Identidades gerenciadas para a Informação de Documentos
Esse conteúdo se aplica a: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)
As identidades gerenciadas para recursos do Azure são entidades de serviço que criam uma identidade do Microsoft Entra e permissões específicas para recursos gerenciados do Azure:
Identidades gerenciadas concedem acesso a todo recurso que dê suporte à autenticação do Microsoft Entra, incluindo aos seus próprios aplicativos. Ao contrário das chaves de segurança e dos tokens de autenticação, as identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais.
É possível conceder acesso a um recurso do Azure e atribuir uma função do Azure a uma identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. Não há nenhum custo adicional para usar identidades gerenciadas no Azure.
Importante
As identidades gerenciadas eliminam a necessidade de gerenciar credenciais, inclusive tokens SAS (Assinatura de Acesso Compartilhado).
Identidades gerenciadas são uma maneira mais segura de conceder acesso aos dados sem ter credenciais em seu código.
Acesso à conta de armazenamento privada
O acesso e a autenticação da conta de armazenamento privado do Azure suportam identidades gerenciadas para recursos do Azure. Se você tiver uma conta de armazenamento do Azure protegida por uma rede virtual (VNet
) ou firewall, o Informação de Documentos não poderá acessar diretamente seus dados de conta de armazenamento. No entanto, quando uma identidade gerenciada é habilitada, o Informação de Documentos pode acessar sua conta de armazenamento utilizando uma credencial de identidade gerenciada atribuída.
Observação
Se você pretende analisar os dados de armazenamento com a ferramenta de Etiquetagem de Informações de Documentos (FOTT), é necessário implantar a ferramenta atrás da VNet ou do firewall.
As APIs de
Analyze
Recibo, Cartão de visita, Fatura, Documento de identidade e Formulário personalizado podem extrair dados de um só documento postando solicitações como conteúdo binário bruto. Nesses cenários, não há nenhum requisito para uma credencial de identidade gerenciada.
Pré-requisitos
Para começar, você precisa do seguinte:
Uma conta do Azure ativa - caso não tenha uma, você pode criar uma conta gratuita.
Um recurso da Informação de Documentos ou dos serviços de AI do Azure no portal do Azure. Para ver as etapas detalhadas, confira Criar um recurso dos serviços de IA do Azure.
Uma conta de armazenamento de Blobs do Azure na mesma região que o recurso da Informação de Documentos. Você também precisa criar contêineres para armazenar e organizar dados de blob em sua conta de armazenamento.
Se sua conta de armazenamento estiver atrás de um firewall, você deverá habilitar a seguinte configuração:
Na página da sua conta de armazenamento, selecione Segurança + rede → Rede no menu à esquerda.
Na janela principal, selecione Permitir acessos de redes selecionadas.
Na página de redes selecionadas, navegue até a categoria Exceções e verifique se a caixa de seleção
Allow Azure services on the trusted services list to access this storage account
está habilitada.
Uma breve compreensão do RBAC (controle de acesso baseado em função) do Azure usando o portal do Azure.
Atribuições de identidade gerenciada
Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. Atualmente, o Informação de Documentos suporta apenas a identidade gerenciada atribuída pelo sistema:
Uma identidade gerenciada atribuída pelo sistema é habilitada diretamente em uma instância de serviço. Esse recurso não está habilitado por padrão, é preciso acessar o recurso e atualizar a configuração de identidade.
A identidade gerenciada atribuída pelo sistema é vinculada ao seu recurso durante todo o ciclo de vida. Se você excluir seu recurso, a identidade gerenciada também será excluída.
Nas etapas a seguir, habilitaremos uma identidade gerenciada atribuída pelo sistema e concederemos ao Informação de Documentos acesso limitado à sua conta de armazenamento de blobs do Azure.
Habilitar uma identidade gerenciada atribuída ao sistema
Importante
Para habilitar uma identidade gerenciada atribuída pelo sistema, você precisa de permissões Microsoft.Authorization/roleAssignments/write, como Proprietário ou Administrador de Acesso do Usuário. Você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos ou recurso.
Entre no portal do Azure usando uma conta associada à sua assinatura do Azure.
Navegue até sua página de recursos Informação de Documentos no portal do Microsoft Azure.
No trilho esquerdo, selecione Identidade na lista de Gerenciamento de Recursos :
Na janela principal, alterne a guia Status atribuído pelo sistema para Ativado.
Conceder acesso à sua conta de armazenamento
Você precisa conceder acesso de Inteligência de Documentos à sua conta de armazenamento para que ela possa ler blobs. Agora que o acesso ao Informação de Documentos está habilitado com uma identidade gerenciada atribuída pelo sistema, é possível usar o RBAC do Azure para fornecer acesso do Informação de Documentos ao armazenamento do Azure. A função Leitor de Dados de Armazenamento de Blobs dá ao Informação de Documentos (representado pela identidade gerenciada atribuída pelo sistema) acesso de leitura e lista ao contêiner e aos dados do blob.
Em Permissões, selecione Atribuições de função do Azure:
Na página Atribuições de função do Azure que é aberta, escolha sua assinatura no menu suspenso e, em seguida, selecione + Adicionar atribuição de função.
Observação
Se não for possível atribuir uma função no portal do Azure porque a opção Adicionar >, Adicionar atribuição de função está desabilitada ou receber o erro de permissões "você não tem permissões para adicionar a atribuição de função neste escopo", verifique se você está conectado no momento como um usuário com uma função atribuída que tenha permissões Microsoft.Authorization/roleAssignments/write como Proprietário ou Administrador de Acesso do Usuário no escopo de armazenamento do recurso de armazenamento.
Avançar, você atribuirá uma função Leitor de Dados de Blobs de Armazenamento ao seu recurso do serviço de Informação de Documentos. Na janela pop-up
Add role assignment
, conclua os campos da seguinte maneira e selecione Salvar:Campo Valor Escopo Storage Assinatura A assinatura associada ao recurso de armazenamento. Recurso O nome do recurso de armazenamento Função Leitor de Dados de Blob de Armazenamento - permite o acesso de leitura aos dados e aos contêineres do Azure Storage Blob. Depois de receber a mensagem de confirmação Atribuição de função adicionada, atualize a página para ver a atribuição de função adicionada.
Se você não vir a alteração imediatamente, aguarde e tente atualizar a página mais uma vez. Quando você atribui ou remove atribuições de função, pode levar até 30 minutos para que as alterações entrem em vigor.
É isso! Você concluiu as etapas para habilitar uma identidade gerenciada atribuída pelo sistema. Com a identidade gerenciada e o RBAC do Azure, você concedeu à Informação de Documentos direitos de acesso específicos ao seu recurso de armazenamento sem precisar gerenciar credenciais, como tokens SAS.
Outras atribuições de função do Estúdio de Informação de Documentos
Se você for usar o Estúdio de Informação de Documentos e sua conta de armazenamento estiver configurada com uma restrição de rede, como firewall ou rede virtual, será preciso atribuir ao serviço de Informação de Documentos outra função de Colaborador de dados de Blobs de Armazenamento. O Estúdio de Informação de Documentos precisa dessa função para gravar blobs na conta de armazenamento quando você executa operações com rotulagem automática, Humanos no loop ou de compartilhamento/atualização de projeto.