Identitas terkelola untuk Form Recognizer
Identitas terkelola untuk sumber daya Azure adalah perwakilan layanan yang membuat identitas Azure Active Directory (Azure AD) dan izin khusus untuk sumber daya terkelola Azure:
Anda dapat menggunakan identitas terkelola untuk memberikan akses ke sumber daya apa pun yang mendukung autentikasi Azure AD, termasuk aplikasi Anda sendiri. Tidak seperti kunci keamanan dan token autentikasi, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola kredensial.
Untuk memberikan akses ke sumber daya Azure, tetapkan peran Azure ke identitas terkelola menggunakan kontrol akses berbasis peran Azure (Azure RBAC).
Tidak ada biaya tambahan untuk menggunakan identitas terkelola di Azure.
Tip
Identitas terkelola menghilangkan kebutuhan Anda untuk mengelola kredensial, termasuk token Tanda Tangan Akses Bersama (SAS). Identitas terkelola adalah cara yang lebih aman untuk memberikan akses ke data tanpa kredensial dalam kode Anda.
Akses akun penyimpanan privat
Akses dan autentikasi akun penyimpanan Azure privat didukung oleh identitas terkelola untuk sumber daya Azure. Jika Anda memiliki akun penyimpanan Azure, yang dilindungi oleh Virtual Network (VNet) atau firewall, Form Recognizer tidak dapat langsung mengakses data akun penyimpanan Anda. Namun, setelah identitas terkelola diaktifkan, Form Recognizer dapat mengakses akun penyimpanan Anda menggunakan kredensial identitas terkelola yang ditetapkan.
Catatan
Jika Anda berniat menganalisis data penyimpanan Anda dengan alat Labeling Sampel Recognizer Formulir (FOTT), Anda harus menyebarkan alat di belakang VNet atau firewall Anda.
API Analisis Tanda Terima, Kartu Nama, Faktur, Dokumen ID, dan Formulir Kustom dapat mengekstrak data dari satu dokumen dengan memposting permintaan sebagai konten biner mentah. Dalam skenario ini, tidak ada persyaratan untuk info masuk identitas terkelola.
Prasyarat
Untuk memulai, Anda memerlukan:
Akun Azure yang aktif—jika belum memilikinya, Anda dapat membuat akun gratis.
Sumber daya Form Recognizer atau Cognitive Services di portal Azure. Untuk langkah-langkah mendetail, lihatMembuat sumber daya Cognitive Services menggunakan portal Microsoft Azure.
Akun penyimpanan blob Azure di wilayah yang sama dengan sumber daya Form Recognizer Anda. Anda akan membuat kontainer untuk menyimpan dan mengatur data blob Anda dalam akun penyimpanan Anda.
Jika akun penyimpanan Anda berada di belakang firewall, Anda harus mengaktifkan konfigurasi berikut:
Pada halaman akun penyimpanan Anda, pilih Keamanan + jaringan → Jaringan dari menu sebelah kiri.
Di jendela utama, pilih Izinkan akses dari jaringan yang dipilih.
Pada halaman jaringan yang dipilih, navigasikan ke kategori Pengecualian dan pastikan bahwa kotak centang Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini diaktifkan.
Pemahaman singkat tentang kontrol akses berbasis peran Azure (Azure RBAC) menggunakan portal Azure.
Penugasan identitas terkelola
Ada dua jenis identitas terkelola: ditetapkan sistem dan ditetapkan pengguna. Form Recognizer hanya mendukung identitas terkelola yang ditetapkan sistem saat ini:
Identitas terkelola yang ditetapkan sistem diaktifkan secara langsung pada instans layanan. Ini tidak diaktifkan secara default; Anda harus pergi ke sumber daya Anda dan memperbarui pengaturan identitas.
Identitas terkelola yang ditetapkan sistem terkait dengan sumber daya Anda sepanjang siklus hidupnya. Jika Anda menghapus sumber daya, identitas terkelola juga akan dihapus.
Dalam langkah-langkah berikut, kami akan mengaktifkan identitas terkelola yang ditetapkan sistem dan memberikan akses terbatas kepada Form Recognizer ke akun penyimpanan blob Azure Anda.
Mengaktifkan identitas terkelola yang ditetapkan sistem
Penting
Untuk mengaktifkan identitas terkelola yang ditetapkan sistem, Anda memerlukan izin Microsoft.Authorization/roleAssignments/write, seperti Pemilik atau Administrator Akses Pengguna. Anda dapat menentukan cakupan di empat tingkat: grup pengelolaan, langganan, grup sumber daya, atau sumber daya.
Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure Anda.
Buka halaman sumber daya Form Recognizer di portal Azure.
Di jalur kiri, Pilih Identitas dari daftar Resource Management:
Di jendela utama, ubah tab Status yang ditetapkan sistem ke Aktif.
Memberikan akses ke akun penyimpanan Anda
Anda perlu memberikan akses Form Recognizer ke akun penyimpanan sebelum dapat membuat, membaca, atau menghapus blob. Sekarang setelah Anda mengaktifkan Form Recognizer dengan identitas terkelola yang ditetapkan sistem, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC), untuk memberikan akses Form Recognizer ke penyimpanan Azure. Peran Storage Blob Data Reader memberikan Form Recognizer (diwakili oleh identitas terkelola yang ditetapkan sistem) membaca dan mencantumkan akses ke kontainer blob dan data.
Di bagian Izin, pilih Penetapan peran Azure:
Halaman penetapan peran Azure akan terbuka. Pilih langganan Anda dari menu drop-down, kemudian pilih + Tambahkan penetapan peran.
Catatan
Jika Anda tidak dapat menetapkan peran di portal Microsoft Azure karena opsi Tambahkan > Tambahkan penetapan peran dinonaktifkan atau Anda mendapatkan kesalahan izin, "Anda tidak memiliki izin untuk menambahkan penetapan peran pada cakupan ini", periksa apakah Anda saat ini masuk sebagai pengguna dengan peran yang ditetapkan yang memiliki izin Microsoft.Authorization/roleAssignments/write seperti Pemilik atau Administrator Akses Pengguna pada cakupan Penyimpanan untuk sumber daya penyimpanan.
Selanjutnya, Anda akan menetapkan peran Storage Blob Data Reader ke sumber daya layanan Form Recognizer. Di jendela pop-up Tambahkan penetapan peran, lengkapi bidang sebagai berikut dan pilih Simpan:
Bidang Nilai Cakupan Penyimpanan Langganan Langganan yang terkait dengan sumber daya penyimpanan Anda. Sumber daya Nama sumber daya penyimpanan Anda Peran Storage Blob Data Reader—memungkinkan akses baca ke data dan kontainer blob Azure Storage. 
Setelah Anda menerima pesan konfirmasi Penetapan peran ditambahkan, refresh halaman untuk melihat penetapan peran yang ditambahkan.
Jika Anda tidak melihat perubahan secara langsung, tunggu dan coba refresh halaman sekali lagi. Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 30 menit agar perubahan dapat diterapkan.
Itu saja! Anda telah menyelesaikan langkah-langkah untuk mengaktifkan identitas terkelola yang ditetapkan sistem. Dengan identitas terkelola dan Azure RBAC, Anda memberikan hak akses khusus Form Recognizer ke sumber daya penyimpanan Anda tanpa harus mengelola kredensial seperti token SAS.