Habilitar ou desabilitar o controle de acesso baseado em função na Pesquisa de IA do Azure

A Pesquisa de IA do Azure usa autenticação baseada em chave por padrão, mas dá suporte total à autenticação e autorização do Microsoft Entra ID para todas as operações do painel de controle e do plano de dados por meio do RBAC (controle de acesso baseado em função) do Azure.

Antes de atribuir funções para acesso de plano de dados autorizado à Pesquisa de IA do Azure, você deve habilitar o controle de acesso baseado em função em seu serviço de pesquisa. As funções de administração de serviço (plano de controle) são internas e não podem ser habilitadas ou desabilitadas.

Observação

Plano de dados se refere a operações no ponto de extremidade do serviço de pesquisa, como indexação ou consultas, ou qualquer outra operação especificada nas APIs REST do Serviço Pesquisa ou bibliotecas de cliente do SDK do Azure equivalentes. Painel de controle se refere ao gerenciamento de recursos do Azure, como criar ou configurar um serviço de pesquisa.

Pré-requisitos

• Um serviço de pesquisa em qualquer região, em qualquer camada, incluindo gratuito.

• Proprietário, Administrador de Acesso do Usuário ou uma função com permissões Microsoft.Authorization/roleAssignments/write.

Habilitar o acesso baseado em função para operações de plano de dados

Configure seu serviço de pesquisa para reconhecer um cabeçalho de autorização em solicitações de dados que fornecem um token de acesso OAuth2.

Quando você habilita funções para o plano de dados, a alteração é efetiva imediatamente, mas aguarda alguns segundos antes de atribuir funções.

O modo de falha padrão para solicitações não autorizadas é http401WithBearerChallenge. Como alternativa, você pode definir o modo de falha como http403.

Portal do Azure

1. Entre no portal do Azure e abra a página do serviço de pesquisa.

2. Selecione Configurações e selecione Chaves no painel de navegação esquerdo.

   

3. Escolha Controle baseado em função ou Ambos se você estiver usando chaves no momento e precisar de tempo para fazer a transição de clientes para o controle de acesso baseado em função.

   Opção	Descrição
   Chave de API	(padrão). Requer chaves de API no cabeçalho da solicitação para autorização.
   Controle de acesso baseado em função	Requer associação em uma atribuição de função para concluir a tarefa. Ele também requer um cabeçalho de autorização na solicitação.
   Ambos	As solicitações são válidas usando uma chave de API ou um controle de acesso baseado em função, mas se você fornecer ambos na mesma solicitação, a chave de API será usada.

4. Como administrador, se você escolher uma abordagem somente funções, atribua funções de plano de dados à sua conta de usuário para restaurar o acesso administrativo completo em operações de plano de dados no portal do Azure. Funções incluem Colaborador de Serviço de Pesquisa, Colaborador de dados de índice de pesquisa e Leitor de dados de índice de pesquisa. Você precisa das duas primeiras funções se quiser acesso equivalente.

   Às vezes, pode levar de cinco a dez minutos para que as atribuições de função entrem em vigor. Até que isso aconteça, a seguinte mensagem aparecerá nas páginas do portal do Azure usadas para operações do plano de dados.

   

CLI do Azure

Execute esse script somente para dar suporte a funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Ou execute esse script para dar suporte a chaves e funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Para obter mais informações, consulte Gerenciar seu serviço do Pesquisa de IA do Azure com a CLI do Azure.

PowerShell do Azure

Execute esse comando para definir o tipo de autenticação como somente funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Ou execute esse comando para dar suporte a chaves e funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Para obter mais informações sobre esse cmdlet, consulte Gerenciar o serviço do Pesquisa de IA do Azure com o PowerShell.

REST API

Use a API REST de Gerenciamento Criar ou atualizar o serviço a fim de configurar seu serviço para controle de acesso baseado em função.

Todas as chamadas à API REST de Gerenciamento são autenticadas por meio do Microsoft Entra ID. Para obter ajuda com a configuração de solicitações autenticadas, veja Gerenciar a IA do Azure Search usando REST.

