Habilitar ou desabilitar o controle de acesso baseado em função na Pesquisa de IA do Azure

Artigo
09/03/2024

Antes de atribuir funções para acesso autorizado à Pesquisa de IA do Azure, habilite o controle de acesso baseado em função no seu serviço de pesquisa.

O acesso baseado em função para operações de plano de dados é opcional, mas recomendado como a opção mais segura. A alternativa é a autenticação baseada em chave, que é o padrão.

As funções de administração de serviço (plano de controle) são internas e não podem ser habilitadas ou desabilitadas.

Observação

O Plano de dados refere-se a operações no ponto de extremidade do serviço de pesquisa, como indexação ou consultas, ou qualquer outra operação especificada na API REST de Pesquisa ou bibliotecas de cliente do SDK do Azure equivalentes.

Pré-requisitos

Um serviço de pesquisa em qualquer região, em qualquer camada, incluindo gratuito.
Proprietário, Administrador de Acesso do Usuário ou uma função com permissões Microsoft.Authorization/roleAssignments/write.

Habilitar o acesso baseado em função para operações de plano de dados

Configure seu serviço de pesquisa para reconhecer um cabeçalho de autorização em solicitações de dados que fornecem um token de acesso OAuth2.

Quando você habilita funções para o plano de dados, a alteração é efetiva imediatamente, mas aguarda alguns segundos antes de atribuir funções.

O modo de falha padrão para solicitações não autorizadas é http401WithBearerChallenge. Como alternativa, você pode definir o modo de falha como http403.

Entre no portal do Azure e abra a página do serviço de pesquisa.
Selecione Configurações e selecione Chaves no painel de navegação esquerdo.

Escolha Controle baseado em função ou Ambos se você estiver usando chaves no momento e precisar de tempo para fazer a transição de clientes para o controle de acesso baseado em função.

Opção	Descrição
Chave de API	(padrão). Requer chaves de API no cabeçalho da solicitação para autorização.
Controle de acesso baseado em função	Requer associação em uma atribuição de função para concluir a tarefa. Ele também requer um cabeçalho de autorização na solicitação.
Ambos	As solicitações são válidas usando uma chave de API ou um controle de acesso baseado em função, mas se você fornecer ambos na mesma solicitação, a chave de API será usada.

Como administrador, se você escolher uma abordagem somente funções, atribua funções de plano de dados à sua conta de usuário para restaurar o acesso administrativo completo em operações de plano de dados no portal do Azure. Funções incluem Colaborador de Serviço de Pesquisa, Colaborador de dados de índice de pesquisa e Leitor de dados de índice de pesquisa. Você precisará das três funções se desejar acesso equivalente.

Às vezes, pode levar de cinco a dez minutos para que as atribuições de função entrem em vigor. Até que isso aconteça, a mensagem a seguir é exibida nas páginas do portal usadas para operações do plano de dados.

Execute esse script somente para dar suporte a funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Ou execute esse script para dar suporte a chaves e funções:

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --aad-auth-failure-mode http401WithBearerChallenge `
  --auth-options aadOrApiKey

Para obter mais informações, consulte Gerenciar seu serviço do Pesquisa de IA do Azure com a CLI do Azure.

Execute esse comando para definir o tipo de autenticação como somente funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Ou execute esse comando para dar suporte a chaves e funções:

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -AuthOption AadOrApiKey

Para obter mais informações sobre esse cmdlet, consulte Gerenciar o serviço do Pesquisa de IA do Azure com o PowerShell.

Use a API REST de Gerenciamento Criar ou atualizar o serviço a fim de configurar seu serviço para controle de acesso baseado em função.

Todas as chamadas à API REST de Gerenciamento são autenticadas por meio do Microsoft Entra ID. Para obter ajuda com a configuração de solicitações autenticadas, veja Gerenciar a IA do Azure Search usando REST.

Obtenha as configurações de serviço para que você possa examinar a configuração atual.

GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01

Use PATCH para atualizar a configuração do serviço. As modificações a seguir habilitam as chaves e o acesso baseado em função. Se você quiser uma configuração somente de funções, confira Desabilitar chaves de API.

Em "propriedades", defina "authOptions" como "aadOrApiKey". A propriedade "disableLocalAuth" deve ser falsa para definir "authOptions".

