الهويات المدارة لأداة التعرف على النماذج

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

الهويات المدارة لموارد Azure هي مبادئ الخدمة التي تنشئ هوية Azure Active Directory (Azure AD) وأذونات محددة لموارد Azure المدارة:

• يمكنك استخدام الهويات المدارة لمنح حق الوصول إلى أي مورد يدعم مصادقة Azure AD، بما في ذلك تطبيقاتك الخاصة. على عكس مفاتيح الأمان ورموز المصادقة ، تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد.

• لمنح حق الوصول إلى مورد Azure، قم بتعيين دور Azure إلى هوية مدارة باستخدام عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC).

• لا توجد تكلفة إضافية لاستخدام الهويات المدارة في Azure.

تلميح

تلغي الهويات المدارة الحاجة إلى إدارة بيانات الاعتماد، بما في ذلك الرموز المميزة لتوقيع الوصول المشترك (SAS). تعد الهويات المدارة طريقة أكثر أمانا لمنح حق الوصول إلى البيانات دون الحاجة إلى بيانات اعتماد في التعليمات البرمجية.

الوصول إلى حساب التخزين الخاص

يتم دعم الوصول إلى حساب تخزين Azure الخاص والمصادقة بواسطة هويات مدارة لموارد Azure. إذا كان لديك حساب تخزين Azure محمي بواسطة شبكة ظاهرية (VNet) أو جدار حماية، فلن يتمكن أداة التعرف على النماذج من الوصول مباشرة إلى بيانات حساب التخزين الخاص بك. ومع ذلك، بمجرد تمكين الهوية المدارة، يمكن ل "أداة التعرف على النماذج" الوصول إلى حساب التخزين الخاص بك باستخدام بيانات اعتماد هوية مدارة معينة.

ملاحظة

• إذا كنت تنوي تحليل بيانات التخزين باستخدام أداة وضع العلامات النموذجية للتعرف على النموذج (FOTT)، فيجب عليك نشر الأداة خلف VNet أو جدار الحماية.

• يمكن لواجهات برمجة تطبيقات "إيصال التحليل" و"بطاقة العمل" و"الفاتورة" و"مستند الهوية" و"النموذج المخصص" استخراج البيانات من مستند واحد عن طريق نشر الطلبات كمحتوى ثنائي خام. في هذه السيناريوهات، لا يوجد أي شرط لبيانات اعتماد الهوية المدارة.

المتطلبات الأساسية

للبدء، ستحتاج إلى:

• حساب Azure نشط—إذا لم يكن لديك حساب، فيمكنك إنشاء حساب مجاني.

• مورد التعرف على النموذج أو الخدمات المعرفية في مدخل Azure. للحصول على خطوات مفصلة، راجعإنشاء مورد خدمات معرفية باستخدام مدخل Azure.

• حساب تخزين Azure blob في نفس المنطقة مثل مورد التعرف على النموذج. ستقوم بإنشاء حاويات لتخزين بيانات النقطة وتنظيمها داخل حساب التخزين الخاص بك.

  • إذا كان حساب التخزين الخاص بك خلف جدار حماية، فيجب تمكين التكوين التالي:
    
    

  • في صفحة حساب التخزين، حدد الأمان + الشبكات → الشبكات من القائمة اليمنى.

  • في النافذة الرئيسية، حدد السماح بالوصول من الشبكات المحددة.

  • في صفحة الشبكات المحددة، انتقل إلى فئة الاستثناءات وتأكد من تمكين خانة الاختيار السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا .

    

• فهم موجز لعنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) باستخدام مدخل Azure .

تعيينات الهوية المدارة

هناك نوعان من الهوية المدارة: تعيين النظاموتعيين المستخدم. حاليا، يدعم "التعرف على النموذج" الهوية المدارة المعينة للنظام فقط:

• يتم تمكين هوية مدارة تم تعيينها بواسطة النظام مباشرة على مثيل خدمة. لا يتم تمكينه افتراضيا. يجب عليك الانتقال إلى المورد الخاص بك وتحديث إعداد الهوية.

• ترتبط الهوية المدارة المعينة من قبل النظام بموردك طوال دورة حياته. إذا حذفت المورد، حذف الهوية المدارة أيضا.

