Autenticare i client per gli endpoint online

Articolo
03/25/2024

SI APPLICA A:Estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)Python SDK azure-ai-ml v2 (corrente)

Questo articolo illustra come autenticare i client per l'esecuzione di operazioni del piano di controllo e del piano dati su endpoint online.

Un'operazione del piano di controllo controlla un endpoint e lo cambia. Queste operazioni includono creazione, lettura, aggiornamento ed eliminazione (CRUD) su endpoint online e distribuzioni online.

Un'operazione del piano dati usa i dati per interagire con un endpoint online senza cambiarlo. Ad esempio, un'operazione dal piano dati potrebbe consistere nell'invio di una richiesta di assegnazione dei punteggi a un endpoint online e nella ricezione di una risposta.

Prerequisiti

Prima di seguire la procedura descritta in questo articolo, assicurarsi che siano stati soddisfati i prerequisiti seguenti:

Un'area di lavoro di Azure Machine Learning. Se non è disponibile, seguire la procedura descritta nell'articolo Avvio rapido: Creare risorse dell'area di lavoro per crearne una.
L'interfaccia della riga di comando di Azure e l'estensione mloppure Python SDK v2 per Azure Machine Learning:
- Per installare l'interfaccia della riga di comando di Azure e l'estensione, vedere Installare, configurare e usare l'interfaccia della riga di comando di Azure (v2).
  
  Importante
  
  Gli esempi dell'interfaccia della riga di comando in questo articolo presuppongono che si usi la shell Bash (o compatibile). Ad esempio, un sistema Linux o un sottosistema Windows per Linux.
- Per installare Python SDK v2, usare il comando seguente:
```
pip install azure-ai-ml azure-identity
```
  Per aggiornare un'installazione esistente dell'SDK alla versione più recente, usare il comando seguente:
```
pip install --upgrade azure-ai-ml azure-identity
```
  Per altre informazioni, vedere Installare Python SDK v2 per Azure Machine Learning.

Limiti

Gli endpoint con la modalità di autenticazione tramite token di Microsoft Entra (aad_token) non supportano l'assegnazione dei punteggi usando az ml online-endpoint invoke dell'interfaccia della riga di comando, ml_client.online_endpoints.invoke() dell'SDK o le schede Test o Utilizzo dello studio di Azure Machine Learning. Usare invece un SDK Python generico o l'API REST per passare il token del piano di controllo. Per altre informazioni, vedere Assegnare punteggi ai dati usando la chiave o il token.

Preparare un'identità utente

Per eseguire le operazioni del piano di controllo (CRUD) e del piano dati (invio di richieste di assegnazione dei punteggi) sugli endpoint online, è necessaria un'identità utente. È possibile usare la stessa identità utente o diverse per le operazioni del piano di controllo e del piano dati. In questo articolo viene usata la stessa identità utente per le operazioni del piano di controllo e del piano dati.

Per creare un'identità utente in Microsoft Entra ID, vedere Configurare l'autenticazione. L'ID identità sarà necessario in un secondo momento.

Assegnare autorizzazioni all'identità

In questa sezione si assegnano le autorizzazioni all'identità utente da usare per interagire con l'endpoint. Per iniziare, usare un ruolo predefinito o creare un ruolo personalizzato. Successivamente, assegnare il ruolo all'identità utente.

Usare un ruolo predefinito

Il AzureML Data Scientistruolo predefinito può essere usato per gestire e usare endpoint e distribuzioni e usa caratteri jolly per includere le azioni seguenti di controllo degli accessi in base al ruolo del piano di controllo:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

e per includere l'azione seguente di controllo degli accessi in base al ruolo del piano dati:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Facoltativamente, il ruolo predefinito Azure Machine Learning Workspace Connection Secrets Reader può essere usato per accedere ai segreti delle connessioni all'area di lavoro e include le azioni di controllo degli accessi in base al ruolo seguenti del piano di controllo:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Se si usano questi ruoli predefiniti, non è necessaria alcuna azione in questo passaggio.

