Аутентификация и авторизация доступа к API Azure OpenAI с использованием Azure API Management

ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни управления API

В этой статье вы узнаете о способах проверки подлинности и авторизации конечных точек API Azure OpenAI, управляемых с помощью Azure Управление API. В этой статье показаны следующие распространенные методы:

• Проверка подлинности в API OpenAI Azure с помощью политик, которые аутентифицируются, используя либо ключ API, либо управляемую учетную запись Microsoft Entra ID.

• Авторизация - Для более точного контроля доступа предварительно авторизуйте запросы, которые передают маркеры OAuth 2.0, созданные поставщиком удостоверений, таким как Microsoft Entra ID.

Для справки см. статью.

• Справочник по REST API Службы Azure OpenAI

• Проверка подлинности к API и авторизация в менеджменте API.

Предварительные условия

Перед выполнением действий, описанных в этой статье, необходимо выполнить следующие действия.

• Экземпляр системы управления API. См. пример шагов в статье Создание экземпляра управления API Azure.
• Ресурс и модель Azure OpenAI добавлены в ваш экземпляр управления API. Например, см. инструкции по импорту API OpenAI Azure в качестве REST API.
• Разрешения на создание регистрации приложения у поставщика удостоверений, например, у клиента Microsoft Entra, связанного с вашей подпиской на Azure (для авторизации OAuth 2.0).

Аутентификация с помощью ключа API

По умолчанию для проверки подлинности в API OpenAI Azure используется ключ API. Для этого типа проверки подлинности все запросы API должны содержать допустимый ключ API в заголовке api-key HTTP.

• Управление API может безопасно управлять ключом API с помощью именованного значения.
• Затем именованное значение можно использовать в политике API, чтобы задать api-key заголовок в запросах к API OpenAI Azure. Мы предоставляем два примера того, как это сделать: один использует set-backend-service политику, а другой использует set-header политику.

Хранение ключа API в именованном значении

1. Получите ключ API из ресурса Azure OpenAI. На портале Azure найдите ключ на странице «Ключи и конечная точка» ресурса Azure OpenAI.
2. Перейдите к экземпляру управления API и в левом меню выберите Именованные значения.
3. Выберите +Добавить и добавьте значение в качестве секрета или дополнительно для повышения безопасности используйте ссылку на хранилище ключей.

Передача ключа API в запросах к API — политика настройки службы бэкенда.

1. Создайте бэкенд, который указывает на Azure OpenAI API.

   1. В меню слева экземпляра управления API выберите бэкенды.
   2. Выберите +Добавить и введите описательное имя серверной части. Пример: openai-backend.
   3. В разделе " Тип" выберите "Пользовательский" и введите URL-адрес конечной точки Azure OpenAI. Пример: https://contoso.openai.azure.com/openai.
   4. В разделе учетные данные авторизации выберите заголовки и введите api-key в качестве имени заголовка и именованное значение в качестве значения.
   5. Нажмите кнопку создания.

2. Добавьте следующий set-backend-service фрагмент политики в inbound раздел политики, чтобы передать ключ API в запросах к API OpenAI Azure.

   В этом примере серверный ресурс — это openai-backend.

   <set-backend-service backend-id="openai-backend" />
   

Передача ключа API в запросах API — политика установки заголовков

Кроме того, добавьте следующий set-header фрагмент политики в inbound раздел политики, чтобы передать ключ API в запросах к API Azure OpenAI. Этот фрагмент политики задает api-key заголовок с именованным значением, которое вы установили.

В этом примере именованное значение в Управлении API — openai-api-key.

<set-header name="api-key" exists-action="override">
    <value>{{openai-api-key}}</value>
</set-header>

Аутентифицироваться с помощью управляемой идентичности

Альтернативным и рекомендуемым способом проверки подлинности в API OpenAI Azure является использование управляемого удостоверения в идентификаторе Microsoft Entra. Для получения дополнительной информации см. Как настроить Службу Azure OpenAI с управляемым удостоверением.

Ниже приведены шаги по настройке экземпляра API Management для использования управляемого удостоверения для аутентификации запросов к Azure OpenAI API.

1. Включите управляемую идентификацию, назначаемую системой или пользователем, для вашего экземпляра API Management. В следующем примере предполагается, что вы включили управляемое удостоверение, назначенное системой.

