Autenticare i client per gli endpoint online

Articolo
10/16/2024

SI APPLICA A:Estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)Python SDK azure-ai-ml v2 (corrente)

Questo articolo illustra come autenticare i client per l'esecuzione di operazioni del piano di controllo e del piano dati su endpoint online.

Un'operazione del piano di controllo controlla un endpoint e lo cambia. Queste operazioni includono creazione, lettura, aggiornamento ed eliminazione (CRUD) su endpoint online e distribuzioni online.

Un'operazione del piano dati usa i dati per interagire con un endpoint online senza cambiarlo. Ad esempio, un'operazione dal piano dati potrebbe consistere nell'invio di una richiesta di assegnazione dei punteggi a un endpoint online e nella ricezione di una risposta.

Prerequisiti

Prima di seguire la procedura descritta in questo articolo, assicurarsi di disporre dei prerequisiti seguenti:

Un'area di lavoro di Azure Machine Learning. Se non è disponibile, seguire la procedura descritta nell'articolo Avvio rapido: Creare risorse dell'area di lavoro per crearne una.
L'interfaccia della riga di comando di Azure e l'estensione ml oppure Python SDK v2 per Azure Machine Learning:
- Per installare l'interfaccia della riga di comando di Azure e l'estensione, vedere Installare, configurare e usare l'interfaccia della riga di comando di Azure (v2).
  
  Importante
  
  Gli esempi dell'interfaccia della riga di comando in questo articolo presuppongono che si usi la shell Bash (o compatibile). Ad esempio, un sistema Linux o un sottosistema Windows per Linux.
- Per installare Python SDK v2, usare il comando seguente:
```
pip install azure-ai-ml azure-identity
```
  Per aggiornare un'installazione esistente di SDK alla versione più recente, usare il comando seguente:
```
pip install --upgrade azure-ai-ml azure-identity
```
  Per altre informazioni, vedere Installare Python SDK v2 per Azure Machine Learning.

Preparare un'identità utente

Per eseguire le operazioni del piano di controllo (CRUD) e del piano dati (invio di richieste di assegnazione dei punteggi) sugli endpoint online, è necessaria un'identità utente. È possibile usare la stessa identità utente o diverse per le operazioni del piano di controllo e del piano dati. In questo articolo viene usata la stessa identità utente per le operazioni del piano di controllo e del piano dati.

Per creare un'identità utente in Microsoft Entra ID, vedere Configurare l'autenticazione. L'ID identità sarà necessario in un secondo momento.

Assegnare autorizzazioni all'identità

In questa sezione si assegnano le autorizzazioni all'identità utente da usare per interagire con l'endpoint. Per iniziare, usare un ruolo predefinito o creare un ruolo personalizzato. Successivamente, assegnare il ruolo all'identità utente.

Usare un ruolo predefinito

Il AzureML Data Scientistruolo predefinito può essere usato per gestire e usare endpoint e distribuzioni e usa caratteri jolly per includere le azioni seguenti di controllo degli accessi in base al ruolo del piano di controllo:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

e per includere l'azione seguente di controllo degli accessi in base al ruolo del piano dati:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Facoltativamente, il ruolo predefinito Azure Machine Learning Workspace Connection Secrets Reader può essere usato per accedere ai segreti delle connessioni all'area di lavoro e include le azioni di controllo degli accessi in base al ruolo seguenti del piano di controllo:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Se si usano questi ruoli predefiniti, non è necessaria alcuna azione in questo passaggio.

(Facoltativo) Creare un ruolo personalizzato

È possibile ignorare questo passaggio se si usano ruoli predefiniti o altri ruoli personalizzati predefiniti.