(Facoltativo) Creare un ruolo personalizzato

È possibile ignorare questo passaggio se si usano ruoli predefiniti o altri ruoli personalizzati predefiniti.

Definire l'ambito e le azioni per i ruoli personalizzati creando le relative definizioni JSON. Ad esempio, la definizione del ruolo seguente consente all'utente di eseguire operazioni CRUD su un endpoint online, in un'area di lavoro specificata.

custom-role-for-control-plane.json:

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

La definizione del ruolo seguente consente all'utente di inviare richieste di assegnazione dei punteggi a un endpoint online, in un'area di lavoro specificata.

custom-role-for-scoring.json:

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Usare le definizioni JSON per creare ruoli personalizzati:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Nota

Per creare ruoli personalizzati è necessario uno di questi tre ruoli:
- owner
- Amministratore Accesso utente
- Un ruolo personalizzato con autorizzazione Microsoft.Authorization/roleDefinitions/write (per creare/aggiornare/eliminare ruoli personalizzati) e un'autorizzazione Microsoft.Authorization/roleDefinitions/read (per visualizzare ruoli personalizzati).
Per altre informazioni sulla creazione di ruoli personalizzati, vedere Ruoli personalizzati di Azure.

Verificare la definizione del ruolo:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Assegnare il ruolo all'identità

Se si usa il ruolo predefinito AzureML Data Scientist, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Facoltativamente, se si usa il ruolo predefinito Azure Machine Learning Workspace Connection Secrets Reader, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Se si usa un ruolo personalizzato, usare il codice seguente per assegnarlo all'identità utente.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Nota

Per assegnare ruoli personalizzati all'identità utente, è necessario uno dei tre ruoli seguenti:
- owner
- Amministratore Accesso utente
- Un ruolo personalizzato che consente l'autorizzazione Microsoft.Authorization/roleAssignments/write (per assegnare ruoli personalizzati) e Microsoft.Authorization/roleAssignments/read (per visualizzare le assegnazioni di ruolo).
Per altre informazioni sui diversi ruoli di Azure e sulle relative autorizzazioni, vedere Ruoli di Azure e Assegnazione di ruoli di Azure tramite il portale di Azure.

Creare l'assegnazione di ruolo:

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Ottenere il token di Microsoft Entra per le operazioni del piano di controllo

Eseguire questo passaggio se si prevede di eseguire operazioni del piano di controllo con l'API REST, che userà direttamente il token.

Se si prevede di usare altri modi, ad esempio l'interfaccia della riga di comando di Azure Machine Learning (v2), Python SDK (v2) o lo studio di Azure Machine Learning, non è necessario ottenere manualmente il token di Microsoft Entra. Durante l'accesso, invece, l'identità utente sarà già stata autenticata e il token sarà stato recuperato e passato automaticamente.

È possibile recuperare il token di Microsoft Entra per le operazioni del piano di controllo dall'endpoint della risorsa di Azure: https://management.azure.com.

Accedere ad Azure.
```
az login
```
Se si vuole usare un'identità specifica, usare il codice seguente per accedere con l'identità:
```
az login --identity --username <identityId>
```

Usare questo contesto per ottenere il token.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

Da una macchina virtuale di Azure

È possibile acquisire il token in base all'identità gestita per una macchina virtuale di Azure (quando la VM abilita un'identità gestita).

Per ottenere il token di Microsoft Entra (aad_token) per l'operazione del piano di controllo nella macchina virtuale di Azure, inviare la richiesta all'endpoint del servizio metadati dell'istanza di Azure (IMDS) per l'endpoint della risorsa di Azure management.azure.com:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Suggerimento

Per estrarre il token dall'output JSON, viene usata l'utilità jq come esempio. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

È possibile ottenere il token se si usa l'istanza di ambiente di calcolo dell'area di lavoro di Azure Machine Learning. Per ottenere il token, è necessario passare l'ID client e il segreto dell'identità gestita dell'istanza di ambiente di calcolo all'endpoint identità di sistema gestita (MSI) configurato localmente nell'istanza di ambiente di calcolo. È possibile ottenere l'endpoint MSI, l'ID client e il segreto rispettivamente dalle variabili di ambiente MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID e MSI_SECRET. Queste variabili vengono impostate automaticamente se si abilita l'identità gestita per l'istanza di ambiente di calcolo.

