Autenticar clientes para endpoints online

APLICA-SE A:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (current)

Este artigo descreve como autenticar clientes para realizar operações de plano de controlo e plano de dados em endpoints online.

Uma operação de plano de controle controla um ponto de extremidade e o altera. As operações do plano de controle incluem operações de criação, leitura, atualização e exclusão (CRUD) em pontos de extremidade online e implantações online.

Uma operação de plano de dados usa dados para interagir com um ponto de extremidade online sem alterar o ponto de extremidade. Por exemplo, uma operação de plano de dados pode consistir em enviar uma solicitação de pontuação para um ponto de extremidade online e obter uma resposta.

Pré-requisitos

Uma área de trabalho do Azure Machine Learning. Para obter instruções sobre como criar um espaço de trabalho, consulte Criar o espaço de trabalho.
A CLI do Azure e a extensão ml ou o SDK do Python do Azure Machine Learning v2:
- CLI do Azure
- Python SDK
Para instalar a CLI do Azure e a ml extensão, consulte Instalar e configurar a CLI (v2).

Os exemplos neste artigo pressupõem que você use um shell Bash ou um shell compatível. Por exemplo, você pode usar um shell em um sistema Linux ou Subsistema Windows para Linux.
Para instalar o Python SDK v2, use o seguinte comando:
```
pip install azure-ai-ml azure-identity
```
Para atualizar uma instalação existente do SDK para a versão mais recente, use o seguinte comando:
```
pip install --upgrade azure-ai-ml azure-identity
```
Para obter mais informações, consulte Biblioteca de cliente do Pacote do Azure Machine Learning para Python.

Preparar uma identidade de usuário

Precisa de uma identidade de utilizador para realizar operações no plano de controlo (por exemplo, operações CRUD) e operações no plano de dados (por exemplo, enviar pedidos de pontuação) no endpoint online. Você pode usar a mesma identidade de usuário ou identidades de usuário diferentes para o plano de controle e operações do plano de dados. Neste artigo, você usa a mesma identidade de usuário para operações do plano de controle e do plano de dados.

Para informações sobre como criar uma identidade de utilizador no Microsoft Entra ID, veja Configurar autenticação. Você precisará do ID de identidade mais tarde.

Atribuir permissões à identidade

Nesta seção, você atribui permissões à identidade de usuário que usa para interagir com o ponto de extremidade. Você começa usando uma função interna ou criando uma função personalizada. Depois disso, você atribui a função à sua identidade de usuário.

Usar uma função interna

Podes usar a AzureML Data Scientistfunção incorporada para gerir e usar endpoints e implementações. Também utiliza caracteres universais para incluir as seguintes ações de controlo de acesso baseado em funções (RBAC) no plano de controlo.

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

Utiliza curingas para incluir a seguinte ação RBAC no plano de dados:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcionalmente, pode usar a função Azure Machine Learning Workspace Connection Secrets Reader incorporada para aceder aos segredos das ligações do espaço de trabalho. Inclui as seguintes ações RBAC no plano de controlo:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Se usares estas funções incorporadas, não precisas de tomar qualquer medida nesta etapa.

(Opcional) Criar uma função personalizada

Pode ignorar este passo se estiver a utilizar funções incorporadas ou outras funções personalizadas pré-criadas.

Defina o escopo e as ações para funções personalizadas criando definições JSON das funções. Por exemplo, a seguinte definição de função, custom-role-for-control-plane.json, permite ao utilizador realizar operações CRUD num endpoint online num espaço de trabalho especificado.

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

A seguinte definição de função, custom-role-for-scoring.json, permite ao utilizador enviar pedidos de pontuação para um endpoint online num espaço de trabalho especificado.

