Megosztás a következőn keresztül:


Szerepköralapú hozzáférés-vezérlés engedélyezése vagy letiltása az Azure AI Searchben

Az Azure AI Search a kulcs nélküli és a kulcsalapú hitelesítést is támogatja az összes vezérlősík- és adatsík-művelethez. Az Azure szerepköralapú hozzáférés-vezérlésén (RBAC) keresztül használhatja a Microsoft Entra ID-hitelesítést és -engedélyezést az összes vezérlősík- és adatsík-művelethez.

Fontos

Keresési szolgáltatás létrehozásakor a kulcsalapú hitelesítés az alapértelmezett, de nem ez a legbiztonságosabb lehetőség. Javasoljuk, hogy a jelen cikkben ismertetett szerepköralapú hozzáférésre cserélje le.

Mielőtt szerepköröket rendelhet az Azure AI Searchhez engedélyezett adatsík-hozzáféréshez, engedélyeznie kell a szerepköralapú hozzáférés-vezérlést a keresési szolgáltatásban. A szolgáltatásfelügyeleti szerepkörök (vezérlősík) beépítettek, és nem engedélyezhetők és nem tilthatók le.

Feljegyzés

Az adatsík a keresési szolgáltatás végpontján végzett műveletekre vonatkozik, például indexelésre vagy lekérdezésekre, vagy a Keresési szolgáltatás REST API-jaiban vagy az azzal egyenértékű Azure SDK-ügyfélkódtárakban megadott bármely más műveletre. A vezérlősík az Azure-erőforrás-kezelésre utal, például keresési szolgáltatás létrehozására vagy konfigurálására.

Előfeltételek

Szerepköralapú hozzáférés engedélyezése adatsík-műveletekhez

Konfigurálja a keresési szolgáltatást, hogy felismerjen egy engedélyezési fejlécet az OAuth2 hozzáférési jogkivonatot biztosító adatkéréseken.

Ha engedélyezi a szerepköröket az adatsíkon, a módosítás azonnal életbe lép, de várjon néhány másodpercet a szerepkörök hozzárendelése előtt.

A jogosulatlan kérések alapértelmezett hibamódja a következő http401WithBearerChallenge: . Másik lehetőségként a hibamódot http403is beállíthatja.

  1. Jelentkezzen be az Azure Portalra , és keresse meg a keresési szolgáltatást.

  2. Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

    Képernyőkép a kulcsok oldaláról a hitelesítési beállításokkal.

  3. Válassza a szerepköralapú vezérlőt. Csak akkor válassza a Mindkettő lehetőséget, ha jelenleg kulcsokat használ, és időre van szüksége ahhoz, hogy az ügyfeleket szerepköralapú hozzáférés-vezérlésre váltsa.

    Lehetőség Leírás
    API-kulcs (alapértelmezett) Az engedélyezéshez API-kulcsokat igényel a kérelem fejlécén.
    Szerepköralapú hozzáférés-vezérlés (ajánlott) A feladat elvégzéséhez tagságra van szükség egy szerepkör-hozzárendelésben. A kérelemhez szükség van egy engedélyezési fejlécre is.
    Mindkettő A kérések API-kulccsal vagy szerepköralapú hozzáférés-vezérléssel érvényesek, de ha mindkettőt ugyanabban a kérésben adja meg, az API-kulcsot használja a rendszer.
  4. Rendszergazdaként, ha csak szerepkörökre vonatkozó megközelítést választ, rendeljen adatsík-szerepköröket a felhasználói fiókjához, hogy visszaállítsa a teljes rendszergazdai hozzáférést az Adatsík-műveletekhez az Azure Portalon. A szerepkörök közé tartozik a keresési szolgáltatás közreműködője, a keresési index adatszolgáltatója és a keresési index adatolvasója. Az első két szerepkörre van szüksége, ha egyenértékű hozzáférést szeretne.

    Előfordulhat, hogy a szerepkör-hozzárendelések érvénybe lépése 5-10 percet is igénybe vehet. Amíg ez nem történik meg, az alábbi üzenet megjelenik az adatsík-műveletekhez használt Azure Portal-oldalakon.

    Képernyőkép az elégtelen engedélyeket jelző portálüzenetről.

Szerepköralapú hozzáférés-vezérlés letiltása

Az adatsík-műveletek szerepköralapú hozzáférés-vezérlését letilthatja, és ehelyett kulcsalapú hitelesítést használhat. Ezt egy tesztfolyamat részeként teheti meg, például kizárhatja az engedélyekkel kapcsolatos problémákat.

Szerepköralapú hozzáférés-vezérlés letiltása az Azure Portalon:

  1. Jelentkezzen be az Azure Portalra , és nyissa meg a keresési szolgáltatás oldalát.

  2. Válassza a Beállítások lehetőséget , majd a bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

  3. Válassza ki az API-kulcsokat.

API-kulcs hitelesítésének letiltása

A kulcshozzáférés vagy a helyi hitelesítés letiltható a szolgáltatásban, ha kizárólag a beépített szerepköröket és a Microsoft Entra-hitelesítést használja. Az API-kulcsok letiltása miatt a keresési szolgáltatás elutasítja az összes olyan adattal kapcsolatos kérést, amely egy API-kulcsot ad át a fejlécben.

A rendszergazdai API-kulcsok letilthatók, de nem törölhetők. A lekérdezési API-kulcsok törölhetők.

A biztonsági funkciók letiltásához tulajdonosi vagy közreműködői engedélyek szükségesek.

  1. Az Azure Portalon keresse meg a keresési szolgáltatást.

  2. A bal oldali navigációs panelen válassza a Kulcsok lehetőséget.

  3. Válassza a szerepköralapú hozzáférés-vezérlést.

A módosítás azonnal érvényes, de várjon néhány másodpercet a tesztelés előtt. Feltéve, hogy rendelkezik engedéllyel a szerepkörök tulajdonosi, szolgáltatásadminisztrátori vagy társminisztrátori szerepkörök hozzárendelésére, a portálfunkciókkal tesztelheti a szerepköralapú hozzáférést.

Következő lépések