Autenticar clientes para pontos de extremidade online

Artigo
09/03/2024

APLICA-SE A:Extensão de ML da CLI do Azure v2 (atual)SDK do Python azure-ai-ml v2 (atual)

Este artigo aborda como autenticar clientes para realizar operações de painel de controle e plano de dados em pontos de extremidade online.

Uma operação de painel de controle controla um ponto de extremidade e o altera. As operações de painel de controle incluem operações de criação, leitura, atualização e exclusão (CRUD) em pontos de extremidade online e implantações online.

Uma operação de plano de dados usa dados para interagir com um ponto de extremidade online sem alterar o ponto de extremidade. Por exemplo, uma operação de plano de dados pode consistir no envio de uma solicitação de pontuação para um ponto de extremidade online e na obtenção de uma resposta.

Pré-requisitos

Antes de seguir as etapas neste artigo, verifique se você tem os seguintes pré-requisitos:

Um Workspace do Azure Machine Learning. Se você não tiver um, use as etapas do artigo Início Rápido: criar recursos de workspace para criar.
A CLI do Azure e a extensão mlou o SDK do Python v2 do Azure Machine Learning:
- Para instalar a extensão e a CLI do Azure, consulte Instalar, configurar e usar a CLI (v2).
  
  Importante
  
  Os exemplos de CLI neste artigo pressupõem que você esteja usando o shell Bash (ou compatível). Por exemplo, de um sistema Linux ou Subsistema do Windows para Linux.
- Para instalar o SDK do Python v2, use o seguinte comando:
```
pip install azure-ai-ml azure-identity
```
  Para atualizar uma instalação do SDK existente para a versão mais recente, use o seguinte comando:
```
pip install --upgrade azure-ai-ml azure-identity
```
  Para saber mais, confira Instalar o SDK do Python v2 para Azure Machine Learning.

Preparar uma identidade de usuário

Você precisa de uma identidade de usuário para executar operações do painel de controle (ou seja, operações CRUD) e operações de plano de dados (ou seja, enviar solicitações de pontuação) no ponto de extremidade online. É possível usar a mesma identidade de usuário ou identidades de usuário diferentes para as operações de painel de controle e de plano de dados. Neste artigo, você usa a mesma identidade de usuário para ambas as operações de painel de controle e de plano de dados.

Para criar uma identidade de usuário no Microsoft Entra ID, consulte Configurar autenticação. Você precisará da ID de identidade mais tarde.

Atribuir permissão à identidade

Nesta seção, você atribui permissões à identidade do usuário que você usa para interagir com o ponto de extremidade. Você começa usando uma função interna ou criando uma função personalizada. Depois disso, você atribui a função à sua identidade de usuário.

Usar uma função interna

A função integrada do AzureML Data Scientist pode ser usada para gerenciar e usar pontos de extremidade e implantações e usa caracteres curinga para incluir as seguintes ações de RBAC do plano de controle:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

e para incluir a seguinte ação de RBAC de plano de dados:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcionalmente, a função interna Azure Machine Learning Workspace Connection Secrets Reader pode ser usada para acessar segredos de conexões de workspace e inclui as seguintes ações RBAC do plano de controle:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Se você usar essas funções internas, não haverá nenhuma ação necessária nesta etapa.

(Opcional) Criar uma função personalizada

Você pode ignorar esta etapa se estiver usando funções internas ou outras funções personalizadas predefinidas.

Defina o escopo e as ações para funções personalizadas criando definições JSON das funções. Por exemplo, a definição de função a seguir permite que o usuário realize uma operação CRUD em um ponto de extremidade online em um workspace especificado.

custom-role-for-control-plane.json:

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

A definição de função a seguir permite que o usuário envie solicitações de pontuação para um ponto de extremidade online em um workspace especificado.

custom-role-for-scoring.json:

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Usar as definições de JSON para criar funções personalizadas:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Observação

Para criar funções personalizadas, você precisará de uma das três funções:
- owner
- administrador de acesso do usuário
- uma função personalizada com permissão Microsoft.Authorization/roleDefinitions/write (para criar/atualizar/excluir funções personalizadas) e permissão Microsoft.Authorization/roleDefinitions/read (para visualizar funções personalizadas).
Para obter mais informações sobre como criar funções personalizadas, consulte Funções personalizadas do Azure.

Verifique a definição de função:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Atribua a função á identidade

Se estiver usando a função interna AzureML Data Scientist, use o código a seguir para atribuir a função à sua identidade de usuário.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Opcionalmente, se você estiver usando a função interna Azure Machine Learning Workspace Connection Secrets Reader, use o código a seguir para atribuir a função à sua identidade de usuário.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Se estiver usando a função personalizada, use o código a seguir para atribuir a função à sua identidade de usuário.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Observação

Para atribuir funções personalizadas à identidade do usuário, você precisa de uma das três funções:
- owner
- administrador de acesso do usuário
- uma função personalizada que permite a permissão Microsoft.Authorization/roleAssignments/write (para atribuir funções personalizadas) e a Microsoft.Authorization/roleAssignments/read (para visualizar atribuições de funções).
Para obter mais informações sobre as diferentes funções do Azure e suas permissões, consulte Funções do Azure e Atribuição de funções do Azure usando o portal do Azure.

