Verbinding maken naar Azure AI Search met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)

Azure biedt een globaal op rollen gebaseerd autorisatiesysteem voor toegangsbeheer voor alle services die op het platform worden uitgevoerd. In Azure AI Search kunt u Azure-rollen gebruiken voor:

• Besturingsvlakbewerkingen (servicebeheertaken via Azure Resource Manager).

• Gegevensvlakbewerkingen, zoals het maken, laden en opvragen van indexen.

Toegang per gebruiker via zoekresultaten (ook wel beveiliging op rijniveau of beveiliging op documentniveau genoemd) wordt niet ondersteund. Als tijdelijke oplossing kunt u beveiligingsfilters maken die de resultaten op gebruikersidentiteit bijsnijden, waardoor documenten worden verwijderd waarvoor de aanvrager geen toegang mag hebben.

Notitie

In Azure AI Search verwijst 'besturingsvlak' naar bewerkingen die worden ondersteund in de REST API van Management of equivalente clientbibliotheken. Het gegevensvlak verwijst naar bewerkingen op basis van het eindpunt van de zoekservice, zoals indexering of query's, of een andere bewerking die is opgegeven in de Search REST API of equivalente clientbibliotheken.

Ingebouwde rollen die worden gebruikt in Zoeken

De volgende rollen zijn ingebouwd. Als deze rollen onvoldoende zijn, maakt u een aangepaste rol.

Role	Vliegtuig	Beschrijving
Eigenaar	Control & Data	Volledige toegang tot het besturingsvlak van de zoekresource, inclusief de mogelijkheid om Azure-rollen toe te wijzen. Alleen de rol Eigenaar kan verificatieopties in- of uitschakelen of rollen voor andere gebruikers beheren. Abonnementsbeheerders zijn standaard leden. Op het gegevensvlak heeft deze rol dezelfde toegang als de rol Inzender voor de zoekservice. Het bevat toegang tot alle gegevensvlakacties, behalve de mogelijkheid om documenten op te vragen of te indexeren.
Inzender	Control & Data	Hetzelfde niveau van toegang tot het besturingsvlak als eigenaar, minus de mogelijkheid om rollen toe te wijzen of verificatieopties te wijzigen. Op het gegevensvlak heeft deze rol dezelfde toegang als de rol Inzender voor de zoekservice. Het bevat toegang tot alle gegevensvlakacties, behalve de mogelijkheid om documenten op te vragen of te indexeren.
Lezer	Control & Data	Leestoegang voor de hele service, inclusief metrische zoekgegevens, metrische gegevens over inhoud (verbruikte opslag, aantal objecten) en de objectdefinities van gegevensvlakbronnen (indexen, indexeerfuncties, enzovoort). Api-sleutels kunnen echter niet worden gelezen of inhoud in indexen worden gelezen.
Inzender voor zoekservice	Control & Data	Lees-schrijftoegang tot objectdefinities (indexen, synoniemen, indexeerfuncties, gegevensbronnen en vaardighedensets). Zie Microsoft.Search/searchServices/* voor de lijst met machtigingen. Deze rol heeft geen toegang tot inhoud in een index, dus geen query's of indexeringen, maar kan indexen maken, verwijderen en vermelden, indexdefinities en statistieken retourneren en analyseanalyses testen. Deze rol is bedoeld voor zoekservicebeheerders die de zoekservice en de bijbehorende objecten moeten beheren, maar zonder toegang tot inhoud.
Inzender voor zoekindexgegevens	Gegevens	Lees-schrijftoegang tot inhoud in alle indexen in de zoekservice. Deze rol is bedoeld voor ontwikkelaars of indexeigenaren die de documentenverzameling van een index moeten importeren, vernieuwen of er query's op moeten uitvoeren.
Zoekindexgegevenslezer	Gegevens	Alleen-lezentoegang tot alle zoekindexen in de zoekservice. Deze rol is bedoeld voor apps en gebruikers die query's uitvoeren.

Notitie

Als u op rollen gebaseerde toegang van Azure uitschakelt, zijn ingebouwde rollen voor het besturingsvlak (Eigenaar, Inzender, Lezer) nog steeds beschikbaar. Als u Azure RBAC uitschakelt, worden alleen de gegevensmachtigingen verwijderd die aan deze rollen zijn gekoppeld. In een scenario met uitgeschakelde RBAC is Inzender voor zoekservice gelijk aan inzender in het besturingsvlak.