Definire l'ambito e le azioni per i ruoli personalizzati creando le relative definizioni JSON. Ad esempio, la definizione del ruolo seguente consente all'utente di eseguire operazioni CRUD su un endpoint online, in un'area di lavoro specificata.

custom-role-for-control-plane.json:

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

La definizione del ruolo seguente consente all'utente di inviare richieste di assegnazione dei punteggi a un endpoint online, in un'area di lavoro specificata.

custom-role-for-scoring.json:

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Usare le definizioni JSON per creare ruoli personalizzati:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Nota

Per creare ruoli personalizzati è necessario uno di questi tre ruoli:
- owner
- Amministratore Accesso utente
- Un ruolo personalizzato con autorizzazione Microsoft.Authorization/roleDefinitions/write (per creare/aggiornare/eliminare ruoli personalizzati) e un'autorizzazione Microsoft.Authorization/roleDefinitions/read (per visualizzare ruoli personalizzati).
Per altre informazioni sulla creazione di ruoli personalizzati, vedere Ruoli personalizzati di Azure.

Verificare la definizione del ruolo:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Assegnare il ruolo all'identità

Se si usa il ruolo predefinito AzureML Data Scientist, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Facoltativamente, se si usa il ruolo predefinito Azure Machine Learning Workspace Connection Secrets Reader, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Se si usa un ruolo personalizzato, usare il codice seguente per assegnarlo all'identità utente.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Nota

Per assegnare ruoli personalizzati all'identità utente, è necessario uno dei tre ruoli seguenti:
- owner
- Amministratore Accesso utente
- Un ruolo personalizzato che consente l'autorizzazione Microsoft.Authorization/roleAssignments/write (per assegnare ruoli personalizzati) e Microsoft.Authorization/roleAssignments/read (per visualizzare le assegnazioni di ruolo).
Per altre informazioni sui diversi ruoli di Azure e sulle relative autorizzazioni, vedere Ruoli di Azure e Assegnazione di ruoli di Azure tramite il portale di Azure.

Creare l'assegnazione di ruolo:

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Ottenere il token di Microsoft Entra per le operazioni del piano di controllo

Eseguire questo passaggio se si prevede di eseguire operazioni del piano di controllo con l'API REST, che userà direttamente il token.

Se si prevede di usare altri modi, ad esempio l'interfaccia della riga di comando di Azure Machine Learning (v2), Python SDK (v2) o lo studio di Azure Machine Learning, non è necessario ottenere manualmente il token di Microsoft Entra. Durante l'accesso, invece, l'identità utente sarà già stata autenticata e il token sarà stato recuperato e passato automaticamente.

È possibile recuperare il token di Microsoft Entra per le operazioni del piano di controllo dall'endpoint della risorsa di Azure: https://management.azure.com.

Accedere ad Azure.
```
az login
```
Se si vuole usare un'identità specifica, usare il codice seguente per accedere con l'identità:
```
az login --identity --username <identityId>
```

Usare questo contesto per ottenere il token.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

Da una macchina virtuale di Azure

È possibile acquisire il token in base all'identità gestita per una macchina virtuale di Azure (quando la VM abilita un'identità gestita).

Per ottenere il token di Microsoft Entra (aad_token) per l'operazione del piano di controllo nella macchina virtuale di Azure, inviare la richiesta all'endpoint del servizio metadati dell'istanza di Azure (IMDS) per l'endpoint della risorsa di Azure management.azure.com:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Suggerimento

Per estrarre il token dall'output JSON, viene usata l'utilità jq come esempio. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

È possibile ottenere il token se si usa l'istanza di ambiente di calcolo dell'area di lavoro di Azure Machine Learning. Per ottenere il token, è necessario passare l'ID client e il segreto dell'identità gestita dell'istanza di ambiente di calcolo all'endpoint identità di sistema gestita (MSI) configurato localmente nell'istanza di ambiente di calcolo. È possibile ottenere l'endpoint MSI, l'ID client e il segreto rispettivamente dalle variabili di ambiente MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID e MSI_SECRET. Queste variabili vengono impostate automaticamente se si abilita l'identità gestita per l'istanza di ambiente di calcolo.

Ottenere il token per l'endpoint della risorsa di Azure management.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Per altre informazioni, vedere Ottenere un token usando la libreria client di identità di Azure.