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Use as definições JSON para criar funções personalizadas:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionID>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionID>
```
Nota

Para criar funções personalizadas, você precisa de uma das três funções:
- Proprietário
- Administrador de Acesso de Usuário
- Um função personalizada com Microsoft.Authorization/roleDefinitions/write permissão (para criar/atualizar/eliminar funções personalizadas) e Microsoft.Authorization/roleDefinitions/read permissão (para visualizar funções personalizadas).
Para obter mais informações sobre como criar funções personalizadas, consulte Funções personalizadas do Azure.

Verifique a definição de função:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Atribuir a função à identidade

Se você estiver usando a AzureML Data Scientist função interna, use o código a seguir para atribuir a função à sua identidade de usuário.

az role assignment create --assignee <identityID> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Opcionalmente, se você estiver usando a Azure Machine Learning Workspace Connection Secrets Reader função interna, use o código a seguir para atribuir a função à sua identidade de usuário.

az role assignment create --assignee <identityID> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Se você estiver usando uma função personalizada, use o código a seguir para atribuir a função à sua identidade de usuário.
```
az role assignment create --assignee <identityID> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityID> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Nota

Para atribuir funções personalizadas à identidade do usuário, você precisa de uma das três funções:
- Proprietário
- Administrador de Acesso de Usuário
- Uma função personalizada que permite Microsoft.Authorization/roleAssignments/write permissão (para atribuir funções personalizadas) e Microsoft.Authorization/roleAssignments/read (para visualizar atribuições de funções).
Para mais informações sobre funções Azure e as suas permissões, consulte funções Azure e Atribuir funções Azure usando o portal Azure.

Confirme a atribuição da função:

az role assignment list --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Obtenha o token Microsoft Entra para operações de plano de controle

Complete este passo se planeia realizar operações no plano de controlo usando a API REST, que utiliza diretamente o token.

Se planeias usar outros métodos, como Azure CLI com a extensão ml v2, Python SDK v2 ou Azure Machine Learning Studio, não precisas de obter manualmente o token Microsoft Entra. A sua identidade de utilizador será autenticada durante o início de sessão, e o token será automaticamente recuperado e passado por si.

Pode recuperar o token Microsoft Entra para operações de plano de controlo a partir do ponto final de recurso do Azure: https://management.azure.com.

Inicie sessão no Azure.
```
az login
```
Se você quiser usar uma identidade específica, use o seguinte código para entrar com a identidade:
```
az login --identity --username <identityID>
```

Use este contexto para obter o token:

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

A partir de uma máquina virtual do Azure

Podes obter o token com base na identidade gerida para uma VM Azure (quando a VM ativa uma identidade gerida).

Para obter o token Microsoft Entra (aad_token) para a operação do plano de controle na VM do Azure, envie a solicitação para o ponto de extremidade do Serviço de Metadados de Instância do Azure (IMDS) para o ponto de extremidade management.azure.comde recurso do Azure :
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Gorjeta

A jq ferramenta é usada para extrair o token da saída JSON. No entanto, você pode usar qualquer ferramenta adequada para este fim.

Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

A partir de uma instância de computação

Você pode obter o token se estiver usando a instância de computação do espaço de trabalho do Azure Machine Learning. Para obter o token, deve passar o ID do cliente e o segredo da identidade gerida da instância de computação para o endpoint de Identidade de Sistema Gerido (MSI) que está configurado localmente na instância de computação. Você pode obter o ponto de extremidade MSI, a ID do cliente e o segredo das variáveis MSI_ENDPOINTde ambiente , DEFAULT_IDENTITY_CLIENT_ID, e MSI_SECRET, respectivamente. Essas variáveis são definidas automaticamente se você habilitar a identidade gerenciada para a instância de computação.

Obtenha o token para o ponto de extremidade management.azure.com de recurso do Azure da instância de computação do espaço de trabalho:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check whether given credential can get token.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential doesn't work.
    # This will open a browser page. 
    credential = InteractiveBrowserCredential()

Consulte Obter um token usando a biblioteca cliente Azure Identity para mais informações.

