Autentisera klienter för onlineslutpunkter

Artikel
09/01/2024

GÄLLER FÖR:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (aktuell)

Den här artikeln beskriver hur du autentiserar klienter för att utföra kontrollplans- och dataplansåtgärder på onlineslutpunkter.

En kontrollplansåtgärd styr en slutpunkt och ändrar den. Kontrollplansåtgärder omfattar åtgärder för att skapa, läsa, uppdatera och ta bort (CRUD) på onlineslutpunkter och onlinedistributioner.

En dataplansåtgärd använder data för att interagera med en onlineslutpunkt utan att ändra slutpunkten. En dataplansåtgärd kan till exempel bestå av att skicka en bedömningsbegäran till en onlineslutpunkt och få ett svar.

Förutsättningar

Innan du följer stegen i den här artikeln kontrollerar du att du har följande förutsättningar:

En Azure Machine Learning-arbetsyta. Om du inte har någon använder du stegen i artikeln Snabbstart: Skapa arbetsyteresurser för att skapa en.
Azure CLI och ml tillägget eller Azure Mašinsko učenje Python SDK v2:
- Information om hur du installerar Azure CLI och tillägget finns i Installera, konfigurera och använda CLI (v2).
  
  Viktigt!
  
  CLI-exemplen i den här artikeln förutsätter att du använder Bash-gränssnittet (eller det kompatibla). Till exempel från ett Linux-system eller Windows podsistem za Linux.
- Om du vill installera Python SDK v2 använder du följande kommando:
```
pip install azure-ai-ml azure-identity
```
  Om du vill uppdatera en befintlig installation av SDK:et till den senaste versionen använder du följande kommando:
```
pip install --upgrade azure-ai-ml azure-identity
```
  Mer information finns i Installera Python SDK v2 för Azure Mašinsko učenje.

Förbereda en användaridentitet

Du behöver en användaridentitet för att utföra kontrollplansåtgärder (d.v.s. CRUD-åtgärder) och dataplansåtgärder (dvs. skicka bedömningsbegäranden) på onlineslutpunkten. Du kan använda samma användaridentitet eller olika användaridentiteter för kontrollplanets och dataplanets åtgärder. I den här artikeln använder du samma användaridentitet för både kontrollplans- och dataplansåtgärder.

Information om hur du skapar en användaridentitet under Microsoft Entra-ID finns i Konfigurera autentisering. Du behöver identitets-ID senare.

Tilldela behörigheter till identiteten

I det här avsnittet tilldelar du behörigheter till den användaridentitet som du använder för att interagera med slutpunkten. Du börjar med att antingen använda en inbyggd roll eller genom att skapa en anpassad roll. Därefter tilldelar du rollen till din användaridentitet.

Använda en inbyggd roll

Den AzureML Data Scientist inbyggda rollen kan användas för att hantera och använda slutpunkter och distributioner och den använder jokertecken för att inkludera följande RBAC-åtgärder för kontrollplanet :

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

och för att inkludera följande RBAC-åtgärd för dataplanet :

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Du kan också använda den Azure Machine Learning Workspace Connection Secrets Reader inbyggda rollen för att komma åt hemligheter från arbetsyteanslutningar och den innehåller följande RBAC-åtgärder för kontrollplanet :

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Om du använder de här inbyggda rollerna behövs ingen åtgärd i det här steget.

(Valfritt) Skapa en anpassad roll

Du kan hoppa över det här steget om du använder inbyggda roller eller andra färdiga anpassade roller.