(Facoltativo) Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Dopo aver recuperato il token di Microsoft Entra, è possibile verificare che sia quello per l'endpoint della risorsa di Azure corretto management.azure.com e l'ID client corretto decodificando il token tramite jwt.ms, che restituirà una risposta JSON con le informazioni seguenti:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Creare un endpoint

L'esempio seguente crea un endpoint con un'identità assegnata dal sistema (SAI). SAI è il tipo di identità predefinito dell'identità gestita per gli endpoint. Alcuni ruoli di base vengono assegnati automaticamente per SAI. Per altre informazioni sull'assegnazione di ruolo per un'identità assegnata dal sistema, vedere Assegnazione di ruolo automatica per l'identità dell'endpoint.

L'interfaccia della riga di comando non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, l'interfaccia della riga di comando az login esegue l'autenticazione durante l'accesso e il token viene recuperato e passato automaticamente.

Creare un file YAML di definizione dell'endpoint.

endpoint.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

È possibile sostituire auth_mode con key per l'autenticazione della chiave o con aml_token per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa aad_token per l'autenticazione del token di Microsoft Entra.
```
az ml online-endpoint create -f endpoint.yml
```

Controllare lo stato dell'endpoint:

az ml online-endpoint show -n my-endpoint

Se si vuole eseguire l'override del valore di auth_mode (ad esempio sostituendolo con aad_token) durante la creazione di un endpoint, eseguire il codice seguente:
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Se si vuole aggiornare l'endpoint esistente e specificare auth_mode (ad esempio su aad_token), eseguire il codice seguente:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

La chiamata API REST richiede di fornire esplicitamente il token del piano di controllo. Usare il token del piano di controllo recuperato in precedenza.

Creare o aggiornare un endpoint:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

È possibile sostituire authMode con key per l'autenticazione della chiave o con AMLToken per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa AADToken per l'autenticazione del token di Microsoft Entra.

Ottenere lo stato corrente dell'endpoint online:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, l'SDK MLClient esegue l'autenticazione durante l'accesso e il token viene recuperato e passato automaticamente.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

È possibile sostituire auth_mode con key per l'autenticazione della chiave o con aml_token per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa aad_token per l'autenticazione del token di Microsoft Entra.

Creare una distribuzione

Per creare una distribuzione, vedere Distribuire un modello di Machine Learning con un endpoint online o Usare REST per distribuire un modello come endpoint online. Non esiste alcuna differenza nel modo in cui si creano distribuzioni per le diverse modalità di autenticazione.

Il codice seguente è un esempio di come creare una distribuzione. Per altre informazioni sulla distribuzione di endpoint online, vedere Distribuire un modello di Machine Learning con un endpoint online (tramite interfaccia della riga di comando)

Creare un file YAML di definizione della distribuzione.

blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Creare la distribuzione usando il file YAML. Per questo esempio, impostare tutto il traffico sulla nuova distribuzione.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Ottenere l'URI di assegnazione dei punteggi per l'endpoint

Se si prevede di usare l'interfaccia della riga di comando per richiamare l'endpoint, non è necessario ottenere esplicitamente l'URI di assegnazione dei punteggi, perché l'interfaccia della riga di comando gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'interfaccia della riga di comando per ottenere l'URI di assegnazione dei punteggi in modo da poterlo usare con altri canali, ad esempio l'API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Se si prevede di usare Python SDK per richiamare l'endpoint, non è necessario ottenere esplicitamente l'URI di assegnazione dei punteggi, perché l'SDK gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'SDK per ottenere l'URI di assegnazione dei punteggi in modo da poterlo usare con altri canali, ad esempio l'API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Ottenere la chiave o il token per le operazioni del piano dati

È possibile usare una chiave o un token per le operazioni del piano dato, anche se il processo per ottenerli è un'operazione del piano di controllo. In altre parole, si usa un token del piano di controllo per ottenere la chiave o il token che viene usato in un secondo momento per eseguire le operazioni del piano dati.