في الخطوات التالية، سنقوم بتمكين هوية مدارة معينة من قبل النظام ومنح أداة التعرف على النموذج وصولا محدودا إلى حساب تخزين Azure blob الخاص بك.

تمكين هوية مدارة معينة من قبل النظام

هام

لتمكين هوية مدارة معينة من قبل النظام، تحتاج إلى Microsoft.Authorization/roleAssignments/أذونات الكتابة ، مثل المالك أو مسؤول وصول المستخدم. يمكنك تحديد نطاق على أربعة مستويات: مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد.

1. سجل الدخول إلى مدخل Azure باستخدام حساب مقترن باشتراكك في Azure .

2. انتقل إلى صفحة مورد أداة التعرف على النموذج في مدخل Azure.

3. في السكة اليمنى، حدد الهوية من قائمة إدارة الموارد :

   

4. في النافذة الرئيسية، قم بتبديل علامة التبويب الحالة المعينة للنظام إلى تشغيل.

منح حق الوصول إلى حساب التخزين الخاص بك

تحتاج إلى منح أداة التعرف على النموذج حق الوصول إلى حساب التخزين الخاص بك قبل أن تتمكن من إنشاء نقاط أو قراءتها أو حذفها. الآن بعد أن قمت بتمكين أداة التعرف على النموذج باستخدام هوية مدارة تم تعيينها بواسطة النظام، يمكنك استخدام عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC)، لمنح أداة التعرف على النموذج حق الوصول إلى وحدة تخزين Azure. يمنح دور "قارئ بيانات نقطة التخزين " أداة التعرف على النموذج (ممثلة بالهوية المدارة المعينة من قبل النظام) حق الوصول إلى حاوية النقطة والبيانات وإدراجها في القائمة.

1. ضمن أذونات، حدد تعيينات دور Azure:

   

2. سيتم فتح صفحة تعيينات دور Azure. اختر اشتراكك من القائمة المنسدلة ثم حدد + إضافة تعيين دور.

   

   ملاحظة

   إذا لم تتمكن من تعيين دور في مدخل Azure بسبب تعطيل الخيار إضافة > تعيين دور أو ظهور خطأ الأذونات، "ليس لديك أذونات لإضافة تعيين دور في هذا النطاق"، فتحقق من تسجيل دخولك حاليا كمستخدم لديه دور معين لديه Microsoft.Authorization/roleAssignments/أذونات الكتابة مثل المالك أو مسؤول وصول المستخدم في نطاق التخزين لمورد التخزين.

3. بعد ذلك، ستقوم بتعيين دور "قارئ بيانات نقطة التخزين " إلى مورد خدمة "التعرف على النماذج". في النافذة المنبثقة إضافة تعيين دور أكمل الحقول كما يلي وحدد حفظ:

   الحقل	القيمة
   النطاق	التخزين
   الاشتراك	الاشتراك المرتبط بمورد التخزين الخاص بك.
   المورد	اسم مورد التخزين الخاص بك
   الدور	Storage Blob Data Reader—يسمح بالوصول للقراءة إلى حاويات وبيانات نقطة تخزين Azure.

   

4. بعد تلقي رسالة تأكيد تعيين الدور المضاف، قم بتحديث الصفحة لرؤية تعيين الدور المضاف .

   

5. إذا لم يظهر لك التغيير على الفور، فانتظر وحاول تحديث الصفحة مرة أخرى. عند تعيين تعيينات الأدوار أو إزالتها، قد يستغرق الأمر ما يصل إلى 30 دقيقة حتى تصبح التغييرات سارية المفعول.

   

هذا كل شيء! لقد أكملت الخطوات اللازمة لتمكين هوية مدارة تم تعيينها بواسطة النظام. باستخدام الهوية المدارة وAzure RBAC، منحت أداة التعرف على النموذج حقوق وصول محددة إلى مورد التخزين الخاص بك دون الحاجة إلى إدارة بيانات الاعتماد مثل رموز SAS المميزة.

مزيد من المعلومات حول الهوية المدارة

الوصول إلى Azure Storage من تطبيق ويب باستخدام الهويات المدارة