Definiera omfånget och åtgärderna för anpassade roller genom att skapa JSON-definitioner av rollerna. Med följande rolldefinition kan användaren till exempel CRUD en onlineslutpunkt under en angiven arbetsyta.

custom-role-for-control-plane.json:

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Med följande rolldefinition kan användaren skicka bedömningsbegäranden till en onlineslutpunkt under en angiven arbetsyta.

custom-role-for-scoring.json:

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Använd JSON-definitionerna för att skapa anpassade roller:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Kommentar

Om du vill skapa anpassade roller behöver du en av tre roller:
- ägare
- administratör för användaråtkomst
- en anpassad roll med Microsoft.Authorization/roleDefinitions/write behörighet (för att skapa/uppdatera/ta bort anpassade roller) och Microsoft.Authorization/roleDefinitions/read behörighet (för att visa anpassade roller).
Mer information om hur du skapar anpassade roller finns i Anpassade Azure-roller.

Verifiera rolldefinitionen:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Tilldela rollen till identiteten

Om du använder den AzureML Data Scientist inbyggda rollen använder du följande kod för att tilldela rollen till din användaridentitet.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Om du använder den Azure Machine Learning Workspace Connection Secrets Reader inbyggda rollen kan du använda följande kod för att tilldela rollen till din användaridentitet.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Om du använder en anpassad roll använder du följande kod för att tilldela rollen till din användaridentitet.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Kommentar

Om du vill tilldela anpassade roller till användaridentiteten behöver du en av tre roller:
- ägare
- administratör för användaråtkomst
- en anpassad roll som tillåter Microsoft.Authorization/roleAssignments/write behörighet (för att tilldela anpassade roller) och Microsoft.Authorization/roleAssignments/read (för att visa rolltilldelningar).
Mer information om de olika Azure-rollerna och deras behörigheter finns i Azure-roller och Tilldela Azure-roller med Hjälp av Azure-portalen.

Bekräfta rolltilldelningen:

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Hämta Microsoft Entra-token för kontrollplansåtgärder

Utför det här steget om du planerar att utföra kontrollplansåtgärder med REST API, som använder token direkt.

Om du planerar att använda andra sätt som Azure Mašinsko učenje CLI (v2), Python SDK (v2) eller Azure Mašinsko učenje Studio behöver du inte hämta Microsoft Entra-token manuellt. I stället skulle användaridentiteten redan autentiseras under inloggningen och token hämtas och skickas automatiskt åt dig.

Du kan hämta Microsoft Entra-token för kontrollplansåtgärder från Azure-resursslutpunkten: https://management.azure.com.

Logga in på Azure.
```
az login
```
Om du vill använda en specifik identitet använder du följande kod för att logga in med identiteten:
```
az login --identity --username <identityId>
```

Använd den här kontexten för att hämta token.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

Från en virtuell Azure-dator

Du kan hämta token baserat på den hanterade identiteten för en virtuell Azure-dator (när den virtuella datorn aktiverar en hanterad identitet).

Om du vill hämta Microsoft Entra-token (aad_token) för kontrollplansåtgärden på den virtuella Azure-datorn skickar du begäran till IMDS-slutpunkten (Azure Instance Metadata Service ) för Azure-resursslutpunkten management.azure.com:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Dricks

För att extrahera token från JSON-utdata jq används verktyget som ett exempel. Du kan dock använda alla lämpliga verktyg för detta ändamål.

Mer information om hur du hämtar token baserat på hanterade identiteter finns i Hämta en token med HTTP.

Från en beräkningsinstans

Du kan hämta token om du använder Azure Mašinsko učenje-arbetsytans beräkningsinstans. För att hämta token måste du skicka klient-ID:t och hemligheten för beräkningsinstansens hanterade identitet till den hanterade systemidentitetsslutpunkten (MSI) som konfigureras lokalt vid beräkningsinstansen. Du kan hämta MSI-slutpunkten, klient-ID:t och hemligheten från miljövariablerna MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_IDrespektive MSI_SECRET. Dessa variabler anges automatiskt om du aktiverar hanterad identitet för beräkningsinstansen.

Hämta token för Azure-resursslutpunkten management.azure.com från arbetsytans beräkningsinstans:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Mer information finns i Hämta en token med azure-identitetsklientbiblioteket .