Per ottenere la chiave o il token di Azure Machine Learning, è necessario che sia assegnato il ruolo corretto all'identità utente che lo richiede, come descritto in Autorizzazione per le operazioni del piano di controllo. Per ottenere il token di Microsoft Entranon sono richiesti ruoli aggiuntivi per l'identità utente.

Se si prevede di usare l'interfaccia della riga di comando per richiamare l'endpoint, non è necessario ottenere le chiavi o il token per le operazioni del piano dati in modo esplicito, perché l'interfaccia della riga di comando gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'interfaccia della riga di comando per ottenere le chiavi o il token per l'operazione del piano dati in modo da poterli usare con altri canali, ad esempio l'API REST.

Per ottenere le chiavi o il token per le operazioni del piano dati, usare il comando az ml online-endpoint get-credentials. Questo comando restituisce un output JSON che contiene chiavi, token e/o informazioni aggiuntive.

Suggerimento

Per estrarre informazioni specifiche dall'output JSON, viene usato come esempio il parametro --query del comando dell'interfaccia della riga di comando. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Quando auth_mode dell'endpoint è key

Le chiavi vengono restituite nei campi primaryKey e secondaryKey.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quando auth_mode dell'endpoint è aml_token

Il token viene restituito nel campo accessToken.
L'ora di scadenza del token viene restituita nel campo expiryTimeUtc.
L'ora di aggiornamento del token viene restituita nel campo refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quando auth_mode dell'endpoint è aad_token

Il token viene restituito nel campo accessToken.
L'ora di scadenza del token viene restituita nel campo expiryTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Per ottenere le chiavi o il token per le operazioni del piano dati, scegliere l'API corretta, a seconda del valore di auth_mode dell'endpoint. L'API restituisce un output JSON che include le chiavi e il token.

Suggerimento

L'utilità jq viene usata per illustrare come estrarre informazioni specifiche dall'output JSON. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Quando auth_mode dell'endpoint è key

Usare l'API listkeys.
Le chiavi vengono restituite nei campi primaryKey e secondaryKey.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quando auth_mode dell'endpoint è aml_token

Usare l'API token.
Il token viene restituito nel campo accessToken.
L'ora di scadenza del token viene restituita nel campo expiryTimeUtc
L'ora di aggiornamento del token viene restituita nel campo refreshAfterTimeUtc

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quando auth_mode dell'endpoint è aad_token

Usare l'endpoint IMDS o l'endpoint MSI, a seconda della posizione in cui si richiede il token.
Il token viene restituito nel campo accessToken.
L'ora di scadenza del token viene restituita nel campo expiryTimeUtc

Da una macchina virtuale di Azure

È possibile acquisire il token in base alle identità gestite per una macchina virtuale di Azure (quando la VM abilita un'identità gestita).

Per ottenere il token di Microsoft Entra (aad_token) per l'operazione del piano dati nella macchina virtuale di Azure con l'identità gestita, inviare la richiesta all'endpoint del servizio metadati dell'istanza di Azure (IMDS) per l'endpoint della risorsa di Azure ml.azure.com:

export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

Ottenere il token per l'endpoint della risorsa di Azure ml.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Importante

A differenza del token Microsoft Entra per le operazioni del piano di controllo, recuperato da management.azure.com, il token Microsoft Entra per le operazioni del piano dati viene recuperato dall'endpoint della risorsa di Azure ml.azure.com.

Se si prevede di usare l'SDK per richiamare l'endpoint, non è necessario ottenere le chiavi o il token per le operazioni del piano dati in modo esplicito, perché l'SDK gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'SDK per ottenere le chiavi o il token per le operazioni del piano dati in modo da poterli usare con altri canali, ad esempio l'API REST.

Per ottenere le chiavi o il token per le operazioni del piano dati, usare il metodo get_keys nella classe OnlineEndpointOperations. Questo metodo restituisce un oggetto che include chiavi e token.