Beperkingen

• De acceptatie van op rollen gebaseerd toegangsbeheer kan de latentie van sommige aanvragen verhogen. Elke unieke combinatie van serviceresources (index, indexeerfunctie, enzovoort) en service-principal die worden gebruikt voor een aanvraag, activeert een autorisatiecontrole. Deze autorisatiecontroles kunnen maximaal 200 milliseconden van latentie toevoegen aan een aanvraag.

• In zeldzame gevallen waarin aanvragen afkomstig zijn van een groot aantal verschillende service-principals, die allemaal gericht zijn op verschillende servicebronnen (indexen, indexeerfuncties, enzovoort), is het mogelijk dat de autorisatiecontroles leiden tot beperking. Beperking vindt alleen plaats als er binnen een seconde honderden unieke combinaties van zoekserviceresources en service-principals worden gebruikt.

Op rollen gebaseerde toegang configureren voor het gegevensvlak

Van toepassing op: Inzender voor zoekindexgegevens, Zoekindexgegevenslezer, Inzender voor zoekservice

In deze stap configureert u uw zoekservice voor het herkennen van een autorisatieheader voor gegevensaanvragen die een OAuth2-toegangstoken bieden.

Azure-portal

1. Meld u aan bij Azure Portal en open de zoekservicepagina.

2. Selecteer Sleutels in het linkernavigatiedeelvenster.

   

3. Kies een optie voor API-toegangsbeheer . We raden beide aan als u flexibiliteit wilt of apps wilt migreren.

   Optie	Omschrijving
   API-sleutel	(standaard). Vereist een beheerder of query-API-sleutels in de aanvraagheader voor autorisatie. Er worden geen rollen gebruikt.
   Op rollen gebaseerd toegangsbeheer	Vereist dat u lid bent van een roltoewijzing om de taak te voltooien, zoals beschreven in de volgende stap. Er is ook een autorisatieheader vereist.
   Beide	Aanvragen zijn geldig met behulp van een API-sleutel of op rollen gebaseerd toegangsbeheer.

De wijziging is onmiddellijk van kracht, maar wacht enkele seconden voordat u gaat testen.

Alle netwerkoproepen voor zoekservicebewerkingen en -inhoud respecteren de optie die u selecteert: API-sleutels, bearer-token of een van beide als u Beide selecteert.

Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in de portal, is de foutmodus http401WithBearerChallenge als de autorisatie mislukt.

REST API

Gebruik de BEHEER REST API Create of Update Service om uw service te configureren voor op rollen gebaseerd toegangsbeheer.

Alle aanroepen naar de REST API van Management worden geverifieerd via Microsoft Entra-id, met machtigingen voor inzender of eigenaar. Zie Azure AI Search beheren met REST voor hulp bij het instellen van geverifieerde aanvragen.

1. Service-instellingen ophalen zodat u de huidige configuratie kunt controleren.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Gebruik PATCH om de serviceconfiguratie bij te werken. Met de volgende wijzigingen zijn zowel sleutels als op rollen gebaseerd toegang mogelijk. Zie API-sleutels uitschakelen als u een configuratie met alleen rollen wilt.

   Stel onder 'properties' 'authOptions' in op aadOrApiKey. De eigenschap disableLocalAuth moet onwaar zijn om 'authOptions' in te stellen.

   Stel desgewenst 'aadAuthFailureMode' in om op te geven of 401 wordt geretourneerd in plaats van 403 wanneer de verificatie mislukt. Geldige waarden zijn http401WithBearerChallenge of http403.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": false,
           "authOptions": {
               "aadOrApiKey": {
                   "aadAuthFailureMode": "http401WithBearerChallenge"
               }
           }
       }
   }
   

3. Volg de instructies in de volgende stap om rollen toe te wijzen voor gegevensvlakbewerkingen.

Rollen toewijzen

Roltoewijzingen zijn cumulatief en verspreid over alle hulpprogramma's en clientbibliotheken. U kunt rollen toewijzen met behulp van een van de ondersteunde benaderingen die worden beschreven in documentatie voor op rollen gebaseerd toegangsbeheer van Azure.

U moet eigenaar zijn of beschikken over Microsoft.Authorization/roleAssignments/write-machtigingen voor het beheren van roltoewijzingen.

Azure-portal

Roltoewijzingen in de portal zijn servicebreed. Als u machtigingen wilt verlenen aan één index, gebruikt u In plaats daarvan PowerShell of de Azure CLI.

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar uw zoekservice.

