Authentifier les clients pour les points de terminaison en ligne

Article
09/03/2024

S’APPLIQUE À :Extension Azure ML CLI v2 (actuelle)Kit de développement logiciel (SDK) Python azure-ai-ml v2 (préversion)

Cet article explique comment authentifier les clients pour effectuer des opérations de plan de contrôle et de plan de données sur des points de terminaison en ligne.

Une opération de plan de contrôle permet de contrôler un point de terminaison et de le modifier. Les opérations de plan de contrôle incluent les opérations de création, lecture, mise à jour et suppression (CRUD) sur les points de terminaison en ligne et les déploiements en ligne.

Une opération de plan de données utilise des données pour interagir avec un point de terminaison en ligne sans modifier le point de terminaison. Par exemple, une opération de plan de données peut consister à envoyer une demande de scoring à un point de terminaison en ligne et à obtenir une réponse.

Prérequis

Avant de suivre les étapes décrites dans cet article, vérifiez que vous disposez des composants requis suivants :

Un espace de travail Azure Machine Learning. Si vous n’en avez pas, procédez comme suit dans le Guide de démarrage rapide : Créer des ressources d’espace de travail pour en créer un.
Azure CLI et l’extension mlou le Kit de développement logiciel (SDK) Python Azure Machine Learning v2 :
- Pour installer Azure CLI et l’extension, consultez Installer, configurer et utiliser l’interface CLI (v2).
  
  Important
  
  Les exemples CLI de cet article supposent que vous utilisez l’interpréteur de commandes Bash (ou compatible). Par exemple, à partir d’un système Linux ou d’un sous-système Windows pour Linux.
- Pour installer le kit SDK Python v2, utilisez la commande suivante :
```
pip install azure-ai-ml azure-identity
```
  Pour mettre à jour une installation existante du Kit de développement logiciel (SDK) vers la version la plus récente, utilisez la commande suivante :
```
pip install --upgrade azure-ai-ml azure-identity
```
  Pour plus d’informations, consultez Installer le kit SDK Python v2 pour Azure Machine Learning.

Préparer une identité utilisateur

Vous avez besoin d’une identité utilisateur pour effectuer des opérations de plan de contrôle (c’est-à-dire des opérations CRUD) et des opérations de plan de données (autrement dit, envoyer des demandes de scoring) sur le point de terminaison en ligne. Vous pouvez utiliser la même identité utilisateur ou différentes identités utilisateur pour les opérations du plan de contrôle et du plan de données. Dans cet article, vous utilisez la même identité utilisateur pour les opérations de plan de contrôle et de plan de données.

Pour créer une identité d’utilisateur sous Microsoft Entra ID, consultez Configurer l’authentification. Vous aurez besoin de l’ID d’identité ultérieurement.

Attribuer des autorisations à l’identité

Dans cette section, vous attribuez des autorisations à l’identité utilisateur que vous utilisez pour interagir avec le point de terminaison. Vous commencez en utilisant un rôle intégré ou en créant un rôle personnalisé. Ensuite, vous attribuez le rôle à votre identité utilisateur.

Utiliser un rôle intégré

Le rôle intégré AzureML Data Scientist peut être utilisé pour gérer et utiliser des points de terminaison et des déploiements, et il utilise des caractères génériques pour inclure les actions de RBAC du plan de contrôle suivantes :

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

et pour inclure l’action RBAC du plan de données suivante :

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Si vous le souhaitez, le rôle intégré Azure Machine Learning Workspace Connection Secrets Reader peut être utilisé pour accéder aux secrets à partir des connexions de l’espace de travail et inclure les actions de RBAC du plan de contrôle suivantes :

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Si vous utilisez ces rôles intégrés, aucune action n’est nécessaire à cette étape.

(Facultatif) Créer un rôle personnalisé

Vous pouvez ignorer cette étape si vous utilisez des rôles intégrés ou d’autres rôles personnalisés prédéfinis.

Définissez l’étendue et les actions des rôles personnalisés en créant des définitions JSON des rôles. Par exemple, la définition de rôle suivante permet à l’utilisateur d’effectuer une opération CRUD sur un point de terminaison en ligne, sous un espace de travail spécifié.

custom-role-for-control-plane.json :

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

La définition de rôle suivante permet à l’utilisateur d’envoyer des demandes de scoring à un point de terminaison en ligne, sous un espace de travail spécifié.

custom-role-for-scoring.json :

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Utilisez les définitions JSON pour créer des rôles personnalisés :
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Remarque

Pour créer des rôles personnalisés, vous avez besoin d’un des trois rôles suivants :
- Propriétaire
- administrateur de l’accès utilisateur
- un rôle personnalisé avec l’autorisation Microsoft.Authorization/roleDefinitions/write (pour créer/mettre à jour/supprimer des rôles personnalisés) et l’autorisation Microsoft.Authorization/roleDefinitions/read (pour afficher les rôles personnalisés).
Pour plus d’informations sur la création des rôles personnalisés, consultez Rôles personnalisés Azure.

Vérifiez la définition de rôle :

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Attribuez le rôle à l’identité

Si vous utilisez le rôle intégré AzureML Data Scientist, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Le cas échéant, si vous utilisez le rôle intégré Azure Machine Learning Workspace Connection Secrets Reader, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Si vous utilisez un rôle personnalisé, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Remarque

Pour affecter des rôles personnalisés à l’identité utilisateur, vous avez besoin de l’un des trois rôles suivants :
- Propriétaire
- administrateur de l’accès utilisateur
- un rôle personnalisé qui autorise l’autorisation Microsoft.Authorization/roleAssignments/write (pour attribuer des rôles personnalisés) et Microsoft.Authorization/roleAssignments/read (pour afficher les attributions de rôles).
Pour plus d’informations sur les différents rôles Azure et leurs autorisations, consultez Rôles Azure et Attribution de rôles Azure à l’aide du portail Azure.

Confirmez l’attribution de rôle :

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Obtenir le jeton Microsoft Entra pour les opérations de plan de contrôle

Effectuez cette étape si vous envisagez d’effectuer des opérations de plan de contrôle avec l’API REST, qui utilisera directement le jeton.

Si vous envisagez d’utiliser d’autres méthodes telles que l’interface CLI Azure Machine Learning (v2), le kit de développement logiciel (SDK) Python (v2) ou Azure Machine Learning studio, vous n’avez pas besoin d’obtenir manuellement le jeton Microsoft Entra. Au lieu de cela, pendant la connexion, votre identité utilisateur est déjà authentifiée, et le jeton est automatiquement récupéré et transmis pour vous.

Vous pouvez récupérer le jeton Microsoft Entra pour les opérations de plan de contrôle à partir du point de terminaison de ressource Azure : https://management.azure.com.

connectez-vous à Azure.
```
az login
```
Si vous souhaitez utiliser une identité spécifique, utilisez le code suivant pour vous connecter avec l’identité :
```
az login --identity --username <identityId>
```

Utilisez ce contexte pour obtenir le jeton.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

À partir d’une machine virtuelle Azure

Vous pouvez acquérir le jeton en fonction de l’identité managée pour une machine virtuelle Azure (lorsque la machine virtuelle permet une identité managée).

Pour obtenir le jeton Microsoft Entra (aad_token) pour l’opération de plan de contrôle sur la machine virtuelle Azure, envoyez la demande au point de terminaison IMDS (Azure Instance Metadata Service) pour le point de terminaison de ressource Azure management.azure.com :
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Conseil

Pour extraire le jeton de la sortie JSON, l’utilitaire jq est utilisé comme exemple. Toutefois, vous pouvez utiliser n’importe quel outil approprié à cet effet.

Pour plus d’informations sur l’obtention de jetons basés sur des identités managées, consultez Obtenir un jeton à l’aide de HTTP.

À partir d’une instance de calcul

Vous pouvez obtenir le jeton si vous utilisez l’instance de calcul de l’espace de travail Azure Machine Learning. Pour obtenir le jeton, vous devez transmettre l’ID client et la clé secrète client de l’identité managée de l’instance de calcul au point de terminaison MSI (Managed System Identity) configuré localement sur l’instance de calcul. Vous pouvez obtenir le point de terminaison MSI, l’ID client et la clé secrète client à partir des variables d’environnement MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID et MSI_SECRET, respectivement. Ces variables sont définies automatiquement si vous activez l’identité managée pour l’instance de calcul.

Obtenez le jeton du point de terminaison de ressource Azure management.azure.com à partir de l’instance de calcul de l’espace de travail :

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Pour plus d’informations, consultez Obtenir un jeton à l’aide de la bibliothèque de client d’identité Azure.

(Facultatif) Vérifier le point de terminaison de ressource et l’ID client pour le jeton Microsoft Entra

Après avoir récupéré le jeton Microsoft Entra, vous pouvez vérifier que le jeton est destiné au point de terminaison de ressource Azure management.azure.com approprié et à l’ID client approprié en décodant le jeton via jwt.ms, ce qui renvoie une réponse json avec les informations suivantes :

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Créer un point de terminaison

L’exemple suivant crée le point de terminaison avec une identité affectée par le système (SAI) comme identité de point de terminaison. La SAI est le type d’identité par défaut de l’identité managée pour les points de terminaison. Certains rôles de base sont automatiquement attribués pour la SAI. Pour plus d’informations sur l’attribution de rôle pour une identité affectée par le système, consultez Attribution automatique de rôle pour l’identité de point de terminaison.

L’interface CLI ne vous oblige pas à fournir explicitement le jeton du plan de contrôle. Au lieu de cela, l’interface CLI az login vous authentifie pendant la connexion, et le jeton est automatiquement récupéré et transmis.

Créez un fichier YAML de définition de point de terminaison.

endpoint.yml :

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

Vous pouvez remplacer auth_mode par key pour l’authentification par clé ou aml_token pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez aad_token pour l’authentification par jeton Microsoft Entra.
```
az ml online-endpoint create -f endpoint.yml
```
Vérifiez l’état du point de terminaison :
```
az ml online-endpoint show -n my-endpoint
```
Si vous souhaitez remplacer auth_mode (par exemple, par aad_token) lors de la création d’un point de terminaison, exécutez le code suivant :
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Si vous souhaitez mettre à jour le point de terminaison existant et spécifier auth_mode (par exemple, sur aad_token), exécutez le code suivant :
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

L’appel d’API REST vous oblige à fournir explicitement le jeton du plan de contrôle. Utilisez le jeton de plan de contrôle que vous avez récupéré précédemment.

Crée ou met à jour un point de terminaison :

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Vous pouvez remplacer authMode par key pour l’authentification par clé ou AMLToken pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez AADToken pour l’authentification par jeton Microsoft Entra.

Obtenez l’état actuel du point de terminaison en ligne :

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Le kit de développement logiciel (SDK) Python ne vous oblige pas à fournir explicitement le jeton du plan de contrôle. Au lieu de cela, le kit de développement logiciel (SDK) MLClient vous authentifie pendant la connexion, et le jeton est automatiquement récupéré et transmis.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Vous pouvez remplacer auth_mode par key pour l’authentification par clé ou aml_token pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez aad_token pour l’authentification par jeton Microsoft Entra.

Créer un déploiement

Pour créer un déploiement, consultez Déployer un modèle ML avec un point de terminaison en ligne ou Utiliser REST pour déployer un modèle en tant que point de terminaison en ligne. Il n’existe aucune différence dans la façon dont vous créez des déploiements pour différents modes d’authentification.

Le code suivant est un exemple de création d’un déploiement. Pour plus d’informations sur le déploiement de points de terminaison en ligne, consultez Déployer un modèle ML avec un point de terminaison en ligne (via l’interface CLI)

Créez un fichier YAML de définition de déploiement.

blue-deployment.yml :

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Créez le déploiement en utilisant le fichier YAML. Pour cet exemple, définissez tout le trafic vers le nouveau déploiement.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Obtenir l’URI de scoring pour le point de terminaison

Si vous envisagez d’utiliser l’interface CLI pour appeler le point de terminaison, vous n’êtes pas obligé d’obtenir explicitement l’URI de scoring, car l’interface CLI le gère pour vous. Toutefois, vous pouvez toujours utiliser l’interface CLI pour obtenir l’URI de scoring afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Si vous envisagez d’utiliser le kit de développement logiciel (SDK) Python pour appeler le point de terminaison, vous n’êtes pas obligé d’obtenir explicitement l’URI de scoring, car le kit de développement logiciel (SDK) le gère pour vous. Toutefois, vous pouvez toujours utiliser le kit de développement logiciel (SDK) pour obtenir l’URI de scoring afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Obtenir la clé ou le jeton pour les opérations de plan de données

Une clé ou un jeton peut être utilisé pour les opérations de plan de données, même si le processus d’obtention de la clé ou du jeton est une opération de plan de contrôle. En d’autres termes, vous utilisez un jeton de plan de contrôle pour obtenir la clé ou le jeton que vous utilisez ultérieurement pour effectuer vos opérations de plan de données.

L’obtention de la clé ou du jeton Azure Machine Learning nécessite que le rôle approprié soit affecté à l’identité utilisateur qui la demande, comme décrit dans Autorisation pour les opérations du plan de contrôle. L’obtention du jeton Microsoft Entra ne nécessite pas de rôles supplémentaires pour l’identité utilisateur.

Si vous envisagez d’utiliser l’interface CLI pour appeler le point de terminaison, vous n’avez pas besoin d’obtenir explicitement les clés ou le jeton pour les opérations de plan de données, car l’interface CLI s’en charge à votre place. Cependant, vous pouvez toujours utiliser l’interface CLI pour obtenir les clés ou le jeton pour l’opération de plan de données pour pouvoir les utiliser avec d’autres canaux, tels que l’API REST.

Pour obtenir les clés ou le jeton pour des opérations de plan de données, utilisez la commande az ml online-endpoint get-credentials. Cette commande retourne une sortie JSON qui contient les clés, le jeton et/ou des informations supplémentaires.

Conseil

Pour extraire des informations spécifiques de la sortie JSON, le paramètre --query de la commande CLI est utilisé comme exemple. Toutefois, vous pouvez utiliser n’importe quel outil approprié à cet effet.

Quand auth_mode du point de terminaison est key

Les clés sont retournées dans les champs primaryKey et secondaryKey.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quand auth_mode du point de terminaison est aml_token

Le jeton est retourné dans le champ accessToken.
L’heure d’expiration du jeton est retournée dans le champ expiryTimeUtc.
L’heure d’actualisation du jeton est retournée dans le champ refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quand auth_mode du point de terminaison est aad_token

Le jeton est retourné dans le champ accessToken.
L’heure d’expiration du jeton est retournée dans le champ expiryTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Pour obtenir les clés ou le jeton pour des opérations de plan de données, choisissez l’API appropriée, en fonction du auth_mode du point de terminaison. L’API retourne une sortie JSON qui comprend les clés et le jeton.

Conseil

L’utilitaire jq est utilisé pour montrer comment extraire des informations spécifiques de la sortie JSON. Toutefois, vous pouvez utiliser n’importe quel outil approprié à cet effet.

Quand auth_mode du point de terminaison est key

Utilisez l’API listkeys.
Les clés sont retournées dans les champs primaryKey et secondaryKey.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quand auth_mode du point de terminaison est aml_token

Utilisez l’API token.
Le jeton est retourné dans le champ accessToken.
L’heure d’expiration du jeton est retournée dans le champ expiryTimeUtc
L’heure d’actualisation du jeton est retournée dans le champ refreshAfterTimeUtc

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quand auth_mode du point de terminaison est aad_token

Utilisez le point de terminaison IMDS ou le point de terminaison MSI, en fonction de l’emplacement où vous demandez le jeton.
Le jeton est retourné dans le champ accessToken.
L’heure d’expiration du jeton est retournée dans le champ expiryTimeUtc

À partir d’une machine virtuelle Azure

Vous pouvez acquérir le jeton en fonction des identités managées d’une machine virtuelle Azure (lorsque la machine virtuelle permet une identité managée).

Pour obtenir le jeton Microsoft Entra (aad_token) pour l’opération de plan de données sur la machine virtuelle Azure avec une identité managée, envoyez la demande au point de terminaison IMDS (Azure Instance Metadata Service) pour le point de terminaison de ressource Azure ml.azure.com :
```
export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
```
Pour plus d’informations sur l’obtention de jetons basés sur des identités managées, consultez Obtenir un jeton à l’aide de HTTP.

À partir d’une instance de calcul

Obtenez le jeton du point de terminaison de ressource Azure ml.azure.com à partir de l’instance de calcul de l’espace de travail :

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

Important

Contrairement au jeton Microsoft Entra pour les opérations de plan de données, qui est récupéré à partir de management.azure.com, le jeton Microsoft Entra pour les opérations de plan de contrôle est récupéré à partir du point de terminaison de ressource Azure ml.azure.com.

Si vous envisagez d’utiliser le kit SDK pour appeler le point de terminaison, vous n’avez pas besoin d’obtenir explicitement les clés ou le jeton pour les opérations de plan de données, car le kit SDK s’en charge à votre place. Cependant, vous pouvez toujours utiliser le kit SDK pour obtenir les clés ou le jeton pour les opérations de plan de données pour pouvoir les utiliser avec d’autres canaux, tels que l’API REST.

Pour obtenir les clés ou le jeton pour les opérations de plan de données, utilisez la méthode get_keys de la classe OnlineEndpointOperations. Cette méthode retourne un objet qui comprend les clés et le jeton.

