Uwierzytelnianie klientów dla punktów końcowych online

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)

W tym artykule opisano sposób uwierzytelniania klientów w celu wykonywania operacji płaszczyzny sterowania i płaszczyzny danych w punktach końcowych online.

Operacja płaszczyzny sterowania kontroluje punkt końcowy i zmienia go. Operacje płaszczyzny sterowania obejmują operacje tworzenia, odczytu, aktualizacji i usuwania (CRUD) w punktach końcowych online i wdrożeniach online.

Operacja płaszczyzny danych używa danych do interakcji z punktem końcowym online bez zmiany punktu końcowego. Na przykład operacja płaszczyzny danych może składać się z wysyłania żądania oceniania do punktu końcowego online i uzyskiwania odpowiedzi.

Wymagania wstępne

Obszar roboczy usługi Azure Machine Learning. Aby uzyskać instrukcje dotyczące tworzenia przestrzeni roboczej, zobacz Create the workspace.
Azure CLI i rozszerzenie ml lub Azure Machine Learning Python SDK v2:
- Interfejs wiersza polecenia platformy Azure
- Zestaw SDK dla języka Python
Aby zainstalować Azure CLI oraz rozszerzenie ml, zobacz Zainstaluj i skonfiguruj CLI (v2).

Przykłady w tym artykule zakładają, że używasz powłoki Bash lub innej kompatybilnej powłoki. Na przykład możesz użyć powłoki w systemie Linux lub Windows Subsystem for Linux.
Aby zainstalować zestaw PYTHON SDK w wersji 2, użyj następującego polecenia:
```
pip install azure-ai-ml azure-identity
```
Aby zaktualizować istniejącą instalację zestawu SDK do najnowszej wersji, użyj następującego polecenia:
```
pip install --upgrade azure-ai-ml azure-identity
```
Aby uzyskać więcej informacji, zobacz Azure Machine Learning Package client library for Python.

Przygotowywanie tożsamości użytkownika

Tożsamość użytkownika jest potrzebna do wykonywania operacji płaszczyzny sterowania (na przykład operacji CRUD) i operacji płaszczyzny danych (na przykład wysyłania żądań oceniania) w punkcie końcowym online. W przypadku operacji płaszczyzny sterowania i płaszczyzny danych można użyć tej samej tożsamości użytkownika lub różnych tożsamości użytkowników. W tym artykule używasz tej samej tożsamości użytkownika zarówno dla operacji płaszczyzny sterowania, jak i płaszczyzny danych.

Aby uzyskać informacje na temat tworzenia tożsamości użytkownika w usłudze Microsoft Entra ID, zobacz Konfigurowanie uwierzytelniania. Później będzie potrzebny identyfikator tożsamości.

Przypisywanie uprawnień do tożsamości

W tej sekcji przypiszesz uprawnienia do tożsamości użytkownika używanej do interakcji z punktem końcowym. Zaczynasz od użycia wbudowanej roli lub przez utworzenie roli niestandardowej. Następnie przypiszesz rolę do tożsamości użytkownika.

Używanie wbudowanej roli

Za pomocą AzureML Data Scientist roli można zarządzać punktami końcowymi i wdrożeniami oraz używać ich. Używa również symboli wieloznacznych do uwzględnienia następujących akcji RBAC płaszczyzny sterowania:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

Używa symboli wieloznacznych do uwzględnienia następującej akcji kontroli dostępu opartej na rolach płaszczyzny danych:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcjonalnie możesz użyć wbudowanej roli Azure Machine Learning Workspace Connection Secrets Reader, aby uzyskać dostęp do tajemnic z połączeń obszaru roboczego. Obejmuje ona następujące akcje kontroli RBAC płaszczyzny sterowania:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Jeśli używasz tych wbudowanych ról, nie musisz podejmować żadnych działań w tym kroku.

(Opcjonalnie) Tworzenie roli niestandardowej

Ten krok można pominąć, jeśli używasz wbudowanych ról lub innych wstępnie utworzonych ról niestandardowych.