3. Selecteer Toegangsbeheer (IAM) in het linkernavigatiedeelvenster.

4. Selecteer + Toevoegen>Roltoewijzing toevoegen.

   

5. Selecteer een toepasselijke rol:

   • Eigenaar
   • Inzender
   • Lezer
   • Inzender voor zoekservice
   • Inzender voor zoekindexgegevens
   • Zoekindexgegevenslezer

6. Selecteer op het tabblad Leden de microsoft Entra-gebruikers- of groepsidentiteit.

7. Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.

PowerShell

Wanneer u PowerShell gebruikt om rollen toe te wijzen, roept u New-AzRoleAssignment aan, geeft u de Naam van de Azure-gebruiker of -groep op en het bereik van de toewijzing.

Voordat u begint, moet u de Az - en AzureAD-modules laden en verbinding maken met Azure:

Import-Module -Name Az
Import-Module -Name AzureAD
Connect-AzAccount

In dit voorbeeld wordt een roltoewijzing gemaakt die is afgestemd op een zoekservice:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>"

In dit voorbeeld wordt een roltoewijzing gemaakt die is afgestemd op een specifieke index:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Search Index Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"

Zoals u weet, kunt u alleen toegang tot resources op het hoogste niveau bereiken, zoals indexen, synoniemenkaarten, indexeerfuncties, gegevensbronnen en vaardighedensets. U kunt de toegang tot zoekdocumenten (indexinhoud) met Azure-rollen niet beheren.

Roltoewijzingen testen

Gebruik een client om roltoewijzingen te testen. Houd er rekening mee dat rollen cumulatief en overgenomen rollen zijn die zijn afgestemd op het abonnement of de resourcegroep, niet kunnen worden verwijderd of geweigerd op het niveau van de resource (zoekservice).

Zorg ervoor dat u uw clienttoepassing registreert bij Microsoft Entra-id en roltoewijzingen hebt ingesteld voordat u de toegang test.

Azure-portal

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar uw zoekservice.

3. Selecteer op de pagina Overzicht het tabblad Indexen :

   • Inzenders kunnen objecten weergeven en maken, maar kunnen geen query's uitvoeren op een index met Behulp van Search Explorer.

   • Search Index Data Readers kan Search Explorer gebruiken om een query uit te voeren op de index. U kunt elke API-versie gebruiken om te controleren op toegang. U moet query's kunnen verzenden en resultaten kunnen weergeven, maar u moet de indexdefinitie niet kunnen weergeven.

   • Inzenders voor zoekindexgegevens kunnen Nieuwe index selecteren om een nieuwe index te maken. Als u een nieuwe index opslaat, wordt schrijftoegang voor de service geverifieerd.

REST API

Bij deze benadering wordt ervan uitgegaan dat Visual Studio Code een REST-clientextensie heeft.

1. Open een opdrachtshell voor Azure CLI en meld u aan bij uw Azure-abonnement.

   az login
   

2. Haal uw tenant-id en abonnements-id op. De id wordt gebruikt als een variabele in een toekomstige stap.

   az account show
   

3. Een toegangstoken ophalen.

   az account get-access-token --query accessToken --output tsv
   

4. Plak deze variabelen in een nieuw tekstbestand in Visual Studio Code:

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

5. Plak in en verzend vervolgens een aanvraag die gebruikmaakt van de variabelen die u hebt opgegeven. Voor de rol Zoekindexgegevenslezer kunt u een query verzenden. U kunt elke ondersteunde API-versie gebruiken.

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

Zie Een Azure AI-Search-service beheren met REST API's en Microsoft Identity Platform-verificatiebibliotheken voor meer informatie over het verkrijgen van een token voor een specifieke omgeving.

.NET

1. Gebruik het pakket Azure.Search.Documents .

2. Gebruik Azure.Identity voor .NET voor tokenverificatie. Microsoft raadt DefaultAzureCredential() aan voor de meeste scenario's.

   • Bij het verkrijgen van het OAuth-token is het bereik 'https://search.azure.com/.default". De SDK vereist dat de doelgroep 'https://search.azure.com"' is. De '.default' is een Microsoft Entra-conventie.

   • De SDK valideert dat de gebruiker het bereik 'user_impersonation' heeft, dat moet worden verleend door uw app, maar de SDK zelf vraagt om 'https://search.azure.com/.default"'.