Ottenere il token per l'endpoint della risorsa di Azure management.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Per altre informazioni, vedere Ottenere un token usando la libreria client di identità di Azure.

(Facoltativo) Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Dopo aver recuperato il token di Microsoft Entra, è possibile verificare che sia quello per l'endpoint della risorsa di Azure corretto management.azure.com e l'ID client corretto decodificando il token tramite jwt.ms, che restituirà una risposta JSON con le informazioni seguenti:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Creare un endpoint

L'esempio seguente crea un endpoint con un'identità assegnata dal sistema (SAI). SAI è il tipo di identità predefinito dell'identità gestita per gli endpoint. Alcuni ruoli di base vengono assegnati automaticamente per SAI. Per altre informazioni sull'assegnazione di ruolo per un'identità assegnata dal sistema, vedere Assegnazione di ruolo automatica per l'identità dell'endpoint.

L'interfaccia della riga di comando non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, l'interfaccia della riga di comando esegue l'autenticazione durante l'accesso e il token viene recuperato e passato automaticamente.

Creare un file YAML di definizione dell'endpoint.

endpoint.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

È possibile sostituire auth_mode con key per l'autenticazione della chiave o con aml_token per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa aad_token per l'autenticazione del token di Microsoft Entra.
```
az ml online-endpoint create -f endpoint.yml
```

Controllare lo stato dell'endpoint:

az ml online-endpoint show -n my-endpoint

Se si vuole eseguire l'override del valore di auth_mode (ad esempio sostituendolo con aad_token) durante la creazione di un endpoint, eseguire il codice seguente:
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Se si vuole aggiornare l'endpoint esistente e specificare auth_mode (ad esempio su aad_token), eseguire il codice seguente:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

La chiamata API REST richiede di fornire esplicitamente il token del piano di controllo. Usare il token del piano di controllo recuperato in precedenza.

Creare o aggiornare un endpoint:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

È possibile sostituire authMode con key per l'autenticazione della chiave o con AMLToken per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa AADToken per l'autenticazione del token di Microsoft Entra.

Ottenere lo stato corrente dell'endpoint online:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, MLClient dell'SDK esegue l'autenticazione durante l'accesso e il token viene recuperato e passato automaticamente.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

È possibile sostituire auth_mode con key per l'autenticazione della chiave o con aml_token per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa aad_token per l'autenticazione del token di Microsoft Entra.

Creare una distribuzione

Per creare una distribuzione, vedere Distribuire un modello di Machine Learning con un endpoint online o Usare REST per distribuire un modello come endpoint online. Non esiste alcuna differenza nel modo in cui si creano distribuzioni per le diverse modalità di autenticazione.

Il codice seguente è un esempio di come creare una distribuzione. Per altre informazioni sulla distribuzione di endpoint online, vedere Distribuire un modello di Machine Learning con un endpoint online (tramite interfaccia della riga di comando)

Creare un file YAML di definizione della distribuzione.

blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Creare la distribuzione usando il file YAML. Per questo esempio, impostare tutto il traffico sulla nuova distribuzione.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Ottenere l'URI di assegnazione dei punteggi per l'endpoint

Se si prevede di usare l'interfaccia della riga di comando per richiamare l'endpoint, non è necessario ottenere esplicitamente l'URI di assegnazione dei punteggi, perché l'interfaccia della riga di comando gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'interfaccia della riga di comando per ottenere l'URI di assegnazione dei punteggi in modo da poterlo usare con altri canali, ad esempio l'API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Se si prevede di usare Python SDK per richiamare l'endpoint, non è necessario ottenere esplicitamente l'URI di assegnazione dei punteggi, perché l'SDK gestisce questo aspetto automaticamente. Tuttavia, è comunque possibile usare l'SDK per ottenere l'URI di assegnazione dei punteggi in modo da poterlo usare con altri canali, ad esempio l'API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Ottenere la chiave o il token per le operazioni del piano dati

È possibile usare una chiave o un token per le operazioni del piano dato, anche se il processo per ottenerli è un'operazione del piano di controllo. In altre parole, si usa un token del piano di controllo per ottenere la chiave o il token che viene usato in un secondo momento per eseguire le operazioni del piano dati.