Confirmar a atribuição de função:

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Obtenha o token do Microsoft Entra para operações de painel de controle

Realize esta etapa se você planeja realizar operações de painel de controle com a API REST, que usará diretamente o token.

Se você planeja usar outros tipos, como a CLI do Azure Machine Learning (v2), o SDK do Python (v2) ou o Estúdio do Azure Machine Learning, não será necessário obter o token do Microsoft Entra manualmente. Em vez disso, durante o logon, sua identidade de usuário já estaria autenticada e o token seria automaticamente recuperado e passado para você.

Você pode recuperar o token do Microsoft Entra para controlar operações de painel do ponto de extremidade de recurso do Azure: https://management.azure.com.

Faça login no Azure.
```
az login
```
Se você quiser usar uma identidade específica, use o código a seguir para entrar com a identidade:
```
az login --identity --username <identityId>
```

Use esse contexto para obter o token.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

De uma máquina virtual do Azure

Você pode adquirir o token com base na identidade gerenciada de uma VM do Azure (quando a VM for habilitada para uma identidade gerenciada).

Para obter o token do Microsoft Entra (aad_token) para a operação de painel de controle na VM do Azure, envie a solicitação para o ponto de extremidade do Serviço de Metadados da Instância do Azure (IMDS) para o ponto de extremidade de recurso do Azure management.azure.com:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Dica

Para extrair o token da saída JSON, o utilitário jq é usado como um exemplo. No entanto, você pode usar qualquer ferramenta adequada para esse propósito.

Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

De uma instância de computação

Você pode obter o token se estiver usando a instância de computação do workspace do Azure Machine Learning. Para obter o token, você deve passar a ID do cliente e o segredo da identidade gerenciada da instância de computação para o ponto de extremidade de identidade de sistema gerenciado (MSI) que é configurado localmente na instância de computação. Você pode obter o ponto de extremidade MSI, a ID do cliente e o segredo através das variáveis de ambiente MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID e MSI_SECRET, respectivamente. Essas variáveis são definidas automaticamente se você habilitar a identidade gerenciada para a instância de computação.

Obtenha o token para o ponto de extremidade de recurso management.azure.com do Azure através da instância de computação do workspace:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Consulte Obter um token usando a biblioteca de clientes de identidade do Azure para obter mais informações.

(Opcional) Verificar o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Depois de recuperar o token do Microsoft Entra, você pode verificar se o token se refere ao ponto de extremidade de recurso management.azure.com do Azure correto e para a ID do cliente correta decodificando o token por meio de jwt.ms, que retornará uma resposta json com as seguintes informações:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Criar um ponto de extremidade

O exemplo a seguir cria o ponto de extremidade com uma identidade atribuída pelo sistema (SAI) como a identidade do ponto de extremidade. O SAI é o tipo de identidade padrão da identidade gerenciada para pontos de extremidade. Algumas funções básicas são atribuídas automaticamente para SAI. Para obter mais informações sobre a atribuição de função para uma identidade atribuída pelo sistema, consulte Atribuição automática de função para a identidade do ponto de extremidade.

A CLI não exige que você forneça explicitamente o token do painel de controle. Em vez disso, a CLI az login autentica você durante a entrada e o token é recuperado e passado automaticamente para você.

Crie um arquivo YAML de definição de ponto de extremidade.

endpoint.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

Você pode substituir auth_mode por key para autenticação de chave, ou aml_token para autenticação de token do Azure Machine Learning. Neste exemplo, você usa aad_token para autenticação de token do Microsoft Entra.
```
az ml online-endpoint create -f endpoint.yml
```

Verifique o status do ponto de extremidade:

az ml online-endpoint show -n my-endpoint

Se você quiser substituir auth_mode (por exemplo, para aad_token) ao criar um ponto de extremidade, execute o seguinte código:
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Se você quiser atualizar o ponto de extremidade existente e especificar auth_mode (por exemplo, para aad_token), execute o seguinte código:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

A chamada à API REST exige que você forneça explicitamente o token do painel de controle. Use o token do painel de controle que você recuperou anteriormente.

Criar ou atualizar um ponto de extremidade:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Você pode substituir authMode por key para autenticação de chave, ou AMLToken para autenticação de token do Azure Machine Learning. Neste exemplo, você usa AADToken para autenticação de token do Microsoft Entra.

