Keresési szolgáltatás csatlakoztatása más Azure-erőforrásokhoz felügyelt identitás használatával

Egy Azure Cognitive Search szolgáltatás konfigurálható úgy, hogy más Azure-erőforrásokhoz csatlakozzon egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás és egy Azure-szerepkör-hozzárendelés használatával. A felügyelt identitások és szerepkör-hozzárendelések esetében nincs szükség titkos kódok és hitelesítő adatok átadására egy kapcsolati sztring vagy kódban.

Előfeltételek

  • Keresési szolgáltatás az Alapszintű vagy annál magasabb szinten.

  • Olyan Azure-erőforrás, amely egy érvényes szerepkör-hozzárendeléssel rendelkező Azure AD bejelentkezésből fogad bejövő kéréseket.

Támogatott esetek

A Cognitive Search rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást használhat az Azure-erőforrások felé irányuló kimenő kapcsolatokon. A rendszer által felügyelt identitás akkor van jelezve, ha a kapcsolati sztring egy Azure AD-felismerő szolgáltatás vagy alkalmazás egyedi erőforrás-azonosítója. A felhasználó által hozzárendelt felügyelt identitás egy "identity" tulajdonságon keresztül van megadva.

A keresési szolgáltatás az Azure Storage-t használja indexelő adatforrásként és adatfogadóként a hibakeresési munkamenetekhez, a bővítési gyorsítótárazáshoz és a tudástárhoz. A tárolóba visszaírt keresési funkciókhoz a felügyelt identitásnak közreműködői szerepkör-hozzárendelésre van szüksége a "Szerepkör hozzárendelése" szakaszban leírtak szerint.

Eset Rendszer által felügyelt identitás Felhasználó által hozzárendelt felügyelt identitás (előzetes verzió)
Indexelőkapcsolatok támogatott Azure-adatforrásokhoz1 Igen Igen
Azure Key Vault ügyfél által felügyelt kulcsokhoz Igen Igen
Hibakeresési munkamenetek (az Azure Storage)1 Igen Nem
Bővítési gyorsítótár (az Azure Storage)1,2 Igen Igen
Tudástár (az Azure Storage)1 Igen Igen
Egyéni készségek (Azure Functions vagy azzal egyenértékű) Igen Igen

1 A keresés és a tárolás közötti kapcsolathoz a hálózati biztonsági konfiguráció korlátozza, hogy milyen típusú felügyelt identitást használhat. A megbízható szolgáltatáskivételen vagy erőforráspéldány-szabályon keresztül csak egy rendszer által felügyelt identitás használható a tárolóval való azonos régiós kapcsolathoz. A részletekért lásd: Hozzáférés hálózati védelem alatt álló tárfiókhoz .

2 A bővítési gyorsítótár megadásának egyik módszere az Adatok importálása varázslóban található. A varázsló jelenleg nem fogad el kapcsolati sztring felügyelt identitást a bővítési gyorsítótárhoz. A varázsló befejeződése után azonban frissítheti az indexelő JSON-definíciójának kapcsolati sztring, hogy meghatározzon egy rendszert vagy egy felhasználó által hozzárendelt felügyelt identitást, majd futtassa újra az indexelőt.

Rendszer által felügyelt identitás létrehozása

Ha engedélyezve van egy rendszer által hozzárendelt felügyelt identitás, az Azure létrehoz egy identitást a keresési szolgáltatáshoz, amellyel hitelesítést végezhet az ugyanazon bérlőn és előfizetésen belüli más Azure-szolgáltatásokban. Ezt az identitást ezután azure-beli szerepköralapú hozzáférés-vezérlési (Azure RBAC)-hozzárendelésekben használhatja, amelyek lehetővé teszik az adatokhoz való hozzáférést az indexelés során.

A rendszer által hozzárendelt felügyelt identitás egyedi a keresési szolgáltatásban, és a szolgáltatáshoz van kötve az élettartama során.

  1. Jelentkezzen be a Azure Portal, és keresse meg a keresési szolgáltatást.

  2. A Gépház területen válassza az Identitás lehetőséget.

  3. A Rendszer által hozzárendelt lap Állapot területén válassza a Be lehetőséget.

  4. Kattintson a Mentés gombra.

    Screenshot of the Identity page in Azure portal.