Quando auth_mode dell'endpoint è key

Le chiavi vengono restituite nei campi primary_key e secondary_key.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quando auth_mode dell'endpoint è aml_token

Il token viene restituito nel campo access_token.
L'ora di scadenza del token viene restituita nel campo expiry_time_utc.
L'ora di aggiornamento del token viene restituita nel campo refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quando auth_mode dell'endpoint è aad_token

Il token viene restituito nel campo access_token.
L'ora di scadenza del token viene restituita nel campo expiry_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Per altre informazioni, vedere Ottenere un token usando la libreria client di identità di Azure.

Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Dopo aver recuperato il token di Microsoft Entra, è possibile verificare che sia quello per l'endpoint della risorsa di Azure corretto ml.azure.com e l'ID client corretto decodificando il token tramite jwt.ms, che restituirà una risposta JSON con le informazioni seguenti:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Assegnare punteggi ai dati tramite la chiave o il token

È possibile usare az ml online-endpoint invoke per gli endpoint con una chiave, un token di Azure Machine Learning o un token Microsoft Entra. L'interfaccia della riga di comando gestisce automaticamente la chiave o il token, quindi non è necessario passarlo in modo esplicito.

az ml online-endpoint invoke -n my-endpoint -r request.json

Quando si richiama l'endpoint online per l'assegnazione dei punteggi, passare la chiave, il token di Azure Machine Learning o il token di Microsoft Entra nell'intestazione dell'autorizzazione. Il codice seguente illustra come usare l'utilità curl per chiamare l'endpoint online usando una chiave o un token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Azure Machine Learning SDK con ml_client.online_endpoints.invoke() è supportato per la chiave, il token di Azure Machine Learning o il token Microsoft Entra. Oltre a usare Azure Machine Learning SDK, è anche possibile usare un SDK Python generico per inviare la richiesta POST all'URI di assegnazione dei punteggi.

Quando si chiama l'endpoint online per l'assegnazione dei punteggi, passare la chiave o il token nell'intestazione dell'autorizzazione. Il codice seguente illustra come chiamare l'endpoint online usando una chiave o un token con un SDK Python generico. Nel codice sostituire la variabile api_key con la chiave o il token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Registrazione e monitoraggio del traffico

Per abilitare la registrazione del traffico nelle impostazioni di diagnostica per l'endpoint, seguire la procedura descritta in Come abilitare/disabilitare i log.

Se l'impostazione di diagnostica è abilitata, è possibile controllare la tabella AmlOnlineEndpointTrafficLogs per visualizzare la modalità di autenticazione e l'identità utente.

Condividi tramite

Autenticare i client per gli endpoint online

Prerequisiti

Preparare un'identità utente

Assegnare autorizzazioni all'identità

Usare un ruolo predefinito

(Facoltativo) Creare un ruolo personalizzato

Assegnare il ruolo all'identità

Ottenere il token di Microsoft Entra per le operazioni del piano di controllo

(Facoltativo) Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Creare un endpoint

Creare una distribuzione

Ottenere l'URI di assegnazione dei punteggi per l'endpoint

Ottenere la chiave o il token per le operazioni del piano dati

Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Assegnare punteggi ai dati tramite la chiave o il token

Chiave o token di Azure Machine Learning

Registrazione e monitoraggio del traffico

Commenti e suggerimenti

Risorse aggiuntive

Condividi tramite

Autenticare i client per gli endpoint online

Prerequisiti

Preparare un'identità utente

Assegnare autorizzazioni all'identità

Usare un ruolo predefinito

(Facoltativo) Creare un ruolo personalizzato

Assegnare il ruolo all'identità

Ottenere il token di Microsoft Entra per le operazioni del piano di controllo

(Facoltativo) Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Creare un endpoint

Creare una distribuzione

Ottenere l'URI di assegnazione dei punteggi per l'endpoint

Ottenere la chiave o il token per le operazioni del piano dati

Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Assegnare punteggi ai dati tramite la chiave o il token

Registrazione e monitoraggio del traffico

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive