Autenticare client per gli endpoint online

SI APPLICA A:Estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)SDK Python azure-ai-ml v2 (corrente)

Questo articolo illustra come autenticare i client per gli endpoint online di Azure Machine Learning. È possibile configurare le autorizzazioni, creare un endpoint, recuperare token o chiavi e assegnare un punteggio ai dati usando una delle tre modalità di autenticazione: chiave, token di Azure Machine Learning (aml_token) o token Microsoft Entra (aad_token).

L'autenticazione degli endpoint online prevede due tipi di operazioni:

Un'operazione del piano di controllo controlla un endpoint e lo modifica. Queste operazioni includono creazione, lettura, aggiornamento ed eliminazione (CRUD) su endpoint online e distribuzioni online.
Un'operazione del piano dati usa i dati per interagire con un endpoint online senza modificarlo. Ad esempio, un'operazione del piano dati consiste nell'inviare una richiesta di assegnazione dei punteggi a un endpoint online e ottenere una risposta.

Scegliere una modalità di autenticazione

Gli endpoint online supportano tre modalità di autenticazione per le operazioni del piano dati. Scegliere la modalità più adatta ai requisiti di sicurezza e al tipo di endpoint.

	Chiave	Token di Azure Machine Learning (`aml_token`)	Token Microsoft Entra (`aad_token`)
Livello di sicurezza	Più basso: le chiavi statiche non scadono	Medio : breve durata, aggiornamento automatico	Massimo — basato sull'identità, con ambito determinato dal ruolo
Tipi di endpoint	Servizi Gestiti e Kubernetes	Servizi gestiti e Kubernetes	Solo gestito
RBAC richiesto per il punteggio	No	No	Sì (`score/action` ruolo)
Durata dei token	Nessuna scadenza (ruotare manualmente)	Breve durata con aggiornamento	Breve durata (per i criteri di Microsoft Entra)
Ideale per	Sviluppo e test	Pipeline automatizzate	Carichi di lavoro di produzione

Per i carichi di lavoro di produzione negli endpoint online gestiti, usare l'autenticazione token Microsoft Entra (aad_token) per la sicurezza più avanzata. Per gli endpoint di sviluppo o Kubernetes, l'autenticazione basata su chiave è l'opzione più semplice.

Importante

L'autenticazione del token Microsoft Entra (aad_token) è supportata solo per gli endpoint online gestiti. Per gli endpoint online Kubernetes, usare l'autenticazione con chiave o token di Azure Machine Learning (aml_token). Per altre informazioni, vedere Autenticazione e autorizzazione per gli endpoint online.

Prerequisiti

Un'area di lavoro di Azure Machine Learning. Per istruzioni sulla creazione di un'area di lavoro, vedere Creare l'area di lavoro.
Interfaccia della riga di comando di Azure e l'estensione ml o Azure Machine Learning Python SDK v2:
- Interfaccia della riga di comando di Azure
- Python SDK
Per installare l'interfaccia della riga di comando di Azure e l'estensioneml, vedere Installare e configurare l'interfaccia della riga di comando (v2).

Gli esempi in questo articolo presuppongono che si usi una shell Bash o una shell compatibile. Ad esempio, è possibile usare una shell in un sistema Linux o in un sottosistema Windows per Linux.
- Python 3.10 o versione successiva.
Per installare Python SDK v2, usare il comando seguente:
```
pip install azure-ai-ml azure-identity
```
Per aggiornare un'installazione esistente di SDK alla versione più recente, utilizzare il comando seguente:
```
pip install --upgrade azure-ai-ml azure-identity
```
Per altre informazioni, vedere Libreria client del pacchetto di Azure Machine Learning per Python.

