Habilitar ou desabilitar o controle de acesso baseado em função no Azure AI Search

O Azure AI Search dá suporte à autenticação sem chave e baseada em chave para todas as operações do plano de controle e do plano de dados. Você pode usar a autenticação e autorização do Microsoft Entra ID para todas as operações do plano de controle e do plano de dados por meio do RBAC (controle de acesso baseado em função) do Azure.

Importante

Quando você cria um serviço de pesquisa, a autenticação baseada em chave é o padrão, mas não é a opção mais segura. Recomendamos que você o substitua por acesso baseado em função, conforme descrito neste artigo.

Antes de atribuir funções para acesso autorizado ao plano de dados ao Azure AI Search, você deve habilitar o controle de acesso baseado em função em seu serviço de pesquisa. As funções para administração de serviços (plano de controle) são incorporadas e não podem ser habilitadas ou desabilitadas.

Nota

O plano de dados refere-se a operações no ponto de extremidade do serviço de pesquisa, como indexação ou consultas, ou qualquer outra operação especificada nas APIs REST do Serviço de Pesquisa ou bibliotecas de cliente equivalentes do SDK do Azure. O plano de controle refere-se ao gerenciamento de recursos do Azure, como a criação ou configuração de um serviço de pesquisa.

Pré-requisitos

• Um serviço de pesquisa em qualquer região, em qualquer nível, incluindo gratuito.

• Proprietário, Administrador de Acesso de Usuário ou uma função personalizada com permissões Microsoft.Authorization/roleAssignments/write .

Habilitar o acesso baseado em função para operações de plano de dados

Configure seu serviço de pesquisa para reconhecer um cabeçalho de autorização em solicitações de dados que fornecem um token de acesso OAuth2.

Quando você habilita funções para o plano de dados, a alteração entra em vigor imediatamente, mas aguarde alguns segundos antes de atribuir funções.

O modo de falha padrão para solicitações não autorizadas é http401WithBearerChallenge. Como alternativa, você pode definir o modo de falha como http403.

Portal do Azure

1. Entre no portal do Azure e navegue até seu serviço de pesquisa.

2. Selecione Configurações e, em seguida, selecione Teclas no painel de navegação esquerdo.

   

3. Escolha Controle baseado em função. Escolha Ambos apenas se estiver usando chaves no momento e precisar de tempo para fazer a transição dos clientes para o controle de acesso baseado em função.

   Opção	Description
   Chave de API (padrão)	Requer chaves de API no cabeçalho da solicitação para autorização.
   Controle de acesso baseado em função (recomendado)	Requer associação a uma atribuição de função para concluir a tarefa. Também requer um cabeçalho de autorização na solicitação.
   Ambos	As solicitações são válidas usando uma chave de API ou um controle de acesso baseado em função, mas se você fornecer ambos na mesma solicitação, a chave de API será usada.

4. Como administrador, se você escolher uma abordagem somente de funções, atribua funções de plano de dados à sua conta de usuário para restaurar o acesso administrativo total sobre operações de plano de dados no portal do Azure. As funções incluem Colaborador do Serviço de Pesquisa, Colaborador de Dados do Índice de Pesquisa e Leitor de Dados do Índice de Pesquisa. Você precisa das duas primeiras funções se quiser acesso equivalente.

   Às vezes, pode levar de cinco a dez minutos para que as atribuições de função entrem em vigor. Até que isso aconteça, a seguinte mensagem aparece nas páginas do portal do Azure usadas para operações de plano de dados.

   

CLI do Azure

Execute este script para suportar apenas funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Ou, execute este script para suportar chaves e funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Para obter mais informações, consulte Gerenciar seu serviço Azure AI Search com a CLI do Azure.

Azure PowerShell

Execute este comando para definir o tipo de autenticação apenas para funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Ou, execute este comando para suportar teclas e funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Para obter mais informações, consulte Gerenciar seu serviço Azure AI Search com o PowerShell.