(Valfritt) Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

När du har hämtat Microsoft Entra-token kan du kontrollera att token är för rätt Azure-resursslutpunkt management.azure.com och rätt klient-ID genom att avkoda token via jwt.ms, vilket returnerar ett json-svar med följande information:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Skapa en slutpunkt

I följande exempel skapas slutpunkten med en systemtilldelad identitet (SAI) som slutpunktsidentitet. SAI är standardidentitetstypen för den hanterade identiteten för slutpunkter. Vissa grundläggande roller tilldelas automatiskt för SAI. Mer information om rolltilldelning för en systemtilldelad identitet finns i Automatisk rolltilldelning för slutpunktsidentitet.

CLI kräver inte att du uttryckligen anger kontrollplanstoken. I stället autentiserar CLI az login dig under inloggningen och token hämtas och skickas automatiskt åt dig.

Skapa en YAML-fil för slutpunktsdefinition.

endpoint.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

Du kan ersätta auth_mode med key för nyckelautentisering eller aml_token för Azure Mašinsko učenje tokenautentisering. I det här exemplet använder aad_token du för Microsoft Entra-tokenautentisering.
```
az ml online-endpoint create -f endpoint.yml
```

Kontrollera slutpunktens status:

az ml online-endpoint show -n my-endpoint

Om du vill åsidosätta auth_mode (till exempel till aad_token) när du skapar en slutpunkt kör du följande kod:
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Om du vill uppdatera den befintliga slutpunkten och ange auth_mode (till exempel till aad_token) kör du följande kod:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

REST API-anropet kräver att du uttryckligen anger kontrollplanstoken. Använd kontrollplanstoken som du hämtade tidigare.

Skapa eller uppdatera en slutpunkt:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Du kan ersätta authMode med key för nyckelautentisering eller AMLToken för Azure Mašinsko učenje tokenautentisering. I det här exemplet använder AADToken du för Microsoft Entra-tokenautentisering.

Hämta den aktuella statusen för onlineslutpunkten:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK kräver inte att du uttryckligen anger kontrollplanstoken. I stället autentiserar SDK MLClient :t dig under inloggningen och token hämtas och skickas automatiskt åt dig.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Du kan ersätta auth_mode med key för nyckelautentisering eller aml_token för Azure Mašinsko učenje tokenautentisering. I det här exemplet använder aad_token du för Microsoft Entra-tokenautentisering.

Skapa en distribution

Information om hur du skapar en distribution finns i Distribuera en ML-modell med en onlineslutpunkt eller Använd REST för att distribuera en modell som en onlineslutpunkt. Det finns ingen skillnad i hur du skapar distributioner för olika autentiseringslägen.

Följande kod är ett exempel på hur du skapar en distribution. Mer information om hur du distribuerar onlineslutpunkter finns i Distribuera en ML-modell med en onlineslutpunkt (via CLI)

Skapa en YAML-fil för distributionsdefinition.

blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Skapa distributionen med YAML-filen. I det här exemplet anger du all trafik till den nya distributionen.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Hämta bedömnings-URI:n för slutpunkten

Om du planerar att använda CLI för att anropa slutpunkten behöver du inte hämta bedömnings-URI:n explicit, eftersom CLI hanterar den åt dig. Du kan dock fortfarande använda CLI för att hämta bedömnings-URI:n så att du kan använda den med andra kanaler, till exempel REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Om du planerar att använda Python SDK för att anropa slutpunkten behöver du inte hämta bedömnings-URI:n explicit, eftersom SDK hanterar den åt dig. Du kan dock fortfarande använda SDK:n för att hämta bedömnings-URI:n så att du kan använda den med andra kanaler, till exempel REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Hämta nyckeln eller token för dataplansåtgärder

En nyckel eller token kan användas för dataplansåtgärder, även om processen med att hämta nyckeln eller token är en kontrollplansåtgärd. Med andra ord använder du en kontrollplanstoken för att hämta nyckeln eller token som du senare använder för att utföra dina dataplansåtgärder.