3. Hier volgt een voorbeeld van een clientverbinding met behulp van DefaultAzureCredential().

   // Create a SearchIndexClient to send create/delete index commands
   SearchIndexClient adminClient = new SearchIndexClient(serviceEndpoint, new DefaultAzureCredential());
   
   // Create a SearchClient to load and query documents
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, new DefaultAzureCredential());
   

4. Hier volgt een ander voorbeeld van het gebruik van referenties voor het clientgeheim:

   var tokenCredential =  new ClientSecretCredential(aadTenantId, aadClientId, aadSecret);
   SearchClient srchclient = new SearchClient(serviceEndpoint, indexName, tokenCredential);
   

Python

1. Gebruik azure.search.documents (Azure SDK voor Python).

2. Gebruik Azure.Identity voor Python voor tokenverificatie.

3. Gebruik DefaultAzureCredential als de Python-client een toepassing is die serverzijde uitvoert. Schakel interactieve verificatie in als de app wordt uitgevoerd in een browser.

4. Hier volgt een voorbeeld:

   from azure.search.documents import SearchClient
   from azure.identity import DefaultAzureCredential
   
   credential = DefaultAzureCredential()
   endpoint = "https://<mysearch>.search.windows.net"
   index_name = "myindex"
   client = SearchClient(endpoint=endpoint, index_name=index_name, credential=credential)
   

JavaScript

1. Gebruik @azure/search-documents (Azure SDK voor JavaScript), versie 11.3.

2. Gebruik Azure.Identity voor JavaScript voor tokenverificatie.

3. Als u React gebruikt, gebruikt InteractiveBrowserCredential u Microsoft Entra-verificatie om te zoeken. Zie Wanneer te gebruiken @azure/identity voor meer informatie.

Java

1. Gebruik azure-search-documents (Azure SDK voor Java).

2. Gebruik Azure.Identity voor Java voor tokenverificatie.

3. Microsoft raadt DefaultAzureCredential aan voor apps die worden uitgevoerd in Azure.

Testen als huidige gebruiker

Als u al een inzender of eigenaar van uw zoekservice bent, kunt u een bearer-token voor uw gebruikersidentiteit presenteren voor verificatie bij Azure AI Search.

1. Een Bearer-token ophalen voor de huidige gebruiker met behulp van de Azure CLI:

   az account get-access-token --scope https://search.azure.com/.default
   

   Of met behulp van PowerShell:

   Get-AzAccessToken -ResourceUrl "https://graph.microsoft.com/"
   

2. Plak deze variabelen in een nieuw tekstbestand in Visual Studio Code:

   @baseUrl = PASTE-YOUR-SEARCH-SERVICE-URL-HERE
   @index-name = PASTE-YOUR-INDEX-NAME-HERE
   @token = PASTE-YOUR-TOKEN-HERE
   

3. Plak in en verzend vervolgens een aanvraag om de toegang te bevestigen. Hier volgt een query op de index hotels-quickstart

   POST https://{{baseUrl}}/indexes/{{index-name}}/docs/search?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
       {
            "queryType": "simple",
            "search": "motel",
            "filter": "",
            "select": "HotelName,Description,Category,Tags",
            "count": true
        }
   

Toegang verlenen tot één index

In sommige scenario's wilt u de toegang van een toepassing tot één resource beperken, zoals een index.

De portal biedt momenteel geen ondersteuning voor roltoewijzingen op dit niveau van granulariteit, maar kan worden uitgevoerd met PowerShell of de Azure CLI.

Gebruik in PowerShell New-AzRoleAssignment, waarbij u de Azure-gebruikers- of groepsnaam en het bereik van de toewijzing oplevert.

1. Laad de Azure- en AzureAD-modules en maak verbinding met uw Azure-account:

   Import-Module -Name Az
   Import-Module -Name AzureAD
   Connect-AzAccount
   

2. Voeg een roltoewijzing toe die is afgestemd op een afzonderlijke index:

   New-AzRoleAssignment -ObjectId <objectId> `
       -RoleDefinitionName "Search Index Data Contributor" `
       -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service>/indexes/<index-name>"
   

Een aangepaste rol maken

Als ingebouwde rollen niet de juiste combinatie van machtigingen bieden, kunt u een aangepaste rol maken ter ondersteuning van de bewerkingen die u nodig hebt

In dit voorbeeld wordt de zoekindexgegevenslezer gekloond en wordt vervolgens de mogelijkheid toegevoegd om indexen op naam weer te geven. Normaal gesproken wordt het weergeven van de indexen voor een zoekservice beschouwd als een beheerrecht.

Azure-portal

Deze stappen zijn afgeleid van aangepaste Azure-rollen maken of bijwerken met behulp van Azure Portal. Klonen van een bestaande rol wordt ondersteund op een zoekservicepagina.