(Opcional) Verifique o endpoint de recurso e o ID do cliente para o token Microsoft Entra

Depois de recuperar o token Microsoft Entra, pode verificar se o token corresponde ao endpoint de recurso Azure correto (management.azure.com) e ao ID de cliente correto, descodificando o token via jwt.ms, que devolve uma resposta JSON contendo a seguinte informação:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Criar um ponto final

O exemplo seguinte cria o ponto final com uma identidade atribuída pelo sistema como identidade do endpoint. A identidade atribuída pelo sistema é o tipo de identidade padrão da identidade gerida para os pontos finais. Algumas funções básicas são automaticamente atribuídas à identidade atribuída pelo sistema. Para obter mais informações sobre a atribuição de função para uma identidade atribuída pelo sistema, consulte Atribuição automática de função para identidade de ponto de extremidade.

A CLI não exige que você forneça explicitamente o token do plano de controle. Em vez disso, o comando CLI az login autentica-o durante o início de sessão, e o token é automaticamente recuperado e passado para si.

Crie um ficheiro YAML de definição de endpoint chamado endpoint.yml:
```
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token
```
Pode definir auth_mode para autenticação com chave key ou aml_token para autenticação de token do Azure Machine Learning. Este exemplo utiliza aad_token para autenticação de tokens Microsoft Entra.

Crie o ponto de extremidade:

az ml online-endpoint create -f endpoint.yml

Verifique o status do endpoint:

az ml online-endpoint show -n my-endpoint

Se você quiser substituir auth_mode (por exemplo, para aad_token) ao criar um ponto de extremidade, execute o seguinte código:
```
az ml online-endpoint create -n my-endpoint --auth-mode aad_token
```
Se quiser atualizar o endpoint existente e especificar auth_mode (por exemplo, como aad_token), execute o seguinte código:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

A chamada à API REST requer que você forneça explicitamente o token do plano de controle. Use o token de plano de controle recuperado anteriormente.

Criar ou atualizar um ponto de extremidade:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Pode substituir authMode por key para autenticação por chave ou por AMLToken para autenticação de token do Azure Machine Learning. Neste exemplo, utiliza-se AADToken para autenticação de token Microsoft Entra.

Obtenha o status atual do ponto de extremidade online:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK não requer que você forneça explicitamente o token de plano de controle. Em vez disso, o SDK MLClient autentica você durante o login, e o token é automaticamente recuperado e passado para você.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Pode substituir auth_mode por key para autenticação por chave ou para autenticação de token do Azure Machine Learning. O exemplo utiliza aad_token para a autenticação de tokens Microsoft Entra.

Criar uma implantação

Para criar uma implementação, veja Implantar um modelo de aprendizagem automática com um endpoint online ou Use REST para implementar um modelo como endpoint online. Não há diferença na forma como crias implementações para diferentes modos de autenticação.

O código a seguir é um exemplo de como criar uma implantação. Para mais informações sobre a implementação de endpoints online, consulte Deploy a machine learning model with a online endpoint (via CLI).

Crie um ficheiro YAML de definição de implementação chamado blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Crie a implementação usando o ficheiro YAML. Para este exemplo, defina todo o tráfego para a nova implantação.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Obter o URI de pontuação para o ponto de extremidade

Se usares az ml online-endpoint invoke para chamar o endpoint, a CLI resolve automaticamente o URI de pontuação, por isso não precisas de o recuperar manualmente.

No entanto, se precisar do URI de pontuação para usar com outras ferramentas (como a API REST ou clientes HTTP personalizados), pode recuperá-lo com o seguinte comando:

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Se planeias usar o SDK Python para invocar o endpoint, não precisas de obter explicitamente o URI de pontuação porque o SDK fornece-o por ti. No entanto, ainda podes usar o SDK para obter o URI de pontuação e assim a usá-lo com outros canais, como a API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Obter a chave ou token para operações de plano de dados

Pode usar uma chave ou token para operações no plano de dados, mesmo que o processo de obtenção da chave ou token seja uma operação do plano de controlo. Em outras palavras, você usa um token de plano de controle para obter a chave ou token que você usa posteriormente para executar suas operações de plano de dados.

