Identità gestite per Document Intelligence

Questo contenuto si applica a: segno di spunta v4.0 (anteprima) segno di spunta v3.1 (disponibilità generale) segno di spunta v3.0 (disponibilità generale) segno di spunta v2.1 (disponibilità generale)

Le identità gestite per le risorse di Azure sono entità servizio che creano un'identità Microsoft Entra e autorizzazioni specifiche per le risorse gestite di Azure:

Screenshot del flusso di identità gestita (Controllo degli accessi in base al ruolo).

  • Le identità gestite concedono l'accesso a qualsiasi risorsa che supporti l'autenticazione di Microsoft Entra, incluse le proprie applicazioni. A differenza delle chiavi di sicurezza e dei token di autenticazione, le identità gestite eliminano la necessità per gli sviluppatori di gestire le credenziali.

  • È possibile concedere l'accesso a una risorsa di Azure e assegnare un ruolo di Azure a un'identità gestita usando il Controllo degli accessi in base al ruolo di Azure. Non sono previsti costi aggiuntivi per l'uso di identità gestite in Azure.

Importante

  • Le identità gestite eliminano la necessità di gestire le credenziali, inclusi i token di firma di accesso condiviso.

  • Le identità gestite sono un modo più sicuro per concedere l'accesso ai dati senza avere credenziali nel codice.

Accesso all'account di archiviazione privato

L'accesso e l'autenticazione dell'account di archiviazione di Azure privato supportano le identità gestite per le risorse di Azure. Se si ha un account di archiviazione di Azure protetto da una rete virtuale (VNet) o da un firewall, Informazioni sui documenti non può accedere direttamente ai dato dell'account di archiviazione. Tuttavia, dopo l'abilitazione di un'identità gestita, Informazioni sui documenti può accedere all'account di archiviazione usando una credenziale di identità gestita assegnata.

Nota

Prerequisiti

Per iniziare, è necessario:

Assegnazioni di identità gestite

Esistono due tipi di identità gestita: assegnata dal sistema e assegnata dall'utente. Attualmente, Informazioni sui documenti supporta solo l'identità gestita assegnata dal sistema:

  • Un'identità gestita assegnata dal sistema viene abilitata direttamente in un'istanza del servizio. Non è abilitata per impostazione predefinita; è necessario passare alla risorsa e aggiornare l'impostazione di identità.

  • L'identità gestita assegnata dal sistema è associata alla risorsa per tutto il ciclo di vita. Se si elimina la risorsa, viene eliminata anche l'identità gestita.

Nei passaggi seguenti si abilita un'identità gestita assegnata dal sistema e si concede a Informazioni sui documenti l'accesso limitato all'account di archiviazione BLOB di Azure.

Abilitare un'identità gestita assegnata dal sistema

Importante

Per abilitare un'identità gestita assegnata dal sistema, sono necessarie le autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario o Amministratore Accesso utenti. È possibile specificare un ambito a quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.

  1. Accedere al portale di Azure usando un account associato alla sottoscrizione di Azure.

  2. Nel portale di Azure, passare alla risorsa di Informazioni sui documenti.

  3. Nella barra sinistra selezionare Identità nell'elenco Gestione risorse:

    Screenshot della scheda Identità di gestione delle risorse nel portale di Azure.

  4. Nella finestra principale impostare la scheda Stato assegnato dal sistema su On.

Concedere l'accesso all'account di archiviazione

Prima di poter leggere i BLOB, è necessario concedere a Informazioni sui documenti l'accesso all'account di archiviazione. Dopo aver abilitato Informazioni sui documenti con un'identità gestita assegnata dal sistema, è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere a Informazioni sui documenti l'accesso all'archiviazione di Azure. Il Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione fornisce a Informazioni sui documenti (rappresentato dall'identità gestita assegnata dal sistema) l'accesso in lettura ed elenco al contenitore BLOB e ai dati.

  1. In Autorizzazioni selezionare Assegnazioni di ruolo di Azure:

    Screenshot dell'abilitazione dell'identità gestita assegnata dal sistema nel portale di Azure.

  2. Nella pagina Assegnazioni di ruolo di Azure aperta scegliere la sottoscrizione dal menu a discesa e quindi selezionare + Aggiungi assegnazione di ruolo.

    Screenshot della pagina Assegnazioni di ruolo di Azure nel portale di Azure.

    Nota

    Se non è possibile assegnare un ruolo nel portale di Azure perché l'opzione Aggiungi > Aggiungi assegnazione di ruolo è disabilitata o perché viene visualizzato l'errore relativo alle autorizzazioni "non si dispone delle autorizzazioni per aggiungere un'assegnazione di ruolo in questo ambito", verificare di aver eseguito l'accesso come utente a cui è stato assegnato un ruolo con autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario o Amministratore Accesso utenti nell'ambito di archiviazione per la risorsa di archiviazione.

  3. Successivamente, si assegnerà un Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione alla risorsa del servizio Informazioni sui documenti. Nella finestra popup Add role assignment completare i campi come indicato di seguito e selezionare Salva:

    Campo Valore
    Scope Storage
    Abbonamento Sottoscrizione associata alla risorsa di archiviazione.
    Conto risorse Nome della risorsa di archiviazione
    Ruolo Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione consente l'accesso in lettura ai contenitori e ai dati dei BLOB di Archiviazione di Azure.

    Screenshot della pagina Aggiungi assegnazioni di ruolo nel portale di Azure.

  4. Dopo aver ricevuto il messaggio di conferma Assegnazione di ruolo aggiunta, aggiornare la pagina per visualizzarla.

    Screenshot del messaggio popup di conferma dell'assegnazione di ruolo aggiunta.

  5. Se non viene visualizzata subito la modifica, attendere e provare ad aggiornare nuovamente la pagina. Quando si assegnano o si rimuovono le assegnazioni di ruolo, l'applicazione delle modifiche può richiedere fino a 30 minuti.

    Screenshot della finestra Assegnazioni di ruolo di Azure.

Ecco fatto! Sono stati completati i passaggi per abilitare un'identità gestita assegnata dal sistema. Con l'identità gestita e il controllo degli accessi in base al ruolo di Azure, sono stati concessi a Informazioni sui documenti i diritti di accesso specifici per la risorsa di archiviazione senza dover gestire credenziali come i token di firma di accesso condiviso.

Altre assegnazioni di ruolo per Studio di Informazioni sui documenti

Se si intende usare Studio di Informazioni sui documenti e l'account di archiviazione è configurato con restrizioni di rete come firewall o rete virtuale, è necessario assegnare un altro ruolo, Collaboratore ai dati dei BLOB di archiviazione, al servizio Informazioni sui documenti. Studio di Informazioni sui documenti richiede questo ruolo per scrivere BLOB nell'account di archiviazione quando si eseguono operazioni di etichettatura automatica, intervento umano nel ciclo o condivisione/aggiornamento del progetto.

Screenshot dell'assegnazione del ruolo collaboratore ai dati del BLOB di archiviazione.

Passaggi successivi