Obter o status atual do ponto de extremidade online:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

O SDK do Python não exige que você forneça explicitamente o token do painel de controle. Em vez disso, o SDK MLClient autentica você durante a entrada e o token é recuperado e passado automaticamente para você.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Você pode substituir auth_mode por key para autenticação de chave, ou aml_token para autenticação de token do Azure Machine Learning. Neste exemplo, você usa aad_token para autenticação de token do Microsoft Entra.

Criar uma implantação

Para criar uma implantação, consulte Implantar um modelo de ML com um ponto de extremidade online ou Usar REST para implantar um modelo como um ponto de extremidade online. Não há diferença na forma como você cria implantações para diferentes modos de autenticação.

O código a seguir é um exemplo de como criar uma implantação. Para obter mais informações sobre a implantação de pontos de extremidade online, consulte Implantar um modelo de ML com ponto de extremidade online (via CLI)

Criar um arquivo YAML de definição de implantação.

blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Criar a implantação usando o arquivo YAML. Para este exemplo defina todo o tráfego para a nova implantação.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Obter o URI de pontuação para o ponto de extremidade

Se você planeja usar a CLI para chamar o ponto de extremidade, não é necessário obter o URI de pontuação explicitamente, pois a CLI cuida disso para você. No entanto, você ainda pode usar a CLI para obter o URI de pontuação de modo que possa usá-lo com outros canais, como a API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Se você planeja usar o SDK do Python para chamar o ponto de extremidade, não é necessário obter o URI de pontuação, pois o SDK cuida disso para você. No entanto, você ainda pode usar o SDK para obter o URI de pontuação de modo que possa usá-lo com outros canais, como a API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Obter a chave ou o token para operações de plano de dados

Uma chave ou token pode ser usado para operações de plano de dados, mesmo que o processo de obtenção da chave ou token seja uma operação de painel de controle. Em outras palavras, você usa um token do painel de controle para obter a chave ou o token usado posteriormente para executar as operações do plano de dados.

Obter a chave ou o token do Azure Machine Learning requer que a função correta seja atribuída à identidade do usuário que a está solicitando, conforme descrito em autorização para operações do painel de controle. Obter o token Microsoft Entra não requer funções extras para a identidade do usuário.

Se você planeja usar a CLI para invocar o ponto de extremidade, não será necessário obter as chaves ou o token para operações de plano de dados explicitamente, pois a CLI o manipula para você. No entanto, você ainda pode usar a CLI para obter as chaves ou o token para a operação do plano de dados para que você possa usá-lo com outros canais, como a API REST.

Para obter as chaves ou o token para operações de plano de dados, use o comando az ml online-endpoint get-credentials. Esse comando retorna uma saída JSON que contém as chaves, o token e/ou informações adicionais.

Dica

Para extrair informações específicas da saída JSON, o parâmetro --query do comando da CLI é usado como exemplo. No entanto, você pode usar qualquer ferramenta adequada para esse propósito.

Quando auth_mode do ponto de extremidade é key

As chaves são retornadas nos campos primaryKey e secondaryKey.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quando auth_mode do ponto de extremidade é aml_token

O token é retornado no campo accessToken.
O tempo de expiração do token é retornado no campo expiryTimeUtc.
A hora de atualização do token é retornada no campo refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quando auth_mode do ponto de extremidade é aad_token

O token é retornado no campo accessToken.
O tempo de expiração do token é retornado no campo expiryTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Para obter as chaves ou o token para operações de plano de dados, escolha a API certa, dependendo do auth_mode do ponto de extremidade. A API retorna uma saída JSON que inclui as chaves e o token.

Dica

O utilitário jq é usado para demonstrar como extrair informações específicas da saída JSON. No entanto, você pode usar qualquer ferramenta adequada para esse propósito.

Quando auth_mode do ponto de extremidade é key

Use a API de listkeys.
As chaves são retornadas nos campos primaryKey e secondaryKey.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quando auth_mode do ponto de extremidade é aml_token

Use a API de token.
O token é retornado no campo accessToken.
O tempo de expiração do token é retornado no campo expiryTimeUtc
A hora de atualização do token é retornada no campo refreshAfterTimeUtc

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quando auth_mode do ponto de extremidade é aad_token

Use o ponto de extremidade IMDS ou o ponto de extremidade MSI, dependendo de onde você solicitar o token.
O token é retornado no campo accessToken.
O tempo de expiração do token é retornado no campo expiryTimeUtc

De uma máquina virtual do Azure

Você pode adquirir o token com base nas identidades gerenciadas de uma VM do Azure (quando a VM é habilitada para uma identidade gerenciada).