Opcionalmente, defina “aadAuthFailureMode” para especificar se 401 é retornado em vez de 403 quando a autenticação falha. Os valores válidos são "http401WithBearerChallenge" ou "http403".
```
PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
{
    "properties": {
        "disableLocalAuth": false,
        "authOptions": {
            "aadOrApiKey": {
                "aadAuthFailureMode": "http401WithBearerChallenge"
            }
        }
    }
}
```

Habilitar o controle de acesso baseado em função

É possível desabilitar o controle de acesso baseado em função para operações do plano de dados e usar a autenticação baseada em chave. Você pode fazer isso como parte de um fluxo de trabalho de teste, por exemplo, para descartar problemas de permissão.

Inverta as etapas que você seguiu anteriormente para habilitar o acesso baseado em função.

Entre no portal do Azure e abra a página do serviço de pesquisa.
Selecione Configurações e selecione Chaves no painel de navegação esquerdo.
Selecione Chaves de API.

Desabilitar a autenticação da chave de API

O Acesso à chave ou a autenticação local podem ser desabilitados em seu serviço, caso esteja usando as funções internas e a autenticação do Microsoft Entra. A desabilitação das chaves de API faz com que o serviço de pesquisa recuse todas as solicitações relacionadas a dados que passam uma chave de API no cabeçalho.

As chaves da API de administrador podem ser desabilitadas, mas não excluídas. As chaves de API de consultas podem ser excluídas.

Para desabilitar os recursos, são necessárias permissões de Proprietário ou de Colaborador.

No portal do Azure, navegue até o serviço de pesquisa.
Selecione Chaves no painel de navegação à esquerda.
Selecione Controle de acesso baseado em função.

A alteração entra em vigor imediatamente, mas aguarde alguns segundos antes de testar. Supondo que você tenha permissão para atribuir funções como membro ou Proprietário, administrador de serviços ou coadministrador, poderá usar recursos do portal para testar o acesso baseado em função.

Para desabilitar a autenticação baseada em chave, defina "disableLocalAuth" como true. Essa é a mesma sintaxe que o script "habilitar somente funções" apresentado na seção anterior.

az search service update `
  --name YOUR-SEARCH-SERVICE-NAME `
  --resource-group YOUR-RESOURCE-GROUP-NAME `
  --disable-local-auth

Para habilitar novamente a autenticação de chave, defina -disableLocalAuth como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Para obter mais informações, consulte Gerenciar seu serviço do Pesquisa de IA do Azure com a CLI do Azure.

Para desabilitar a autenticação baseada em chave, defina DisableLocalAuth como true. Essa é a mesma sintaxe que o script "habilitar somente funções" apresentado na seção anterior.

Set-AzSearchService `
  -Name YOUR-SEARCH-SERVICE-NAME `
  -ResourceGroupName YOUR-RESOURCE-GROUP-NAME `
  -DisableLocalAuth 1

Para habilitar novamente a autenticação de chave, defina DisableLocalAuth como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Para obter mais informações sobre esse cmdlet, consulte Gerenciar o serviço do Pesquisa de IA do Azure com o PowerShell.

Para desabilitar a autenticação baseada em chave, defina "disableLocalAuth" como true.

Obtenha as configurações de serviço para que você possa examinar a configuração atual.

GET https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Search/searchServices?api-version=2023-11-01

Use PATCH para atualizar a configuração do serviço. A modificação a seguir definirá "authOptions" como nulo.

PATCH https://management.azure.com/subscriptions/{{subscriptionId}}/resourcegroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2023-11-01
{
    "properties": {
        "disableLocalAuth": true
    }
}

Para habilitar novamente a autenticação de chave, defina "disableLocalAuth" como false. O serviço de pesquisa retoma a aceitação de chaves de API na solicitação automaticamente (presumindo que elas sejam especificadas).

Limitações

O controle de acesso baseado em função pode aumentar a latência de algumas solicitações. Cada combinação exclusiva de recurso de serviço (índice, indexador, etc.) e a entidade de serviço dispara uma verificação de autorização. Essas verificações de autorização podem adicionar até 200 milissegundos de latência por solicitação.
Em casos raros em que as solicitações se originam de um grande número de entidades de serviço diferentes, todas as que visam recursos de serviço diferentes (índices, indexadores etc.), é possível que as verificações de autorização resultem em uma limitação. A limitação só ocorreria se centenas de combinações exclusivas de recurso de serviço de pesquisa e entidade de serviço fossem usadas em um segundo.

Próximas etapas

Configurar funções para acesso a um serviço de pesquisa

Compartilhar via