Zdefiniuj zakres i akcje dla ról niestandardowych, tworząc definicje JSON ról. Na przykład następująca definicja roli custom-role-for-control-plane.json umożliwia użytkownikowi wykonywanie operacji CRUD w online'owym punkcie końcowym w sprecyzowanym obszarze roboczym.

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Poniższa definicja roli ,custom-role-for-scoring.json, umożliwia użytkownikowi wysyłanie żądań oceniania do punktu końcowego online w określonym obszarze roboczym.

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Użyj definicji JSON, aby utworzyć role niestandardowe:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionID>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionID>
```
Uwaga

Aby utworzyć role niestandardowe, potrzebujesz jednej z trzech ról:
- Właściciel
- Administrator dostępu użytkowników
- Rola niestandardowa z Microsoft.Authorization/roleDefinitions/write uprawnieniem (aby utworzyć/zaktualizować/usunąć role niestandardowe) i Microsoft.Authorization/roleDefinitions/read uprawnienie (aby wyświetlić role niestandardowe).
Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych, zobacz Role niestandardowe platformy Azure.

Sprawdź definicję roli:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Przypisywanie roli do tożsamości

Jeśli używasz wbudowanej roli, użyj następującego AzureML Data Scientist kodu, aby przypisać rolę do tożsamości użytkownika.

az role assignment create --assignee <identityID> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Opcjonalnie, jeśli używasz wbudowanej roli, użyj następującego Azure Machine Learning Workspace Connection Secrets Reader kodu, aby przypisać rolę do tożsamości użytkownika.

az role assignment create --assignee <identityID> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Jeśli używasz roli niestandardowej, użyj następującego kodu, aby przypisać rolę do tożsamości użytkownika.
```
az role assignment create --assignee <identityID> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityID> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Uwaga

Aby przypisać role niestandardowe do tożsamości użytkownika, potrzebujesz jednej z trzech ról:
- Właściciel
- Administrator dostępu użytkowników
- Rola niestandardowa, która zezwala na uprawnienia Microsoft.Authorization/roleAssignments/write (przypisywanie ról niestandardowych) i Microsoft.Authorization/roleAssignments/read (wyświetlanie przypisań ról).
Aby uzyskać więcej informacji na temat ról platformy Azure i ich uprawnień, zobacz Role platformy Azure i Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Potwierdź przypisanie roli:

az role assignment list --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Uzyskiwanie tokenu Microsoft Entra dla operacji płaszczyzny sterowania

Wykonaj ten krok, jeśli planujesz wykonywać operacje płaszczyzny sterowania przy użyciu interfejsu API REST, który bezpośrednio używa tokenu.

Jeśli planujesz używać innych metod, takich jak Azure CLI z wtyczką ml w wersji 2, zestaw Python SDK w wersji 2 lub Azure Machine Learning Studio, nie musisz ręcznie pobierać tokenu Microsoft Entra. Tożsamość użytkownika zostanie uwierzytelniona podczas logowania, a token zostanie automatycznie pobrany i przekazany.

Token Microsoft Entra do operacji w warstwie kontrolnej można pobrać z punktu końcowego zasobów Azure: https://management.azure.com.

Zaloguj się do Azure.
```
az login
```
Jeśli chcesz użyć określonej tożsamości, użyj następującego kodu, aby zalogować się przy użyciu tożsamości:
```
az login --identity --username <identityID>
```

Użyj tego kontekstu, aby uzyskać token:

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

Z maszyny wirtualnej platformy Azure

Token można uzyskać na podstawie tożsamości zarządzanej dla maszyny wirtualnej platformy Azure (gdy maszyna wirtualna włącza tożsamość zarządzaną).

Aby uzyskać token entra firmy Microsoft (aad_token) dla operacji płaszczyzny sterowania na maszynie wirtualnej platformy Azure, prześlij żądanie do punktu końcowego usługi Azure Instance Metadata Service (IMDS) dla punktu końcowego management.azure.comzasobu platformy Azure:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Napiwek

Narzędzie jq służy do wyodrębniania tokenu z danych wyjściowych JSON. Jednak w tym celu można użyć dowolnego odpowiedniego narzędzia.

Aby uzyskać więcej informacji na temat uzyskiwania tokenów opartych na tożsamościach zarządzanych, zobacz Uzyskiwanie tokenu przy użyciu protokołu HTTP.

Z wystąpienia obliczeniowego

Token możesz uzyskać, jeśli używasz wystąpienia obliczeniowego obszaru roboczego usługi Azure Machine Learning. Aby uzyskać token, należy przekazać identyfikator klienta i tajny klucz do tożsamości zarządzanej wystąpienia obliczeniowego do lokalnie skonfigurowanego punktu końcowego tożsamości zarządzanego systemu (MSI) w wystąpieniu obliczeniowym. Punkt końcowy msi, identyfikator klienta i wpis tajny można pobrać odpowiednio ze zmiennych MSI_ENDPOINTśrodowiskowych , DEFAULT_IDENTITY_CLIENT_IDi MSI_SECRET. Te zmienne są ustawiane automatycznie, jeśli włączysz tożsamość zarządzaną dla wystąpienia obliczeniowego.

Pobierz token punktu końcowego management.azure.com zasobu platformy Azure z wystąpienia obliczeniowego obszaru roboczego:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check whether given credential can get token.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential doesn't work.
    # This will open a browser page. 
    credential = InteractiveBrowserCredential()

Aby uzyskać więcej informacji, zobacz Uzyskiwanie tokenu przy użyciu biblioteki klienta tożsamości platformy Azure .

(Opcjonalnie) Weryfikuj punkt końcowy zasobu i identyfikator klienta tokena Entra firmy Microsoft

Po pobraniu tokenu Microsoft Entra możesz sprawdzić, czy token jest odpowiedni dla punktu końcowego zasobu platformy Azure (management.azure.com) i odpowiedniego identyfikatora klienta, dekodując token za pośrednictwem jwt.ms, która zwraca odpowiedź JSON zawierającą następujące informacje:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Tworzenie punktu końcowego

Poniższy przykład tworzy punkt końcowy z tożsamością przypisaną przez system jako tożsamość punktu końcowego. Tożsamość przypisana przez system jest domyślnym typem tożsamości zarządzanej dla punktów końcowych. Niektóre podstawowe role są automatycznie przypisywane dla tożsamości przypisanej przez system. Aby uzyskać więcej informacji na temat przypisywania roli dla tożsamości przypisanej przez system, zobacz Automatyczne przypisywanie roli dla tożsamości punktu końcowego.

Interfejs wiersza polecenia nie wymaga jawnego podania tokenu płaszczyzny sterowania. Zamiast tego polecenie interfejsu wiersza polecenia az login uwierzytelnia użytkownika podczas logowania, a token jest automatycznie pobierany i przekazywany.

Utwórz plik YAML definicji punktu końcowego o nazwie endpoint.yml:
```
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token
```
Możesz ustawić auth_mode na key dla uwierzytelniania klucza lub aml_token dla uwierzytelniania tokenem Azure Machine Learning. W tym przykładzie użyto aad_token do uwierzytelniania tokenu Microsoft Entra.

Utwórz punkt końcowy:

az ml online-endpoint create -f endpoint.yml

Sprawdź stan punktu końcowego:

az ml online-endpoint show -n my-endpoint

Jeśli chcesz przesłonić auth_mode (na przykład do aad_token) podczas tworzenia punktu końcowego, uruchom następujący kod:
```
az ml online-endpoint create -n my-endpoint --auth-mode aad_token
```
Jeśli chcesz zaktualizować istniejący punkt końcowy i określić auth_mode (na przykład jako aad_token), uruchom następujący kod:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

Wywołanie interfejsu API REST wymaga jawnego podania tokenu płaszczyzny sterowania. Użyj pobranego wcześniej tokenu płaszczyzny sterowania.

Tworzenie lub aktualizowanie punktu końcowego:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Możesz zastąpić authMode ciągiem key na potrzeby uwierzytelniania klucza lub wartością AMLToken dla uwierzytelniania tokenu usługi Azure Machine Learning. W tym przykładzie używasz AADToken uwierzytelniania tokenu Entra firmy Microsoft.

Uzyskaj bieżący stan punktu końcowego online:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Zestaw SDK języka Python nie wymaga jawnego udostępnienia tokenu płaszczyzny sterowania. Zestaw SDK MLClient uwierzytelnia Cię podczas logowania, a token jest automatycznie pobierany i przekazywany.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Możesz zastąpić auth_mode ciągiem key na potrzeby uwierzytelniania klucza lub wartością aml_token dla uwierzytelniania tokenu usługi Azure Machine Learning. W przykładzie użyto aad_token uwierzytelniania tokenu Entra firmy Microsoft.

Tworzenie wdrożenia

Aby utworzyć wdrożenie, zobacz Deploy a machine learning model with an online endpoint (Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online) lub Use REST to deploy a model as an online endpoint (Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online) lub Use REST to deploy a model as an online endpoint (Wdrażanie modelu jako punktu końcowego online). Nie ma różnicy w sposobie tworzenia wdrożeń dla różnych trybów uwierzytelniania.

Poniższy kod to przykład tworzenia wdrożenia. Aby uzyskać więcej informacji na temat wdrażania punktów końcowych online, zobacz Wdrażanie modelu uczenia maszynowego przy użyciu punktu końcowego online (za pośrednictwem interfejsu wiersza polecenia).

Utwórz plik YAML definicji wdrożenia o nazwie blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Utwórz wdrożenie przy użyciu pliku YAML. W tym przykładzie ustaw cały ruch na nowe wdrożenie.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Uzyskiwanie identyfikatora URI oceniania dla punktu końcowego

Jeśli używasz az ml online-endpoint invoke do wywołania punktu końcowego, CLI automatycznie rozwiązuje identyfikator URI oceniania, więc nie trzeba go pobierać ręcznie.

Jeśli jednak potrzebujesz identyfikatora URI oceniania do użycia z innymi narzędziami (takimi jak interfejs API REST lub niestandardowymi klientami HTTP), możesz pobrać go za pomocą następującego polecenia:

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Jeśli planujesz używać Python SDK do wywoływania punktu końcowego, nie musisz uzyskiwać URI punktu oceny, ponieważ SDK udostępnia go automatycznie. Jednak nadal możesz użyć zestawu SDK, aby uzyskać URI ocen, aby można było go używać z innymi kanałami, takimi jak API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Pobieranie klucza lub tokenu dla operacji płaszczyzny danych

Możesz użyć klucza lub tokenu dla operacji płaszczyzny danych, mimo że proces pobierania klucza lub tokenu jest operacją płaszczyzny sterowania. Innymi słowy, używasz tokenu płaszczyzny sterowania, aby uzyskać klucz lub token, którego później używasz do wykonywania operacji płaszczyzny danych.

Aby uzyskać klucz lub token usługi Azure Machine Learning, tożsamość użytkownika żądająca musi mieć przypisaną odpowiednią rolę, zgodnie z opisem w Autoryzacja dla operacji w płaszczyźnie sterowania. Tożsamość użytkownika nie wymaga żadnych dodatkowych ról, aby uzyskać token Entra firmy Microsoft.

Jeśli planujesz wywołać punkt końcowy przy użyciu interfejsu wiersza polecenia, nie musisz jawnie pobierać kluczy ani tokenu dla operacji płaszczyzny danych, ponieważ interfejs wiersza polecenia udostępnia go za Ciebie. Jednak nadal możesz użyć interfejsu wiersza polecenia, aby uzyskać klucze lub tokeny do operacji w płaszczyźnie danych, aby można było je używać z innymi kanałami, takimi jak interfejs API REST.

Aby uzyskać klucze lub token dla operacji płaszczyzny danych, użyj polecenia az ml online-endpoint get-credentials . To polecenie zwraca dane wyjściowe JSON zawierające klucze, token i/lub dodatkowe informacje.

Napiwek

W poniższym poleceniu --query parametr służy do wyodrębniania określonych informacji z danych wyjściowych JSON. Jednak w tym celu można użyć dowolnego odpowiedniego narzędzia.

auth_mode Gdy punkt końcowy jestkey

Klucze są zwracane w polach primaryKey i secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

auth_mode Gdy punkt końcowy jestaml_token

Token jest zwracany w polu accessToken.
Czas wygaśnięcia tokenu expiryTimeUtc jest zwracany w polu.

Czas odświeżania tokenu refreshAfterTimeUtc jest zwracany w polu.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

auth_mode Gdy punkt końcowy jestaad_token

Token jest zwracany w polu accessToken.

Czas wygaśnięcia tokenu expiryTimeUtc jest zwracany w polu.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Aby uzyskać klucze lub token dla operacji płaszczyzny danych, wybierz odpowiedni interfejs API w zależności od auth_mode punktu końcowego. Interfejs API zwraca dane wyjściowe JSON, które zawierają klucze i token.

Napiwek

Narzędzie jq służy do zademonstrowania sposobu wyodrębniania określonych informacji z danych wyjściowych JSON. Jednak w tym celu można użyć dowolnego odpowiedniego narzędzia.

auth_mode Gdy punkt końcowy jestkey

Użyj interfejsu listkeys API.

Klucze są zwracane w polach primaryKey i secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Kiedy auth_mode punktu końcowego to aml_token

Użyj interfejsu token API.
Token jest zwracany w polu accessToken.
Czas wygaśnięcia tokenu expiryTimeUtc jest zwracany w polu.

Czas odświeżania tokenu refreshAfterTimeUtc jest zwracany w polu.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

auth_mode Gdy punkt końcowy jestaad_token

Użyj punktu końcowego IMDS lub punktu końcowego MSI, w zależności od lokalizacji, z której wysyłasz żądanie tokenu.
Token jest zwracany w polu accessToken.
Czas wygaśnięcia tokenu expiryTimeUtc jest zwracany w polu.

Z maszyny wirtualnej platformy Azure

Token można uzyskać na podstawie zarządzanych tożsamości dla maszyn wirtualnych na platformie Azure (gdy maszyna wirtualna ma włączoną tożsamość zarządzaną).

Aby uzyskać token Microsoft Entra (aad_token) dla operacji płaszczyzny danych na maszynie wirtualnej platformy Azure z tożsamością zarządzaną, wyślij żądanie do punktu końcowego IMDS dla punktu końcowego zasobu platformy Azure ml.azure.com.
```
export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
```
Aby uzyskać więcej informacji na temat uzyskiwania tokenów opartych na tożsamościach zarządzanych, zobacz Uzyskiwanie tokenu przy użyciu protokołu HTTP.

Z wystąpienia obliczeniowego

Token możesz uzyskać, jeśli używasz wystąpienia obliczeniowego obszaru roboczego usługi Azure Machine Learning. Aby uzyskać token, należy przekazać identyfikator klienta i tajny klucz tożsamości zarządzanej wystąpienia obliczeniowego do punktu końcowego MSI skonfigurowanego lokalnie w wystąpieniu obliczeniowym. Punkt końcowy msi, identyfikator klienta i wpis tajny można pobrać odpowiednio ze zmiennych MSI_ENDPOINTśrodowiskowych , DEFAULT_IDENTITY_CLIENT_IDi MSI_SECRET. Te zmienne są ustawiane automatycznie, jeśli włączysz tożsamość zarządzaną dla wystąpienia obliczeniowego.