Para obter o token do Microsoft Entra (aad_token) para a operação do painel de controle na VM do Azure, envie a solicitação para o ponto de extremidade Serviço de Metadados de Instância do Azure (IMDS) para o ponto de extremidade de recurso do Azure ml.azure.com:

export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`

Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

De uma instância de computação

Obtenha o token para o ponto de extremidade de recurso ml.azure.com do Azure através da instância de computação do workspace:

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Importante

Ao contrário do token do Microsoft Entra para operações de plano de controle, que é recuperado de management.azure.com, o token do Microsoft Entra para operações de plano de dados é recuperado do ponto de extremidade de recurso do Azure ml.azure.com.

Se você planeja usar o SDK para invocar o ponto de extremidade, não será necessário obter as chaves ou o token para operações de plano de dados explicitamente, pois o SDK o manipula para você. No entanto, você ainda pode usar o SDK para obter as chaves ou o token para operações de plano de dados para que você possa usá-lo com outros canais, como a API REST.

Para obter as chaves ou o token para operações de plano de dados, use o método get_keys na classe OnlineEndpointOperations. Esse método retorna um objeto que inclui chaves e token.

Quando auth_mode do ponto de extremidade é key

As chaves são retornadas nos campos primary_key e secondary_key.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quando auth_mode do ponto de extremidade é aml_token

O token é retornado no campo access_token.
O tempo de expiração do token é retornado no campo expiry_time_utc.
A hora de atualização do token é retornada no campo refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quando auth_mode do ponto de extremidade é aad_token

O token é retornado no campo access_token.
O tempo de expiração do token é retornado no campo expiry_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Consulte Obter um token usando a biblioteca de clientes de identidade do Azure para obter mais informações.

Verifique o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Depois de obter o token do Microsoft Entra, você pode verificar se o token se refere ao ponto de extremidade de recurso do Azure ml.azure.com correto e a ID do cliente correta, decodificando o token por meio de jwt.ms, que retornará uma resposta json com a seguinte informação:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Pontuar dados usando a chave ou o token

Você pode usar az ml online-endpoint invoke para pontos de extremidade com uma chave, um token do Azure Machine Learning ou um token do Microsoft Entra. A CLI manipula a chave ou o token automaticamente para que você não precise passá-la explicitamente.

az ml online-endpoint invoke -n my-endpoint -r request.json

Ao chamar o ponto de extremidade online para pontuação, passe a chave, o token do Azure Machine Learning ou o token do Microsoft Entra no cabeçalho de autorização. O seguinte exemplo mostra como usar o utilitário curl para chamar o ponto de extremidade online usando uma chave ou token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

O SDK do Azure Machine Learning usando ml_client.online_endpoints.invoke() tem suporte para chave, token do Azure Machine Learning e token do Microsoft Entra. Além de usar o SDK do Azure Machine Learning, você também pode usar um SDK genérico do Python para enviar a solicitação POST para o URI de pontuação.

Ao chamar o ponto de extremidade online para pontuação, passe a chave ou o token no cabeçalho de autorização. O código a seguir mostra como chamar o ponto de extremidade online usando uma chave ou token com um SDK genérico do Python. No código, substitua a variável api_key por sua chave ou token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Registrar e monitorar tráfego

Para habilitar o registro de tráfego nas configurações de diagnósticos do ponto de extremidade, siga as etapas em Como habilitar /desabilitar registros.

Se a configuração de diagnóstico estiver habilitada, você pode verificar a tabela AmlOnlineEndpointTrafficLogs para ver o modo de autenticação e a identidade do usuário.

Compartilhar via

Autenticar clientes para pontos de extremidade online

Pré-requisitos

Preparar uma identidade de usuário

Atribuir permissão à identidade

Usar uma função interna

(Opcional) Criar uma função personalizada

Atribua a função á identidade

Obtenha o token do Microsoft Entra para operações de painel de controle

(Opcional) Verificar o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Criar um ponto de extremidade

Criar uma implantação

Obter o URI de pontuação para o ponto de extremidade

Obter a chave ou o token para operações de plano de dados

Verifique o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Pontuar dados usando a chave ou o token

Chave ou token do Azure Machine Learning

Registrar e monitorar tráfego

Comentários

Recursos adicionais

Compartilhar via

Autenticar clientes para pontos de extremidade online

Pré-requisitos

Preparar uma identidade de usuário

Atribuir permissão à identidade

Usar uma função interna

(Opcional) Criar uma função personalizada

Atribua a função á identidade

Obtenha o token do Microsoft Entra para operações de painel de controle

(Opcional) Verificar o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Criar um ponto de extremidade

Criar uma implantação

Obter o URI de pontuação para o ponto de extremidade

Obter a chave ou o token para operações de plano de dados

Verifique o ponto de extremidade de recurso e a ID do cliente para o token do Microsoft Entra

Pontuar dados usando a chave ou o token

Registrar e monitorar tráfego

Conteúdo relacionado

Comentários

Recursos adicionais