Per ottenere la chiave o il token di Azure Machine Learning, è necessario che sia assegnato il ruolo corretto all'identità utente che lo richiede, come descritto in Autorizzazione per le operazioni del piano di controllo. L'identità utente non necessita di ruoli aggiuntivi per ottenere il token di Microsoft Entra.

Chiave o token di Azure Machine Learning

Se si prevede di usare l'interfaccia della riga di comando per richiamare l'endpoint, e se l'endpoint è configurato per usare una modalità di autenticazione di tipo chiave o token di Azure Machine Learning (aml_token), non è necessario ottenere esplicitamente il token del piano dati, perché l'interfaccia della riga di comando gestisce automaticamente questo aspetto. Tuttavia, è comunque possibile usare l'interfaccia della riga di comando per ottenere il token del piano dati in modo da poterlo usare con altri canali, ad esempio l'API REST.

Per ottenere la chiave o il token di Azure Machine Learning (aml_token), usare il comando az ml online-endpoint get-credentials. Questo comando restituisce un documento JSON che contiene l'ID della chiave o del token di Azure Machine Learning.

Le chiavi vengono restituite nei campi primaryKey e secondaryKey. L'esempio seguente illustra come usare il parametro --query per restituire solo la chiave primaria:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

I token di Azure Machine Learning vengono restituiti nel campo accessToken:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Inoltre, i campi expiryTimeUtc e refreshAfterTimeUtc contengono gli orari di scadenza e di aggiornamento del token.

Token di Microsoft Entra

Per ottenere il token di Microsoft Entra (aad_token) usando l'interfaccia della riga di comando, usare il comando az account get-access-token. Questo comando restituisce un documento JSON che contiene il token di Microsoft Entra.

Il token di Microsoft Entra viene restituito nel campo accessToken:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Nota

L'estensione ml dell'interfaccia della riga di comando non supporta l'acquisizione del token di Microsoft Entra. Usare invece az account get-access-token, come descritto nel codice precedente.
Il token per le operazioni del piano dati viene recuperato dall'endpoint della risorsa di Azure ml.azure.com invece che da management.azure.com, a differenza del token per le operazioni del piano di controllo.

Chiave o token di Azure Machine Learning

Per ottenere la chiave o il token di Azure Machine Learning (aml_token):

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Token di Microsoft Entra

Da una macchina virtuale di Azure

È possibile acquisire il token in base alle identità gestite per una macchina virtuale di Azure (quando la VM abilita un'identità gestita).