API REST

Use o Serviço Criar ou Atualizar a API REST de Gerenciamento para configurar seu serviço para controle de acesso baseado em função.

Todas as chamadas para a API REST de gerenciamento são autenticadas por meio da ID do Microsoft Entra. Para obter ajuda com a configuração de solicitações autenticadas, consulte Gerenciar a Pesquisa de IA do Azure usando REST.

1. Obtenha as configurações de serviço para que você possa revisar a configuração atual.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Use PATCH para atualizar a configuração do serviço. As modificações a seguir habilitam as chaves e o acesso baseado em função. Se você quiser uma configuração somente de funções, consulte Desabilitar chaves de API.

   Em "propriedades", defina "authOptions" como "aadOrApiKey". A propriedade "disableLocalAuth" deve ser false para definir "authOptions".

   Opcionalmente, defina "aadAuthFailureMode" para especificar se 401 é retornado em vez de 403 quando a autenticação falha. Os valores válidos são "http401WithBearerChallenge" ou "http403".

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

Desativar o controle de acesso baseado em função

É possível desativar o controle de acesso baseado em função para operações de plano de dados e usar a autenticação baseada em chave. Você pode fazer isso como parte de um fluxo de trabalho de teste, por exemplo, para excluir problemas de permissão.

Para desabilitar o controle de acesso baseado em função no portal do Azure:

1. Entre no portal do Azure e abra a página do serviço de pesquisa.

2. Selecione Configurações e, em seguida, selecione Teclas no painel de navegação esquerdo.

3. Selecione Chaves de API.

Desativar autenticação de chave de API

O acesso à chave, ou autenticação local, pode ser desabilitado em seu serviço se você estiver usando exclusivamente as funções internas e a autenticação do Microsoft Entra. A desativação de chaves de API faz com que o serviço de pesquisa recuse todas as solicitações relacionadas a dados que passam uma chave de API no cabeçalho.

As chaves da API de administrador podem ser desativadas, mas não excluídas. As chaves da API de consulta podem ser excluídas.

As permissões de Proprietário ou Colaborador são necessárias para desativar os recursos de segurança.

Portal do Azure

1. No portal do Azure, navegue até o serviço de pesquisa.

2. No painel de navegação esquerdo, selecione Chaves.

3. Selecione Controle de acesso baseado em função.

A alteração entra em vigor imediatamente, mas aguarde alguns segundos antes do teste. Supondo que você tenha permissão para atribuir funções como membro de Proprietário, administrador de serviço ou coadministrador, você pode usar os recursos do portal para testar o acesso baseado em função.

CLI do Azure

Para desativar a autenticação baseada em chave, defina -disableLocalAuth como true. Esta é a mesma sintaxe que o script "enable roles only" apresentado na seção anterior.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Para reativar a autenticação de chave, defina -disableLocalAuth como false. O serviço de pesquisa retoma automaticamente a aceitação de chaves de API na solicitação (supondo que elas sejam especificadas).

Para obter mais informações, consulte Gerenciar seu serviço Azure AI Search com a CLI do Azure.

Azure PowerShell

Para desativar a autenticação baseada em chave, defina DisableLocalAuth como true. Esta é a mesma sintaxe que o script "enable roles only" apresentado na seção anterior.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Para reativar a autenticação de chave, defina DisableLocalAuth como false. O serviço de pesquisa retoma automaticamente a aceitação de chaves de API na solicitação (supondo que elas sejam especificadas).

Para obter mais informações, consulte Gerenciar seu serviço Azure AI Search com o PowerShell.

API REST

Para desativar a autenticação baseada em chave, defina "disableLocalAuth" como true.

1. Obtenha as configurações de serviço para que você possa revisar a configuração atual.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Use PATCH para atualizar a configuração do serviço. A modificação a seguir define "authOptions" como null.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Para reativar a autenticação de chave, defina "disableLocalAuth" como false. O serviço de pesquisa retoma automaticamente a aceitação de chaves de API na solicitação (supondo que elas sejam especificadas).

Próximos passos

Configurar funções para acesso a um serviço de pesquisa