoonlijke identiteit toe aan RBAC-rollen voor de specifieke resource.
• Gebruik een hulpprogramma zoals de Azure CLI of Azure PowerShell om te verifiëren met Azure.
• Stel omgevingsvariabelen voor uw resource in.

Rollen voor lokale ontwikkeling

Als lokale ontwikkelaar heeft uw Azure-identiteit volledige controle nodig over gegevensvlakbewerkingen. Dit zijn de voorgestelde rollen:

• Inzender voor zoekservice, objecten maken en beheren
• Inzender voor zoekindexgegevens, een index laden
• Zoekindexgegevenslezer, voer een query uit op een index

Zoek uw persoonlijke identiteit met een van de volgende hulpprogramma's. Gebruik die identiteit als de <identity-id> waarde.

Azure-CLI

1. Meld u aan bij Azure CLI.

   az login
   

2. Haal uw persoonlijke identiteit op.

   az ad signed-in-user show \
       --query id -o tsv
   

3. Wijs de RBAC-rol (op rollen gebaseerd toegangsbeheer) toe aan de identiteit voor de resourcegroep.

   az role assignment create \
       --role "<role-name>" \
       --assignee "<identity-id>" \
       --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure PowerShell

1. Meld u aan met PowerShell.

   Connect-AzAccount
   

2. Haal uw persoonlijke identiteit op.

   (Get-AzContext).Account.ExtendedProperties.HomeAccountId.Split('.')[0]
   

3. Wijs de RBAC-rol (op rollen gebaseerd toegangsbeheer) toe aan de identiteit voor de resourcegroep.

   New-AzRoleAssignment -ObjectId "<identity-id>" -RoleDefinitionName "<role-name>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

Azure-portal

1. Gebruik de stappen die u hier vindt: zoek de gebruikersobject-id in Azure Portal.

2. Gebruik de stappen die u kunt vinden op de pagina Roltoewijzing toevoegen in Azure Portal.

Vervang, vervang <identity-id>, <subscription-id>en <resource-group-name> door uw werkelijke waarden, indien van toepassing.

Verificatie voor lokale ontwikkeling

Gebruik een hulpprogramma in uw lokale ontwikkelomgeving voor verificatie bij Azure-identiteit. Zodra u bent geverifieerd, wordt de verificatie door het DefaultAzureCredential exemplaar in uw broncode gevonden en gebruikt.

.NET

Selecteer een hulpprogramma voor verificatie tijdens lokale ontwikkeling.

Java

Selecteer een hulpprogramma voor verificatie tijdens lokale ontwikkeling.

JavaScript

Selecteer een hulpprogramma voor verificatie tijdens lokale ontwikkeling.

Python

Selecteer een hulpprogramma voor verificatie tijdens lokale ontwikkeling.

Omgevingsvariabelen configureren voor lokale ontwikkeling

Als u verbinding wilt maken met Azure AI Search, moet uw code uw resource-eindpunt kennen.

Maak een omgevingsvariabele met de naam AZURE_SEARCH_ENDPOINT voor uw Azure AI Search-eindpunt. Deze URL heeft over het algemeen de indeling https://<YOUR-RESOURCE-NAME>.search.windows.net/.

Productieworkloads

De implementatie van productieworkloads omvat de volgende stappen:

• Kies RBAC-rollen die voldoen aan het principe van minimale bevoegdheden.
• Wijs RBAC-rollen toe aan uw productie-identiteit voor de specifieke resource.
• Omgevingsvariabelen instellen voor uw resource.

Rollen voor productieworkloads

Als u uw productiebronnen wilt maken, moet u een door de gebruiker toegewezen beheerde identiteit maken en die identiteit vervolgens toewijzen aan uw resources met de juiste rollen.

De volgende rol wordt voorgesteld voor een productietoepassing:

Rolnaam	ID
Zoekindexgegevenslezer	1407120a-92aa-4202-b7e9-c0e197c71c8f

Verificatie voor productieworkloads

Gebruik de volgende Azure AI Search Bicep-sjabloon om de resource te maken en de verificatie voor de identityIdresource in te stellen. Bicep vereist de rol-id. De name weergave in dit Bicep-fragment is niet de Azure-rol. Dit is specifiek voor de Bicep-implementatie.

// main.bicep
param environment string = 'production'
param roleGuid string = ''

module aiSearchRoleUser 'core/security/role.bicep' = {
    scope: aiSearchResourceGroup
    name: 'aiSearch-role-user'
    params: {
        principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity.properties.principalId 
        principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
        roleDefinitionId: roleGuid
    }
}

Het main.bicep bestand roept de volgende algemene Bicep-code aan om een rol te maken. U hebt de mogelijkheid om meerdere RBAC-rollen te maken, zoals een voor de gebruiker en een andere voor productie. Hierdoor kunt u zowel ontwikkel- als productieomgevingen inschakelen binnen dezelfde Bicep-implementatie.

// core/security/role.bicep
metadata description = 'Creates a role assignment for an identity.'
param principalId string // passed in from main.bicep

@allowed([
    'Device'
    'ForeignGroup'
    'Group'
    'ServicePrincipal'
    'User'
])
param principalType string = 'ServicePrincipal'
param roleDefinitionId string // Role ID

resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
    name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
    properties: {
        principalId: principalId
        principalType: principalType
        roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
    }
}

Omgevingsvariabelen configureren voor productieworkloads

Als u verbinding wilt maken met Azure AI Search, moet uw code uw resource-eindpunt en de id van de beheerde identiteit kennen.

Maak omgevingsvariabelen voor uw geïmplementeerde en sleutelloze Azure AI Search-resource:

• AZURE_SEARCH_ENDPOINT: Deze URL is het toegangspunt voor uw Azure AI Search-resource. Deze URL heeft over het algemeen de indeling https://<YOUR-RESOURCE-NAME>.search.windows.net/.
• AZURE_CLIENT_ID: Dit is de identiteit die moet worden geverifieerd als.

Gerelateerde inhoud

• Ontwikkelaarshandleiding voor sleutelloze verbindingen
• Ingebouwde Azure-rollen
• Omgevingsvariabelen instellen