Quand auth_mode du point de terminaison est key

Les clés sont retournées dans les champs primary_key et secondary_key.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quand auth_mode du point de terminaison est aml_token

Le jeton est retourné dans le champ access_token.
L’heure d’expiration du jeton est retournée dans le champ expiry_time_utc.
L’heure d’actualisation du jeton est retournée dans le champ refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quand auth_mode du point de terminaison est aad_token

Le jeton est retourné dans le champ access_token.
L’heure d’expiration du jeton est retournée dans le champ expiry_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Pour plus d’informations, consultez Obtenir un jeton à l’aide de la bibliothèque de client d’identité Azure.

Vérifier le point de terminaison de ressource et l’ID client du jeton Microsoft Entra

Après avoir obtenu le jeton Entra, vous pouvez vérifier que le jeton est destiné au point de terminaison de ressource Azure ml.azure.com approprié et à l’ID client approprié en décodant le jeton via jwt.ms, qui retourne une réponse json avec les informations suivantes :

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Scorer les données en utilisant la clé ou le jeton

Vous pouvez utiliser az ml online-endpoint invoke pour les points de terminaison avec une clé, un jeton Azure Machine Learning ou un jeton Microsoft Entra. L’interface CLI gère automatiquement la clé ou le jeton. Vous n’avez donc pas besoin de le transmettre explicitement.

az ml online-endpoint invoke -n my-endpoint -r request.json

Lors de l’appel du point de terminaison en ligne pour le scoring, passez la clé, le jeton Azure Machine Learning ou le jeton Microsoft Entra dans l’en-tête d’autorisation. Le code suivant montre comment utiliser l’utilitaire curl pour appeler le point de terminaison en ligne avec une clé ou un jeton :

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

L’utilisation du kit SDK Azure Machine Learning avec ml_client.online_endpoints.invoke() est prise en charge pour la clé, le jeton Azure Machine Learning et le jeton Microsoft Entra. Outre l’utilisation du kit de développement logiciel (SDK) Azure Machine Learning, vous pouvez également utiliser un kit de développement logiciel (SDK) Python générique pour envoyer la requête POST à l’URI de scoring.

Quand vous appelez le point de terminaison en ligne pour le scoring, passez la clé ou le jeton dans l’en-tête d’autorisation. Le code suivant montre comment appeler le point de terminaison en ligne à l’aide d’une clé ou d’un jeton avec un kit de développement logiciel (SDK) Python générique. Dans le code, remplacez la variable api_key par votre clé ou votre jeton.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Journaliser et surveiller le trafic

Pour activer la journalisation du trafic dans les paramètres de diagnostic du point de terminaison, suivez les étapes décrites dans Comment activer/désactiver les journaux.

Si le paramètre de diagnostic est activé, vous pouvez vérifier la table AmlOnlineEndpointTrafficLogs pour afficher le mode d’authentification et l’identité utilisateur.

Partager via

Authentifier les clients pour les points de terminaison en ligne

Prérequis

Préparer une identité utilisateur

Attribuer des autorisations à l’identité

Utiliser un rôle intégré

(Facultatif) Créer un rôle personnalisé

Attribuez le rôle à l’identité

Obtenir le jeton Microsoft Entra pour les opérations de plan de contrôle

(Facultatif) Vérifier le point de terminaison de ressource et l’ID client pour le jeton Microsoft Entra

Créer un point de terminaison

Créer un déploiement

Obtenir l’URI de scoring pour le point de terminaison

Obtenir la clé ou le jeton pour les opérations de plan de données

Vérifier le point de terminaison de ressource et l’ID client du jeton Microsoft Entra

Scorer les données en utilisant la clé ou le jeton

Clé ou jeton Azure Machine Learning

Journaliser et surveiller le trafic

Commentaires

Ressources supplémentaires

Partager via

Authentifier les clients pour les points de terminaison en ligne

Prérequis

Préparer une identité utilisateur

Attribuer des autorisations à l’identité

Utiliser un rôle intégré

(Facultatif) Créer un rôle personnalisé

Attribuez le rôle à l’identité

Obtenir le jeton Microsoft Entra pour les opérations de plan de contrôle

(Facultatif) Vérifier le point de terminaison de ressource et l’ID client pour le jeton Microsoft Entra

Créer un point de terminaison

Créer un déploiement

Obtenir l’URI de scoring pour le point de terminaison

Obtenir la clé ou le jeton pour les opérations de plan de données

Vérifier le point de terminaison de ressource et l’ID client du jeton Microsoft Entra

Scorer les données en utilisant la clé ou le jeton

Journaliser et surveiller le trafic

Contenu connexe

Commentaires

Ressources supplémentaires