Per ottenere il token di Microsoft Entra (aad_token) per l'operazione del piano dati nella macchina virtuale di Azure con l'identità gestita, inviare la richiesta all'endpoint del servizio metadati dell'istanza di Azure (IMDS) per l'endpoint della risorsa di Azure ml.azure.com:
```
export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Suggerimento

Per estrarre il token dall'output JSON, viene usata l'utilità jq come esempio. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

Ottenere il token per l'endpoint della risorsa di Azure ml.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

Chiave o token di Azure Machine Learning

Se si prevede di usare Python SDK per richiamare l'endpoint, e se l'endpoint è configurato per usare una modalità di autenticazione di tipo chiave o token di Azure Machine Learning (aml_token), non è necessario ottenere esplicitamente il token del piano dati, perché l'SDK gestisce automaticamente questo aspetto. Tuttavia, è comunque possibile usare l'SDK per ottenere il token del piano dati in modo da poterlo usare con altri canali, ad esempio l'API REST.

Per ottenere la chiave o il token di Azure Machine Learning (aml_token), usare il metodo get_keys nella classe OnlineEndpointOperations.

Le chiavi vengono restituite nei campi primary_key e secondary_key:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

I token di Azure Machine Learning vengono restituiti nel campo accessToken:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Inoltre, i campi expiry_time_utc e refresh_after_time_utc contengono gli orari di scadenza e di aggiornamento del token.

Ad esempio, per ottenere expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Token di Microsoft Entra

Per ottenere il token di Microsoft Entra (aad_token) tramite SDK, usare la libreria client di identità di Azure:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Per altre informazioni, vedere Ottenere un token usando la libreria client di identità di Azure.

Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Dopo aver recuperato il token di Microsoft Entra, è possibile verificare che sia quello per l'endpoint della risorsa di Azure corretto ml.azure.com e l'ID client corretto decodificando il token tramite jwt.ms, che restituirà una risposta JSON con le informazioni seguenti:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Assegnare punteggi ai dati tramite la chiave o il token

Chiave o token di Azure Machine Learning

È possibile usare az ml online-endpoint invoke per gli endpoint con una chiave o un token di Azure Machine Learning. L'interfaccia della riga di comando gestisce automaticamente la chiave o il token di Azure Machine Learning, quindi non è necessario passarlo in modo esplicito.

az ml online-endpoint invoke -n my-endpoint -r request.json

Token di Microsoft Entra

L'uso di az ml online-endpoint invoke per gli endpoint con un token di Microsoft Entra non è supportato. Usare invece l'API REST e usare l'URI di assegnazione dei punteggi dell'endpoint per richiamare l'endpoint.

Quando si richiama l'endpoint online per l'assegnazione dei punteggi, passare la chiave, il token di Azure Machine Learning o il token di Microsoft Entra nell'intestazione dell'autorizzazione. Il codice seguente illustra come usare l'utilità curl per chiamare l'endpoint online usando una chiave o un token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Chiave o token di Azure Machine Learning

Azure Machine Learning SDK con ml_client.online_endpoints.invoke() è supportato per la chiave o il token di Azure Machine Learning. Oltre a usare Azure Machine Learning SDK, è anche possibile usare un SDK Python generico per inviare la richiesta POST all'URI di assegnazione dei punteggi.

Token di Microsoft Entra

Azure Machine Learning SDK con ml_client.online_endpoints.invoke() non è supportato per il token di Microsoft Entra. Usare invece un SDK Python generico o usare l'API REST per inviare la richiesta POST all'URI di assegnazione dei punteggi.

Quando si chiama l'endpoint online per l'assegnazione dei punteggi, passare la chiave o il token nell'intestazione dell'autorizzazione. Il codice seguente illustra come chiamare l'endpoint online usando una chiave o un token con un SDK Python generico. Nel codice sostituire la variabile api_key con la chiave o il token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Registrazione e monitoraggio del traffico

Per abilitare la registrazione del traffico nelle impostazioni di diagnostica per l'endpoint, seguire la procedura descritta in Come abilitare/disabilitare i log.

Se l'impostazione di diagnostica è abilitata, è possibile controllare la tabella AmlOnlineEndpointTrafficLogs per visualizzare la modalità di autenticazione e l'identità utente.

Autenticare i client per gli endpoint online

Prerequisiti

Limiti

Preparare un'identità utente

Assegnare autorizzazioni all'identità

Usare un ruolo predefinito

(Facoltativo) Creare un ruolo personalizzato

Assegnare il ruolo all'identità

Ottenere il token di Microsoft Entra per le operazioni del piano di controllo

(Facoltativo) Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Creare un endpoint

Creare una distribuzione

Ottenere l'URI di assegnazione dei punteggi per l'endpoint

Ottenere la chiave o il token per le operazioni del piano dati

Chiave o token di Azure Machine Learning

Token di Microsoft Entra

Verificare l'endpoint della risorsa e l'ID client per individuare il token di Microsoft Entra

Assegnare punteggi ai dati tramite la chiave o il token

Chiave o token di Azure Machine Learning

Token di Microsoft Entra

Registrazione e monitoraggio del traffico

Contenuto correlato

Risorse aggiuntive