2. Назначьте управляемому удостоверению роль пользователя Cognitive Services OpenAI с областью действия, соответствующей ресурсу. Например, назначьте управляемому удостоверению, назначаемому системой, роль пользователя OpenAI Cognitive Services на ресурсе Azure OpenAI. Подробные инструкции см. в статье "Управление доступом на основе ролей" для службы Azure OpenAI.

3. Добавьте следующий фрагмент политики в inbound раздел политики для проверки подлинности запросов к API Azure OpenAI с помощью управляемого удостоверения.

   В этом примере:

   • Политика authentication-managed-identity получает токен доступа для управляемого удостоверения.
   • Политика set-header задает Authorization заголовок запроса с помощью маркера доступа.

   <authentication-managed-identity resource="https://cognitiveservices.azure.com" output-token-variable-name="managed-id-access-token" ignore-error="false" /> 
   <set-header name="Authorization" exists-action="override"> 
       <value>@("Bearer " + (string)context.Variables["managed-id-access-token"])</value> 
   </set-header> 
   

Подсказка

Альтернативой использованию authentication-managed-identity и set-header политикам, приведенным в этом примере, является настройка внутреннего ресурса, который направляет запросы API к конечной точке Службы OpenAI Azure. В конфигурации серверной части включите аутентификацию с помощью управляемого удостоверения для службы Azure OpenAI. Управление API Azure автоматизирует эти действия при импорте API непосредственно из Службы Azure OpenAI. Дополнительные сведения см. в статье "Импорт API из Службы OpenAI Azure".

Авторизация OAuth 2.0 с помощью поставщика удостоверений

Чтобы обеспечить более подробный доступ к API OpenAPI определенными пользователями или клиентами, можно предварительно настроить доступ к API Azure OpenAI с помощью авторизации OAuth 2.0 с идентификатором Microsoft Entra или другим поставщиком удостоверений. Дополнительные сведения см. в статье "Защита API с помощью службы управления API в Azure и авторизации OAuth 2.0 с помощью Microsoft Entra ID".

Примечание.

Используйте авторизацию OAuth 2.0 в рамках стратегии глубокой защиты. Это не замена аутентификации с использованием ключа API или аутентификации с управляемой идентификацией для API Azure OpenAI.

Ниже приведены высокие шаги по ограничению доступа к API пользователям или приложениям, авторизованным с помощью поставщика удостоверений.

1. Создайте приложение в вашем поставщике удостоверений, чтобы представлять API OpenAI в Azure API Management. Если вы используете идентификатор Microsoft Entra, зарегистрируйте приложение в клиенте Идентификатора Microsoft Entra ID. Запишите сведения, например, идентификатор приложения и универсальный код ресурса (URI) аудитории.

   При необходимости настройте приложение для получения ролей или областей, представляющих точные разрешения, необходимые для доступа к API OpenAI Azure.

2. inbound Добавьте фрагмент политики в экземпляр API Management для проверки запросов, представляющих веб-токен JSON (JWT) в заголовке Authorization. Поместите этот фрагмент перед другими inbound политиками, установленными для проверки подлинности в API OpenAI Azure.

   Примечание.

   В следующих примерах показана общая структура политик для проверки JWT. Настройте их под вашего провайдера идентификаций и требования вашего приложения и API.

   • validate-azure-ad-token . Если вы используете идентификатор Microsoft Entra, настройте validate-azure-ad-token политику для проверки аудитории и утверждений в JWT. Дополнительные сведения см. в справочнике по политике.

     <validate-azure-ad-token tenant-id={{TENANT_ID}} header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
         <client-application-ids>
                 <application-id>{{CLIENT_APP_ID}}</application-id>
         </client-application-ids>
        <audiences>
             <audience>...</audience> 
         </audiences>
         <required-claims>
             <claim name=...>
                 <value>...</value>
             </claim>
         </required-claims>
     </validate-azure-ad-token>
     

   • validate-jwt — если вы используете другого поставщика удостоверений, настройте validate-jwt политику для валидации аудитории и утверждений в JWT. Дополнительные сведения см. в справочнике по политике.

     <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
         <openid-config url={{OPENID_CONFIGURATION_URL}} />
         <issuers>
             <issuer>{{ISSUER_URL}}</issuer>
         </issuers>
         <audiences>
             <audience>...</audience> 
         </audiences>
         <required-claims>
             <claim name=...>
                 <value>...</value>
             </claim>
         </required-claims>
     </validate-jwt>
     

Связанный контент

• Дополнительные сведения об идентификаторе Microsoft Entra и OAuth2.0.
• Проверка подлинности запросов к службам ИИ Azure