För att hämta nyckeln eller Azure Mašinsko učenje token krävs att rätt roll tilldelas till användaridentiteten som begär den, enligt beskrivningen i auktorisering för kontrollplansåtgärder. För att hämta Microsoft Entra-token krävs inga extra roller för användaridentiteten.

Om du planerar att använda CLI för att anropa slutpunkten behöver du inte hämta nycklarna eller token för dataplansåtgärder uttryckligen, eftersom CLI hanterar den åt dig. Du kan dock fortfarande använda CLI för att hämta nycklar eller token för dataplansåtgärd så att du kan använda den med andra kanaler, till exempel REST API.

Om du vill hämta nycklar eller token för dataplansåtgärder använder du kommandot az ml online-endpoint get-credentials . Det här kommandot returnerar ett JSON-utdata som innehåller nycklar, token och/eller ytterligare information.

Dricks

Om du vill extrahera en specifik information från JSON-utdata används parametern --query för CLI-kommandot som ett exempel. Du kan dock använda alla lämpliga verktyg för detta ändamål.

När auth_mode slutpunkten är key

Nycklar returneras i fälten primaryKey och secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

När auth_mode slutpunkten är aml_token

Token returneras i fältet accessToken .
Förfallotiden för token returneras i fältet expiryTimeUtc .
Uppdateringstiden för token returneras i fältet refreshAfterTimeUtc .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

När auth_mode slutpunkten är aad_token

Token returneras i fältet accessToken .
Förfallotiden för token returneras i fältet expiryTimeUtc .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Om du vill hämta nycklar eller token för dataplansåtgärder väljer du rätt API, beroende på auth_mode slutpunktens. API:et returnerar ett JSON-utdata som innehåller nycklar och token.

Dricks

Verktyget jq används för att visa hur du extraherar en specifik information från JSON-utdata. Du kan dock använda alla lämpliga verktyg för detta ändamål.

När auth_mode slutpunkten är key

Använd API:et listkeys .
Nycklar returneras i fälten primaryKey och secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

När auth_mode slutpunkten är aml_token

Använd API:et token .
Token returneras i fältet accessToken .
Förfallotiden för token returneras i fältet expiryTimeUtc
Tid för tokenuppdatering returneras i fältet refreshAfterTimeUtc

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

När auth_mode slutpunkten är aad_token

Använd IMDS-slutpunkten eller MSI-slutpunkten, beroende på var du begär för token.
Token returneras i fältet accessToken .
Förfallotiden för token returneras i fältet expiryTimeUtc

Från en virtuell Azure-dator

Du kan hämta token baserat på hanterade identiteter för en virtuell Azure-dator (när den virtuella datorn aktiverar en hanterad identitet).

Om du vill hämta Microsoft Entra-token (aad_token) för dataplansåtgärden på den virtuella Azure-datorn med hanterad identitet skickar du begäran till IMDS-slutpunkten (Azure Instance Metadata Service) för Azure-resursslutpunktenml.azure.com:

export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`

Mer information om hur du hämtar token baserat på hanterade identiteter finns i Hämta en token med HTTP.

Från en beräkningsinstans

Hämta token för Azure-resursslutpunkten ml.azure.com från arbetsytans beräkningsinstans:

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Viktigt!

Till skillnad från Microsoft Entra-token för kontrollplansåtgärder som hämtas från management.azure.comhämtas Microsoft Entra-token för dataplansåtgärder från Azure-resursslutpunkten ml.azure.com.

Om du planerar att använda SDK:t för att anropa slutpunkten behöver du inte hämta nycklarna eller token för dataplansåtgärder explicit, eftersom SDK hanterar den åt dig. Du kan dock fortfarande använda SDK:n för att hämta nycklar eller token för dataplansåtgärder så att du kan använda den med andra kanaler, till exempel REST API.

Om du vill hämta nycklar eller token för dataplansåtgärder använder du metoden get_keys i OnlineEndpointOperations klassen. Den här metoden returnerar ett objekt som innehåller nycklar och token.