1. Obtenha as configurações de serviço para que você possa examinar a configuração atual.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Use PATCH para atualizar a configuração do serviço. As modificações a seguir habilitam as chaves e o acesso baseado em função. Se você quiser uma configuração somente de funções, confira Desabilitar chaves de API.

   Em "propriedades", defina "authOptions" como "aadOrApiKey". A propriedade "disableLocalAuth" deve ser falsa para definir "authOptions".

   Opcionalmente, defina “aadAuthFailureMode” para especificar se 401 é retornado em vez de 403 quando a autenticação falha. Os valores válidos são "http401WithBearerChallenge" ou "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Habilitar o controle de acesso baseado em função

É possível desabilitar o controle de acesso baseado em função para operações do plano de dados e usar a autenticação baseada em chave. Você pode fazer isso como parte de um fluxo de trabalho de teste, por exemplo, para descartar problemas de permissão.

Inverta as etapas que você seguiu anteriormente para habilitar o acesso baseado em função.

1. Entre no portal do Azure e abra a página do serviço de pesquisa.

2. Selecione Configurações e selecione Chaves no painel de navegação esquerdo.

3. Selecione Chaves de API.

Desabilitar a autenticação da chave de API

O Acesso à chave ou a autenticação local podem ser desabilitados em seu serviço, caso esteja usando as funções internas e a autenticação do Microsoft Entra. A desabilitação das chaves de API faz com que o serviço de pesquisa recuse todas as solicitações relacionadas a dados que passam uma chave de API no cabeçalho.

As chaves da API de administrador podem ser desabilitadas, mas não excluídas. As chaves de API de consultas podem ser excluídas.

Para desabilitar os recursos, são necessárias permissões de Proprietário ou de Colaborador.

Portal do Azure

1. No portal do Azure, navegue até o serviço de pesquisa.

2. Selecione Chaves no painel de navegação à esquerda.

3. Selecione Controle de acesso baseado em função.

A alteração entra em vigor imediatamente, mas aguarde alguns segundos antes de testar. Supondo que você tenha permissão para atribuir funções como membro ou Proprietário, administrador de serviços ou coadministrador, poderá usar recursos do portal para testar o acesso baseado em função.

CLI do Azure

Para desabilitar a autenticação baseada em chave, defina "disableLocalAuth" como true. Essa é a mesma sintaxe que o script "habilitar somente funções" apresentado na seção anterior.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Para habilitar novamente a autenticação de chave, defina -disableLocalAuth como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Para obter mais informações, consulte Gerenciar seu serviço do Pesquisa de IA do Azure com a CLI do Azure.

PowerShell do Azure

Para desabilitar a autenticação baseada em chave, defina DisableLocalAuth como true. Essa é a mesma sintaxe que o script "habilitar somente funções" apresentado na seção anterior.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Para habilitar novamente a autenticação de chave, defina DisableLocalAuth como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Para obter mais informações sobre esse cmdlet, consulte Gerenciar o serviço do Pesquisa de IA do Azure com o PowerShell.

REST API

Para desabilitar a autenticação baseada em chave, defina "disableLocalAuth" como true.

1. Obtenha as configurações de serviço para que você possa examinar a configuração atual.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Use PATCH para atualizar a configuração do serviço. A modificação a seguir definirá "authOptions" como nulo.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Para habilitar novamente a autenticação de chave, defina "disableLocalAuth" como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Efeitos do controle de acesso baseado em função

• O controle de acesso baseado em função pode aumentar a latência de algumas solicitações. Cada combinação exclusiva de recurso de serviço (índice, indexador, conjuntos de habilidades e assim por diante) e entidade de serviço dispara uma verificação de autorização. Essas verificações de autorização podem adicionar até 200 milissegundos de latência por solicitação.

• Em casos raros em que as solicitações se originam de um alto número de entidades de serviço diferentes, todas direcionadas a diferentes recursos de serviço (índices, indexadores e assim por diante), é possível que as verificações de autorização resultem em limitação. A limitação só ocorreria se centenas de combinações exclusivas de recurso de serviço de pesquisa e entidade de serviço fossem usadas em um segundo.

Próximas etapas

Configurar funções para acesso a um serviço de pesquisa