Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este contenido se aplica a:
v4.0 (GA)v3.1 (GA)
v3.0 (en retirada)v2.1 (en retirada)
Las identidades administradas para los recursos de Azure son entidades de servicio que crean una identidad de Microsoft Entra y permisos específicos para los recursos administrados de Azure.
Las identidades administradas conceden acceso a cualquier recurso que admita la autenticación Microsoft Entra, incluidas sus propias aplicaciones. A diferencia de las claves de seguridad y los tokens de autenticación, las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales.
Puede conceder acceso a un recurso de Azure y asignar un rol de Azure a una identidad administrada mediante Azure control de acceso basado en rol (Azure RBAC). No hay ningún costo adicional para usar identidades administradas en Azure.
Importante
Las identidades administradas eliminan la necesidad de administrar credenciales, incluidos los tokens de firma de acceso compartido (SAS).
Las identidades administradas son una manera más segura de conceder acceso a los datos sin tener credenciales en el código.
Acceso a la cuenta de almacenamiento privada
El acceso a la cuenta de almacenamiento Azure privada y la autenticación admiten identidades administradas para recursos de Azure. Si tiene una cuenta de almacenamiento de Azure, protegida por un Virtual Network (VNet) o firewall, Document Intelligence no puede acceder directamente a los datos de la cuenta de almacenamiento. Sin embargo, una vez habilitada una identidad administrada, Document Intelligence puede acceder a la cuenta de almacenamiento mediante una credencial de identidad administrada asignada.
Nota
Si pretende analizar sus datos de almacenamiento con la Herramienta de etiquetado de muestras de Document Intelligence (FOTT), debe implementar la herramienta detrás de su VNet o firewall.
Las
AnalyzeAPI de recibo, tarjeta de presentación, factura, documento de identificación y formulario personalizado pueden extraer datos de un solo documento publicando solicitudes como contenido binario sin procesar. En estos escenarios, no hay ningún requisito para una credencial de identidad administrada.
Requisitos previos
Para empezar, necesita lo siguiente:
Una cuenta activa de Azure. Si no tiene una, puede crear una cuenta gratuita.
Un recurso de Inteligencia Documental o una fundición en el portal de Azure. Para obtener pasos detallados, seeCrear un recurso Microsoft Foundry.
Una cuenta de almacenamiento de blobs de Azure en la misma región que el recurso de Document Intelligence. También necesita crear contenedores para almacenar y organizar los datos de los blobs en la cuenta de almacenamiento.
Si la cuenta de almacenamiento está detrás de un firewall, debe habilitar la siguiente configuración:
En la página de la cuenta de almacenamiento, seleccione Seguridad y redes → Redes en el menú de la izquierda.
En la ventana principal, seleccione Permitir el acceso desde redes seleccionadas.
En la página redes seleccionadas, vaya a la categoría Exceptions y asegúrese de que la casilla
Allow Azure services on the trusted services list to access this storage accountesté habilitada.
Un breve vistazo al control de acceso basado en roles de Azure (Azure RBAC) a través del portal de Azure.
Asignaciones de identidad administrada
Hay dos tipos de identidad administrada: asignadas por el sistema y asignadas por el usuario. Actualmente, Document Intelligence solo admite la identidad administrada asignada por el sistema:
Una identidad administrada asignada por el sistema está habilitada directamente en una instancia de servicio. No está habilitado de forma predeterminada; debe ir al recurso y actualizar la configuración de identidad.
La identidad administrada asignada por el sistema está vinculada al recurso a lo largo de su ciclo de vida. Si elimina su recurso, también se elimina la identidad administrada.
En los pasos siguientes, habilitamos una identidad administrada asignada por el sistema y concedemos acceso limitado de Document Intelligence a la cuenta de almacenamiento de blobs de Azure.
Habilitación de una identidad administrada asignada por el sistema
Importante
Para habilitar una identidad administrada asignada por el sistema, necesita Microsoft.Authorization/roleAssignments/write permisos, como Owner o User Access Administrator. Puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos o recurso.
Inicie sesión en el portal Azure con una cuenta asociada a la suscripción de Azure.
Vaya a la página de recursos Document Intelligence en el portal de Azure.
En el raíl izquierdo, seleccione Identidad en la lista Administración de recursos :
En la ventana principal, cambie la pestaña Estado asignado por el sistema a Activado.
Concesión de acceso a la cuenta de almacenamiento
Debe conceder a Document Intelligence acceso a su cuenta de almacenamiento para que pueda leer blobs. Ahora que el acceso a Document Intelligence está habilitado con una identidad administrada asignada por el sistema, puede usar el control de acceso basado en roles de Azure (Azure RBAC) para conceder acceso a Document Intelligence al almacenamiento de Azure. El rol de Lector de datos de Storage Blob da a Document Intelligence (representado por la identidad administrada asignada por el sistema) acceso de lectura y de lista al contenedor de blob y a los datos.
En Permissions seleccione asignaciones de roles de Azure:
En la página de asignaciones de roles de Azure que se abre, elija su suscripción en el menú desplegable y seleccione + Agregar asignación de rol.
Nota
Si no puede asignar un rol en el portal de Azure porque la opción > Agregar asignación de roles está deshabilitada o recibe el error "No tiene permisos para agregar asignación de roles en este ámbito", compruebe que ha iniciado sesión como un usuario con un rol asignado que tiene permisos de Microsoft.Authorization/roleAssignments/write, como Propietario o Administrador de acceso de usuario en el ámbito de almacenamiento del recurso de almacenamiento.
A continuación, va a asignar un rol de Lector de datos de Storage Blob a su recurso de servicio de Document Intelligence. En la
Add role assignmentventana emergente, complete los campos como se indica a continuación y seleccione Guardar:Campo Valor Ámbito Almacenamiento Suscripción La suscripción asociada al recurso de almacenamiento. Recurso Nombre del recurso de almacenamiento Rol Storage Blob Data Reader permite el acceso de lectura a los contenedores de blobs y datos de Azure Storage. 
Después de recibir el mensaje de confirmación de la asignación de rol agregada, actualice la página para ver la asignación de rol añadida.
Si no ve el cambio inmediatamente, espere e intente actualizar la página una vez más. Al asignar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en surtir efecto.
¡Eso es todo! Ha completado los pasos para habilitar una identidad administrada asignada por el sistema. Con la identidad administrada y RBAC de Azure, otorgó derechos de acceso específicos a Document Intelligence a su recurso de almacenamiento sin tener que administrar credenciales como tokens SAS.
Otras asignaciones de roles para Document Intelligence Studio
Si va a usar Document Intelligence Studio y la cuenta de almacenamiento está configurada con restricciones de red como firewall o red virtual, otro rol, colaborador de datos de Storage Blob, debe asignarse al servicio Document Intelligence. Document Intelligence Studio requiere este rol para escribir blobs en la cuenta de almacenamiento al realizar operaciones de etiquetado automático, supervisión humana o compartir/actualizar proyectos.