    A mentés után megjelenik egy objektumazonosító, amely hozzá van rendelve a keresési szolgáltatáshoz.

    Screenshot of a system identity object identifier.

Felhasználó által hozzárendelt felügyelt identitás létrehozása (előzetes verzió)

A felhasználó által hozzárendelt felügyelt identitás egy Azure-beli erőforrás. Ez akkor hasznos, ha részletesebb szerepkör-hozzárendelésekre van szüksége, mert különböző alkalmazásokhoz és forgatókönyvekhez külön identitásokat hozhat létre.

Fontos

Ez a funkció a kiegészítő használati feltételek mellett nyilvános előzetes verzióban érhető el. A felhasználó által hozzárendelt felügyelt identitások jelenleg nem támogatottak a hálózati védelem alatt álló tárfiókokhoz való csatlakozáshoz. A keresési kérelemhez jelenleg nyilvános IP-cím szükséges.

  1. Bejelentkezés a Azure Portal

  2. Válassza a + Erőforrás létrehozása lehetőséget.

  3. A "Keresési szolgáltatások és piactér" keresősávban keressen rá a "Felhasználó által hozzárendelt felügyelt identitás" kifejezésre, majd válassza a Létrehozás lehetőséget.

    Screenshot of the user assigned managed identity tile in Azure marketplace.

  4. Válassza ki az előfizetést, az erőforráscsoportot és a régiót. Adjon leíró nevet az identitásnak.

  5. Válassza a Létrehozás lehetőséget , és várja meg, amíg az erőforrás üzembe helyezése befejeződik.

    A következő néhány lépésben hozzárendeli a felhasználó által hozzárendelt felügyelt identitást a keresési szolgáltatáshoz.

  6. A keresési szolgáltatás lap Gépház területén válassza az Identitás lehetőséget.

  7. A Felhasználó által hozzárendelt lapon válassza a Hozzáadás lehetőséget.

  8. Válassza ki az előfizetést, majd válassza ki az előző lépésben létrehozott, felhasználó által hozzárendelt felügyelt erőforrást.

Tűzfalhozzáférés engedélyezése

Ha az Azure-erőforrás tűzfal mögött található, győződjön meg arról, hogy van olyan bejövő szabály, amely fogadja a keresési szolgáltatástól érkező kéréseket.

Szerepkör hozzárendelése

A felügyelt identitást olyan Azure-szerepkörrel kell párosítani, amely meghatározza az Azure-erőforrásra vonatkozó engedélyeket.

  • Adatolvasói engedélyekre van szükség az indexelő adatkapcsolataihoz és egy ügyfél által felügyelt kulcs eléréséhez az Azure Key Vault-ban.

  • Közreműködői (írási) engedélyekre van szükség az Olyan AI-bővítési funkciókhoz, amelyek az Azure Storage használatával üzemeltetik a hibakeresési munkamenet-adatokat, a bővítési gyorsítótárazást és a hosszú távú tartalomtárolást egy tudástárban.

Az alábbi lépések az Azure Storage esetében szükségesek. Ha az erőforrás Cosmos DB vagy Azure SQL, a lépések hasonlóak.

  1. Jelentkezzen be Azure Portal, és keresse meg azt az Azure-erőforrást, amelyhez a keresési szolgáltatásnak hozzáféréssel kell rendelkeznie.

  2. Az Azure Storage a bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (AIM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. A Szerepkör lapon válasszon egy szerepkört:

    Szerepkör Használat
    Olvasó és adathozzáférés Olvasási engedélyeket ad az indexelőnek az Azure Table Storage és az Azure File Storage tartalmához való hozzáféréshez.
    Storage-blobadatok olvasója Olvasási engedélyeket ad az indexelőnek a Blob Storage és Azure Data Lake Storage Gen2 tartalmához való hozzáféréshez.
    Storage-blobadatok közreműködője Írási engedélyeket ad a hibakeresési munkamenetekhez, a tudástár objektum-leképezéseihez és a bővítési gyorsítótárhoz.
    Storage táblaadatok közreműködője Írási engedélyeket ad a tudástár táblavetületeihez.
  5. A Tagok lapon válassza a Felügyelt identitás lehetőséget.

  6. Válassza ki a tagokat. A Felügyelt identitás kiválasztása lapon válassza ki az előfizetést, majd szűrjön szolgáltatástípus szerint, majd válassza ki a szolgáltatást. Csak a felügyelt identitással rendelkező szolgáltatások választhatók ki.