När auth_mode slutpunkten är key

Nycklar returneras i fälten primary_key och secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

När auth_mode slutpunkten är aml_token

Token returneras i fältet access_token .
Förfallotiden för token returneras i fältet expiry_time_utc .
Uppdateringstiden för token returneras i fältet refresh_after_time_utc .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

När auth_mode slutpunkten är aad_token

Token returneras i fältet access_token .
Förfallotiden för token returneras i fältet expiry_time_utc .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Mer information finns i Hämta en token med azure-identitetsklientbiblioteket .

Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

När du har hämtat Entra-token kan du kontrollera att token är för rätt Azure-resursslutpunkt ml.azure.com och rätt klient-ID genom att avkoda token via jwt.ms, vilket returnerar ett json-svar med följande information:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Poängsätta data med hjälp av nyckeln eller token

Du kan använda az ml online-endpoint invoke för slutpunkter med en nyckel, en Azure Mašinsko učenje-token eller en Microsoft Entra-token. CLI hanterar nyckeln eller token automatiskt så att du inte behöver skicka den explicit.

az ml online-endpoint invoke -n my-endpoint -r request.json

När du anropar onlineslutpunkten för bedömning skickar du nyckeln, Azure Mašinsko učenje-token eller Microsoft Entra-token i auktoriseringshuvudet. Följande kod visar hur du använder curl-verktyget för att anropa onlineslutpunkten med hjälp av en nyckel eller token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Azure Mašinsko učenje SDK med hjälp av ml_client.online_endpoints.invoke() stöds för nyckel, Azure Mašinsko učenje-token och Microsoft Entra-token. Förutom att använda Azure Mašinsko učenje SDK kan du också använda en allmän Python SDK för att skicka POST-begäran till bedömnings-URI:n.

När du anropar onlineslutpunkten för bedömning skickar du nyckeln eller token i auktoriseringshuvudet. Följande kod visar hur du anropar onlineslutpunkten med hjälp av en nyckel eller token med en allmän Python SDK. I koden ersätter du variabeln api_key med din nyckel eller token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Logga och övervaka trafik

Om du vill aktivera trafikloggning i diagnostikinställningarna för slutpunkten följer du stegen i Aktivera/inaktivera loggar.

Om diagnostikinställningen är aktiverad kan du kontrollera AmlOnlineEndpointTrafficLogs tabellen för att se autentiseringsläget och användaridentiteten.

Dela via

Autentisera klienter för onlineslutpunkter

Förutsättningar

Förbereda en användaridentitet

Tilldela behörigheter till identiteten

Använda en inbyggd roll

(Valfritt) Skapa en anpassad roll

Tilldela rollen till identiteten

Hämta Microsoft Entra-token för kontrollplansåtgärder

(Valfritt) Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

Skapa en slutpunkt

Skapa en distribution

Hämta bedömnings-URI:n för slutpunkten

Hämta nyckeln eller token för dataplansåtgärder

Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

Poängsätta data med hjälp av nyckeln eller token

Nyckel- eller Azure Mašinsko učenje-token

Logga och övervaka trafik

Feedback

Ytterligare resurser

Dela via

Autentisera klienter för onlineslutpunkter

Förutsättningar

Förbereda en användaridentitet

Tilldela behörigheter till identiteten

Använda en inbyggd roll

(Valfritt) Skapa en anpassad roll

Tilldela rollen till identiteten

Hämta Microsoft Entra-token för kontrollplansåtgärder

(Valfritt) Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

Skapa en slutpunkt

Skapa en distribution

Hämta bedömnings-URI:n för slutpunkten

Hämta nyckeln eller token för dataplansåtgärder

Verifiera resursslutpunkten och klient-ID:t för Microsoft Entra-token

Poängsätta data med hjälp av nyckeln eller token

Logga och övervaka trafik

Relaterat innehåll

Feedback

Ytterligare resurser