Para obter a chave ou o token Azure Machine Learning, a identidade do utilizador que a solicita precisa de ter o papel correto atribuído, conforme descrito na Autorização para operações no plano de controlo. A identidade do utilizador não precisa de funções adicionais para obter token Microsoft Entra.

Se planeias usar a CLI para invocar o endpoint, não precisas de obter as chaves ou o token para operações no plano de dados explicitamente porque a CLI fornece isso para ti. No entanto, ainda pode usar a CLI para obter as chaves ou o token para operações no plano de dados, de modo a poder usá-lo com outros canais, como a API REST.

Para obter as chaves ou o token para operações de plano de dados, use o comando az ml online-endpoint get-credentials . Este comando devolve a saída JSON que contém as chaves, o token e/ou informações adicionais.

Gorjeta

No comando seguinte, o --query parâmetro é usado para extrair informação específica da saída JSON. No entanto, pode usar qualquer ferramenta adequada para esse fim.

Quando o auth_mode do ponto final é key

As chaves são retornadas nos primaryKey campos e secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quando o auth_mode do ponto final é aml_token

O token é devolvido no accessToken campo.
O tempo de expiração do token é devolvido no expiryTimeUtc campo.

O tempo de atualização do token é devolvido no refreshAfterTimeUtc campo.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quando o auth_mode do ponto final é aad_token

O token é devolvido no accessToken campo.

O tempo de expiração do token é devolvido no expiryTimeUtc campo.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Para obter as chaves ou o token para operações de plano de dados, escolha a API correta, dependendo do auth_mode ponto de extremidade. A API devolve saída JSON que inclui as chaves e o token.

Gorjeta

A jq ferramenta é usada para demonstrar como extrair informação específica da saída JSON. No entanto, pode usar qualquer ferramenta adequada para esse fim.

Quando o auth_mode do ponto final é key

Use a listkeys API.

As chaves são retornadas nos primaryKey campos e secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quando o auth_mode do ponto final é aml_token

Use a token API.
O token é devolvido no accessToken campo.
O tempo de expiração do token é devolvido no expiryTimeUtc campo.

O tempo de atualização do token é devolvido no refreshAfterTimeUtc campo.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quando o auth_mode do ponto final é aad_token

Use o endpoint IMDS ou o endpoint MSI, dependendo de onde solicita o token.
O token é devolvido no accessToken campo.
O tempo de expiração do token é devolvido no expiryTimeUtc campo.

A partir de uma máquina virtual do Azure

Podes obter o token com base nas identidades geridas para uma VM Azure (quando a VM ativa uma identidade gerida).

Para obter o token Microsoft Entra (aad_token) para a operação do plano de dados na VM Azure com identidade gerida, submeta o pedido para o endpoint IMDS para o endpoint ml.azure.comde recursos Azure :

export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`

Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

A partir de uma instância de computação

Você pode obter o token se estiver usando a instância de computação do espaço de trabalho do Azure Machine Learning. Para obter o token, tens de passar o ID do cliente e o segredo da identidade gerida da instância de computação ao endpoint MSI que está configurado localmente na instância de computação. Você pode obter o ponto de extremidade MSI, a ID do cliente e o segredo das variáveis MSI_ENDPOINTde ambiente , DEFAULT_IDENTITY_CLIENT_ID, e MSI_SECRET, respectivamente. Essas variáveis são definidas automaticamente se você habilitar a identidade gerenciada para a instância de computação.

Obtenha o token para o ponto de extremidade ml.azure.com de recurso do Azure da instância de computação do espaço de trabalho:

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Importante

Ao contrário do token Microsoft Entra para operações de plano de controle, que é recuperado do , o token Microsoft Entra para operações de plano de dados é recuperado do ponto de management.azure.comextremidade ml.azure.comde recurso do Azure.

Se usares o método do invoke() SDK para chamar o endpoint, o SDK trata da autenticação automaticamente, por isso não precisas de recuperar chaves ou tokens manualmente.

No entanto, se precisares de recuperar chaves ou tokens para usar com outras ferramentas (como API REST ou clientes HTTP personalizados), podes usar o método get_keys na OnlineEndpointOperations classe. Esse método retorna um objeto que inclui chaves e token.

Quando o auth_mode do ponto final é key

As chaves são retornadas nos primary_key campos e secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quando o auth_mode do ponto final é aml_token

O token é devolvido no access_token campo.
O tempo de expiração do token é devolvido no expiry_time_utc campo.

O tempo de atualização do token é devolvido no refresh_after_time_utc campo.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quando o auth_mode do ponto final é aad_token

O token é devolvido no access_token campo.

O tempo de expiração do token é devolvido no expiry_time_utc campo.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Consulte Obter um token usando a biblioteca de cliente de identidade do Azure para obter mais informações.

Verifique o ponto de extremidade do recurso e a ID do cliente para o token do Microsoft Entra

Depois de obter o token Entra, pode verificar se o token é para o endpoint de recurso Azure correto, ml.azure.com, e o ID de cliente correto, descodificando o token via jwt.ms, que retorna uma resposta JSON com a seguinte informação:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Pontuar dados usando a chave ou token

Você pode usar az ml online-endpoint invoke para pontos de extremidade com uma chave, um token do Azure Machine Learning ou um token do Microsoft Entra. A CLI fornece automaticamente a chave ou token, por isso não precisa de a passar explicitamente.

az ml online-endpoint invoke -n my-endpoint -r request.json

Ao invocar o ponto de extremidade online para pontuação, passe a chave, o token do Azure Machine Learning ou o token do Microsoft Entra no cabeçalho de autorização. O código seguinte mostra como usar a utilidade cURL para chamar o endpoint online usando uma chave ou token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

O Azure Machine Learning SDK ml_client.online_endpoints.invoke() é suportado para chaves, tokens Azure Machine Learning e tokens Microsoft Entra. Também pode usar um SDK genérico em Python para enviar o pedido POST ao URI de pontuação.

Ao chamar o ponto de extremidade online para pontuação, passe a chave ou token no cabeçalho de autorização. O código seguinte mostra como chamar o endpoint online usando uma chave ou token com um SDK genérico em Python. No código, substitua a api_key variável pela sua chave ou token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers. They include the request ID and the timestamp, which are useful for debugging the failure.
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Registre e monitore o tráfego

Para ativar o registo de tráfego nas definições de diagnóstico do endpoint, complete os passos em Ativar registos.

Se a definição de diagnóstico estiver ativada, pode ver a AmlOnlineEndpointTrafficLogs tabela para ver o modo de autenticação e a identidade do utilizador.

Feedback

Esta página foi útil?

Last updated on 2026-01-15

Partilhar via

Chave ou token do Azure Machine Learning

Partilhar via

Autenticar clientes para endpoints online

Pré-requisitos

Preparar uma identidade de usuário

Atribuir permissões à identidade

Usar uma função interna

(Opcional) Criar uma função personalizada

Atribuir a função à identidade

Obtenha o token Microsoft Entra para operações de plano de controle

(Opcional) Verifique o endpoint de recurso e o ID do cliente para o token Microsoft Entra

Criar um ponto final

Criar uma implantação

Obter o URI de pontuação para o ponto de extremidade

Obter a chave ou token para operações de plano de dados

Verifique o ponto de extremidade do recurso e a ID do cliente para o token do Microsoft Entra

Pontuar dados usando a chave ou token

Registre e monitore o tráfego

Conteúdos relacionados

Feedback

Recursos adicionais