Met deze stappen maakt u een aangepaste rol waarmee zoekqueryrechten worden uitgebreid, zodat indexen op naam worden opgenomen. Het vermelden van indexen wordt doorgaans beschouwd als een beheerfunctie.

1. Navigeer in Azure Portal naar uw zoekservice.

2. Selecteer toegangsbeheer (IAM) in het linkernavigatiedeelvenster.

3. Selecteer Rollen in de actiebalk.

4. Klik met de rechtermuisknop op Zoekindexgegevenslezer (of een andere rol) en selecteer Klonen om de wizard Een aangepaste rol maken te openen.

5. Geef op het tabblad Basisinformatie een naam op voor de aangepaste rol, zoals Search Index Data Explorer, en selecteer Vervolgens.

6. Selecteer Op het tabblad Machtigingen de optie Machtiging toevoegen.

7. Zoek op het tabblad Machtigingen toevoegen naar en selecteer vervolgens de tegel Microsoft Search .

8. Stel de machtigingen voor uw aangepaste rol in. Boven aan de pagina gebruikt u de standaardselectie Acties :

   • Selecteer onder Microsoft.Search/operations de optie Lezen: alle beschikbare bewerkingen weergeven.
   • Selecteer Onder Microsoft.Search/searchServices/indexen de optie Lezen: Index lezen.

9. Schakel op dezelfde pagina over naar gegevensacties en selecteer onder Microsoft.Search/searchServices/indexen/documenten de optie Lezen: Documenten lezen.

   De JSON-definitie ziet er als volgt uit:

   {
    "properties": {
        "roleName": "search index data explorer",
        "description": "",
        "assignableScopes": [
            "/subscriptions/a5b1ca8b-bab3-4c26-aebe-4cf7ec4791a0/resourceGroups/heidist-free-search-svc/providers/Microsoft.Search/searchServices/demo-search-svc"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Search/operations/read",
                    "Microsoft.Search/searchServices/indexes/read"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Search/searchServices/indexes/documents/read"
                ],
                "notDataActions": []
            }
        ]
      }
    }
   

10. Selecteer Beoordelen en maken om de rol te maken. U kunt nu gebruikers en groepen toewijzen aan de rol.

Azure PowerShell

In het PowerShell-voorbeeld ziet u de JSON-syntaxis voor het maken van een aangepaste rol die een kloon is van Search Index Data Reader, maar met de mogelijkheid om alle indexen op naam weer te geven.

1. Bekijk de lijst met atomische machtigingen om te bepalen welke u nodig hebt. Voor dit voorbeeld hebt u het volgende nodig:

   "Microsoft.Search/operations/read",
   "Microsoft.Search/searchServices/read",
   "Microsoft.Search/searchServices/indexes/read"
   

2. Stel een PowerShell-sessie in om de aangepaste rol te maken. Zie Azure PowerShell voor gedetailleerde instructies

3. Geef de roldefinitie op als een JSON-document. In het volgende voorbeeld ziet u de syntaxis voor het maken van een aangepaste rol met PowerShell.

{
  "Name": "Search Index Data Explorer",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "List all indexes on the service and query them.",
  "Actions": [
      "Microsoft.Search/operations/read",
      "Microsoft.Search/searchServices/read"
  ],
  "NotActions": [],
  "DataActions": [
      "Microsoft.Search/searchServices/indexes/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}"
  ]
}

Notitie

Als het toewijsbare bereik zich op indexniveau bevindt, moet de gegevensactie zijn "Microsoft.Search/searchServices/indexes/documents/read".

REST API

1. Bekijk de lijst met atomische machtigingen om te bepalen welke u nodig hebt.

2. Zie Aangepaste Azure-rollen maken of bijwerken met behulp van de REST API voor stappen.

3. Kloon of maak een rol, of gebruik JSON om de aangepaste rol op te geven (zie het PowerShell-tabblad voor JSON-syntaxis).

Azure-CLI

1. Bekijk de lijst met atomische machtigingen om te bepalen welke u nodig hebt.

2. Zie Aangepaste Azure-rollen maken of bijwerken met behulp van Azure CLI voor stappen.

3. Kloon of maak een rol, of gebruik JSON om de aangepaste rol op te geven (zie het PowerShell-tabblad voor JSON-syntaxis).