Pobierz token punktu końcowego ml.azure.com zasobu platformy Azure z wystąpienia obliczeniowego obszaru roboczego:

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Ważne

W przeciwieństwie do tokenu Entra firmy Microsoft dla operacji płaszczyzny sterowania, który jest pobierany z management.azure.comprogramu , token Entra firmy Microsoft dla operacji płaszczyzny danych jest pobierany z punktu końcowego ml.azure.comzasobu platformy Azure.

Jeśli używasz metody zestawu SDK do wywołania punktu końcowego, zestaw SDK invoke() automatycznie obsługuje uwierzytelnianie, więc nie trzeba ręcznie pobierać kluczy ani tokenów.

Jeśli jednak musisz pobrać klucze lub tokeny do użycia z innymi narzędziami (takimi jak interfejs API REST lub niestandardowymi klientami HTTP), możesz użyć metody get_keys w OnlineEndpointOperations klasie . Ta metoda zwraca obiekt zawierający klucze i token.

Gdy auth_mode punktu końcowego jest key

Klucze są zwracane w polach primary_key i secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

auth_mode Gdy punkt końcowy jestaml_token

Token jest zwracany w polu access_token.
Czas wygaśnięcia tokenu expiry_time_utc jest zwracany w polu.

Czas odświeżania tokenu refresh_after_time_utc jest zwracany w polu.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Gdy auth_mode punktu końcowego jest aad_token

Token jest zwracany w polu access_token.

Czas wygaśnięcia tokenu expiry_time_utc jest zwracany w polu.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Aby uzyskać więcej informacji, zobacz Uzyskiwanie tokenu przy użyciu biblioteki klienta tożsamości platformy Azure.

Weryfikowanie punktu końcowego zasobu i identyfikatora klienta tokenu entra firmy Microsoft

Po otrzymaniu tokenu Entra możesz sprawdzić, czy token jest odpowiedni dla odpowiedniego punktu końcowego zasobu platformy Azure, ml.azure.comi odpowiedniego identyfikatora klienta, dekodując token za pośrednictwem jwt.ms, co zwraca odpowiedź JSON z następującymi informacjami:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Ocenianie danych przy użyciu klucza lub tokenu

Możesz użyć dla az ml online-endpoint invoke punktów końcowych z kluczem, tokenem usługi Azure Machine Learning lub tokenem firmy Microsoft Entra. Interfejs wiersza polecenia automatycznie udostępnia klucz lub token, więc nie trzeba go jawnie przekazywać.

az ml online-endpoint invoke -n my-endpoint -r request.json

Podczas wywoływania punktu końcowego online do oceniania przekaż klucz, token usługi Azure Machine Learning lub token microsoft Entra w nagłówku autoryzacji. Poniższy kod pokazuje, jak używać narzędzia cURL do wywoływania punktu końcowego online przy użyciu klucza lub tokenu:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Zestaw SDK ml_client.online_endpoints.invoke() usługi Azure Machine Learning jest obsługiwany w przypadku kluczy, tokenów usługi Azure Machine Learning i tokenów usługi Microsoft Entra. Możesz również użyć ogólnego SDK dla Python, aby wysłać żądanie POST do URI skoringu.

Podczas wywoływania punktu końcowego online do oceniania przekaż klucz lub token w nagłówku autoryzacji. Poniższy kod pokazuje, jak wywołać punkt końcowy online przy użyciu klucza lub tokenu za pomocą ogólnego Python SDK. W kodzie zastąp zmienną api_key kluczem lub tokenem.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers. They include the request ID and the timestamp, which are useful for debugging the failure.
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Rejestrowanie i monitorowanie ruchu

Aby włączyć rejestrowanie ruchu w ustawieniach diagnostycznych punktu końcowego, wykonaj kroki opisane w artykule Włączanie dzienników.

Jeśli ustawienie diagnostyczne jest włączone, możesz wyświetlić tabelę AmlOnlineEndpointTrafficLogs , aby wyświetlić tryb uwierzytelniania i tożsamość użytkownika.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2026-01-15

Udostępnij przez

Klucz lub token usługi Azure Machine Learning