    Screenshot of the select managed identity pane in the role assignment wizard.

  7. Válassza a Véleményezés + hozzárendelés lehetőséget.

Példa kapcsolati sztringre

Miután definiált egy felügyelt identitást a keresési szolgáltatáshoz, és szerepkör-hozzárendelést kapott, a kimenő kapcsolatok módosíthatók a másik Azure-erőforrás egyedi erőforrás-azonosítójának használatára. Íme néhány példa a különböző forgatókönyvek kapcsolati sztringjeire.

Blob adatforrás (rendszer):

Az indexelő adatforrása tartalmaz egy "hitelesítő adatok" tulajdonságot, amely meghatározza, hogyan történik a kapcsolat az adatforrással. Az alábbi példa egy tárfiók egyedi erőforrás-azonosítóját meg kapcsolati sztring. Azure AD hitelesíti a kérést a keresési szolgáltatás rendszer által felügyelt identitásával. Figyelje meg, hogy a kapcsolati sztring nem tartalmaz tárolót. Az adatforrás-definíciókban a tároló neve a "container" tulajdonságban van megadva (nem jelenik meg), nem pedig a kapcsolati sztring.

"credentials": {
    "connectionString": "ResourceId=/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Storage/storageAccounts/{storage-account-name};"
    }

Blob-adatforrás (felhasználó):

Az Azure Storage egy felhasználó által hozzárendelt felügyelt identitással is kérhető keresési kérelem, amely jelenleg előzetes verzióban érhető el. A keresési szolgáltatás felhasználói identitása az "identity" tulajdonságban van megadva. Az identitás beállításához használhatja a portált vagy a REST API 2021-04-30 előzetes verzióját.

"credentials": {
    "connectionString": "ResourceId=/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Storage/storageAccounts/{storage-account-name};"
    },
  . . .
"identity": {
    "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
    "userAssignedIdentity": "/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{user-assigned-managed-identity-name}"
  }

Tudástár:

A tudástár-definíciók tartalmazzák az Azure Storage kapcsolati sztring. Az Azure Storage egy tudástár blobokként és táblákként hoz létre leképezéseket. A kapcsolati sztring a tárfiók egyedi erőforrás-azonosítója. Figyelje meg, hogy a sztring nem tartalmaz tárolókat vagy táblákat az elérési úton. Ezek a beágyazott leképezési definícióban vannak definiálva, nem a kapcsolati sztring.

"knowledgeStore": {
  "storageConnectionString": "ResourceId=/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Storage/storageAccounts/storage-account-name};",

Bővítési gyorsítótár:

Az indexelő létrehozza, felhasználja és megjegyzi a gyorsítótárazott bővítésekhez használt tárolót. Nem szükséges belefoglalni a tárolót a gyorsítótárba kapcsolati sztring. Az objektumazonosítót a keresőszolgáltatás Identitás lapján találja a portálon.

"cache": {
  "id": "{object-id}",
  "enableReprocessing": true,
  "storageConnectionString": "ResourceId=/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Storage/storageAccounts/storage-account-name};"
},

Hibakeresési munkamenet:

A hibakeresési munkamenet a portálon fut, és a munkamenet indításakor kapcsolati sztring vesz igénybe. Az alábbi példához hasonló sztringet illeszthet be.

"ResourceId=/subscriptions/{subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Storage/storageAccounts/{storage-account-name}/{container-name};",

Egyéni képesség:

Egy egyéni képesség egy egyéni kódot üzemeltető Azure-függvény vagy alkalmazás végpontját célozza meg. A végpont az egyéni képességdefinícióban van megadva. Az "authResourceId" jelenléte arra utasítja a keresési szolgáltatást, hogy egy felügyelt identitással csatlakozzon, és adja meg a célfüggvény vagy alkalmazás alkalmazásazonosítóját a tulajdonságban.

{
  "@odata.type": "#Microsoft.Skills.Custom.WebApiSkill",
  "description": "A custom skill that can identify positions of different phrases in the source text",
  "uri": "https://contoso.count-things.com",
  "authResourceId": "<Azure-AD-registered-application-ID>",
  "batchSize": 4,
  "context": "/document",
  "inputs": [ ... ],
  "outputs": [ ...]
}

Lásd még