VERIFICATIE van API-sleutel uitschakelen

Sleuteltoegang of lokale verificatie kan worden uitgeschakeld op uw service als u de rollen Inzender voor zoekservice, Inzender voor zoekindexgegevens en Zoekindexgegevenslezer en Microsoft Entra-verificatie gebruikt. Als u API-sleutels uitschakelt, weigert de zoekservice alle gegevensgerelateerde aanvragen die een API-sleutel doorgeven in de header.

Notitie

Beheer API-sleutels kunnen alleen worden uitgeschakeld, niet verwijderd. Query-API-sleutels kunnen worden verwijderd.

Machtigingen voor eigenaar of inzender zijn vereist om functies uit te schakelen.

Als u verificatie op basis van sleutels wilt uitschakelen, gebruikt u Azure Portal of de REST API voor Beheer.

Portal

1. Navigeer in Azure Portal naar uw zoekservice.

2. Selecteer Sleutels in het linkernavigatiedeelvenster.

3. Selecteer op rollen gebaseerd toegangsbeheer.

De wijziging is onmiddellijk van kracht, maar wacht enkele seconden voordat u gaat testen. Ervan uitgaande dat u gemachtigd bent om rollen toe te wijzen als lid van eigenaar, servicebeheerder of medebeheerder, kunt u portalfuncties gebruiken om op rollen gebaseerde toegang te testen.

REST API

Als u verificatie op basis van sleutels wilt uitschakelen, stelt u 'disableLocalAuth' in op true.

1. Service-instellingen ophalen zodat u de huidige configuratie kunt controleren.

   GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01
   

2. Gebruik PATCH om de serviceconfiguratie bij te werken. Met de volgende wijziging wordt 'authOptions' ingesteld op null.

   PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
   {
       "properties": {
           "disableLocalAuth": true
       }
   }
   

Aanvragen die alleen een API-sleutel bevatten, zonder bearer-token, mislukken met een HTTP 401.

Als u sleutelverificatie opnieuw wilt inschakelen, voert u de laatste aanvraag opnieuw uit en stelt u disableLocalAuth in op false. De zoekservice hervat de acceptatie van API-sleutels op de aanvraag automatisch (ervan uitgaande dat deze zijn opgegeven).

Voorwaardelijke toegang

Voorwaardelijke toegang is een hulpprogramma in Microsoft Entra-id dat wordt gebruikt om organisatiebeleid af te dwingen. Met behulp van beleid voor voorwaardelijke toegang kunt u de juiste toegangsbeheer toepassen wanneer dat nodig is om uw organisatie veilig te houden. Wanneer u toegang krijgt tot een Azure AI-Search-service met behulp van op rollen gebaseerd toegangsbeheer, kan voorwaardelijke toegang organisatiebeleid afdwingen.

Volg de onderstaande stappen om beleid voor voorwaardelijke toegang in te schakelen voor Azure AI Search:

1. Meld u aan bij de Azure-portal.

2. Zoek naar voorwaardelijke toegang van Microsoft Entra.

3. Selecteer Beleidsregels.

4. Selecteer + Nieuw beleid.

5. Voeg in de sectie Cloud-apps of -acties van het beleid Azure AI Search toe als een cloud-app, afhankelijk van hoe u uw beleid wilt instellen.

6. Werk de resterende parameters van het beleid bij. Geef bijvoorbeeld op op welke gebruikers en groepen dit beleid van toepassing is.

7. Sla het beleid op.

Belangrijk

Als aan uw zoekservice een beheerde identiteit is toegewezen, wordt de specifieke zoekservice weergegeven als een cloud-app die kan worden opgenomen of uitgesloten als onderdeel van het beleid voor voorwaardelijke toegang. Beleid voor voorwaardelijke toegang kan niet worden afgedwongen voor een specifieke zoekservice. Zorg er in plaats daarvan voor dat u de algemene Azure AI Search-cloud-app selecteert.

Problemen met op rollen gebaseerd toegangsbeheer oplossen

Bij het ontwikkelen van toepassingen die gebruikmaken van op rollen gebaseerd toegangsbeheer voor verificatie, kunnen er enkele veelvoorkomende problemen optreden:

• Als het autorisatietoken afkomstig is van een beheerde identiteit en de juiste machtigingen onlangs zijn toegewezen, kan het enkele uren duren voordat deze machtigingentoewijzingen van kracht worden.
• De standaardconfiguratie voor een zoekservice is alleen verificatie op basis van sleutels. Als u de standaardsleutelinstelling niet hebt gewijzigd in Zowel of op rollen gebaseerd toegangsbeheer, worden alle aanvragen met verificatie op basis van rollen automatisch geweigerd, ongeacht de onderliggende machtigingen.