如何使用受控識別設定 Azure OpenAI 服務

更複雜的安全性案例需要 Azure 角色型存取控制 (Azure RBAC)。 本文件涵蓋如何使用 Microsoft Entra ID 向 OpenAI 資源進行驗證。

在下列各節中，您將使用 Azure CLI 登入，並取得持有人令牌來呼叫 OpenAI 資源。 如果遇到困難，每一節都會提供連結，其中包含 Azure Cloud Shell/Azure CLI 中每個命令的所有可用選項。

必要條件

• Azure 訂用帳戶 - 建立免費帳戶

• 在所需的 Azure 訂用帳戶中授與 Azure OpenAI 服務的存取權

• 目前只有應用程式會授予此服務的存取權。 您可以完成 對 Azure OpenAI 服務的要求存取表單，以申請存取 Azure OpenAI。 如有問題，請在此存放庫中提出問題來與我們連絡。

• 需要自定義子域名稱，才能啟用 Microsoft Entra ID 等功能以進行驗證。

• Azure CLI - 安裝指南

• 下列 Python 連結庫：os、requests、json、openai、azure-identity

將自己指派給認知服務使用者角色

指派認知服務 OpenAI 使用者或認知服務 OpenAI 參與者角色，讓您能夠使用您的帳戶進行 Azure OpenAI 推斷 API 呼叫，而不必使用密鑰型驗證。進行這項變更之後，最多可能需要 5 分鐘的時間，變更才會生效。

登入 Azure CLI

若要登入 Azure CLI，請執行下列命令並完成登入。 如果您的工作階段已閒置太久，您可能需要再次執行此動作。

az login

聊天完成

from azure.identity import DefaultAzureCredential, get_bearer_token_provider
from openai import AzureOpenAI

token_provider = get_bearer_token_provider(
    DefaultAzureCredential(), "https://cognitiveservices.azure.com/.default"
)

client = AzureOpenAI(
    api_version="2024-02-15-preview",
    azure_endpoint="https://{your-custom-endpoint}.openai.azure.com/",
    azure_ad_token_provider=token_provider
)

response = client.chat.completions.create(
    model="gpt-35-turbo-0125", # model = "deployment_name".
    messages=[
        {"role": "system", "content": "You are a helpful assistant."},
        {"role": "user", "content": "Does Azure OpenAI support customer managed keys?"},
        {"role": "assistant", "content": "Yes, customer managed keys are supported by Azure OpenAI."},
        {"role": "user", "content": "Do other Azure AI services support this too?"}
    ]
)

print(response.choices[0].message.content)

使用控制平面 API 查詢 Azure OpenAI

import requests
import json
from azure.identity import DefaultAzureCredential

region = "eastus"
token_credential = DefaultAzureCredential()
subscriptionId = "{YOUR-SUBSCRIPTION-ID}" 


token = token_credential.get_token('https://management.azure.com/.default')
headers = {'Authorization': 'Bearer ' + token.token}

url = f"https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.CognitiveServices/locations/{region}/models?api-version=2023-05-01"

response = requests.get(url, headers=headers)

data = json.loads(response.text)

print(json.dumps(data, indent=4))

授權存取受控身分識別

OpenAI 支援使用 Azure 資源的受控識別進行 Microsoft Entra 驗證。 Azure 資源的受控識別可以使用 Azure 虛擬機（VM）、函式應用程式、虛擬機擴展集和其他服務中執行的應用程式，使用 Microsoft Entra 認證來授權存取 Azure AI 服務資源。 藉由使用適用於 Azure 資源的受控識別搭配 Microsoft Entra 驗證，您可以避免使用在雲端執行的應用程式儲存認證。

在 VM 上啟用受控識別

在您可以使用 Azure 資源受控識別對來自 VM 的 Azure AI 服務資源驗證存取權之前，必須先在該 VM 上啟用 Azure 資源受控識別。 若要了解如何啟用適用於 Azure 資源的受控識別，請參閱：

• Azure 入口網站
• Azure PowerShell
• Azure CLI
• Azure Resource Manager 範本
• Azure Resource Manager 用戶端程式庫

如需有關受控識別的詳細資訊，請參閱適用於 Azure 資源的受控識別。