Python SDK: azure-ai-ml e azure-identity pacchetti (pip install azure-ai-ml azure-identity)
Interfaccia della riga di comando di Azure: estensione ml (az extension add -n ml)
Identità utente in Microsoft Entra ID. Per informazioni sulla creazione di un'identità utente, vedere Configurare l'autenticazione. È necessario l'ID identità in un passaggio successivo.
Ruolo di controllo degli accessi in base al ruolo necessario per le operazioni del piano di controllo e del piano dati: assegnare uno dei ruoli seguenti all'identità utente nell'ambito dell'area di lavoro:
- Data Scientist di AzureML (predefinito): include le autorizzazioni per le operazioni CRUD sugli endpoint e l'assegnazione dei punteggi. Vedere Ruolo data scientist di AzureML.
- Proprietario o Collaboratore : accesso completo per gestire gli endpoint.
- Ruolo personalizzato con Microsoft.MachineLearningServices/workspaces/onlineEndpoints/* azioni.
(Facoltativo) Lettore segreti connessione dell'area di lavoro di Azure Machine Learning : obbligatorio solo se è necessario accedere ai segreti dalle connessioni all'area di lavoro.

Verificare la configurazione

Esegui questo snippet per verificare che le credenziali e le autorizzazioni RBAC (controllo degli accessi basato sui ruoli) siano configurate correttamente:

az login
az ml online-endpoint list --resource-group <RESOURCE_GROUP> --workspace-name <WORKSPACE_NAME>

Output previsto: matrice JSON di endpoint (vuota [] se non esistono ancora endpoint).

Riferimento: az ml online-endpoint list

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# List existing endpoints to verify access
endpoints = ml_client.online_endpoints.list()
print("Existing endpoints:", [ep.name for ep in endpoints])

Output previsto: elenco di nomi di endpoint (elenco [] vuoto se non esistono ancora endpoint).

Riferimento: MLClient, DefaultAzureCredential

# First, get a token
export CONTROL_PLANE_TOKEN=$(az account get-access-token \
    --resource https://management.azure.com \
    --query accessToken -o tsv)

# List endpoints
curl -s -X GET \
    "https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.MachineLearningServices/workspaces/<WORKSPACE_NAME>/onlineEndpoints?api-version=2024-04-01" \
    -H "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
    -H "Content-Type: application/json"

Output previsto: risposta JSON con un array value contenente endpoint.

Assegnare autorizzazioni all'identità

Se hai già assegnato il ruolo RBAC richiesto (come indicato in Prerequisiti), procedi a Crea un endpoint. Questa sezione fornisce informazioni dettagliate sulla creazione di ruoli personalizzati, se necessario.

Visualizzare i dettagli del ruolo predefiniti

Il AzureML Data Scientistruolo predefinito include queste azioni di controllo degli accessi in base al ruolo del piano di controllo:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

E questa azione di controllo degli accessi in base al ruolo del piano dati:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Il Azure Machine Learning Workspace Connection Secrets Reader ruolo predefinito include:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

(Facoltativo) Creare un ruolo personalizzato

Ignorare questo passaggio se si usano ruoli predefiniti o altri ruoli personalizzati predefiniti.

Definire l'ambito e le azioni per i ruoli personalizzati creando le relative definizioni JSON. Ad esempio, la definizione di ruolo seguente ,custom-role-for-control-plane.json, consente all'utente di eseguire operazioni CRUD su un endpoint online in un'area di lavoro specificata.

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

La definizione di ruolo seguente ,custom-role-for-scoring.json, consente all'utente di inviare richieste di assegnazione dei punteggi a un endpoint online in un'area di lavoro specificata.

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Usare le definizioni JSON per creare ruoli personalizzati:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionID>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionID>
```
Note

Per creare ruoli personalizzati è necessario uno di questi tre ruoli:
- Proprietario
- Amministratore dell'accesso utente
- Un ruolo personalizzato con Microsoft.Authorization/roleDefinitions/write autorizzazione (per creare/aggiornare/eliminare ruoli personalizzati) e Microsoft.Authorization/roleDefinitions/read l'autorizzazione (per visualizzare i ruoli personalizzati).
Per altre informazioni sulla creazione di ruoli personalizzati, vedere Ruoli personalizzati di Azure.

Verificare la definizione del ruolo:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Assegnare il ruolo all'identità

Se si usa il ruolo predefinito AzureML Data Scientist, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityID> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Facoltativamente, se si usa il ruolo predefinito Azure Machine Learning Workspace Connection Secrets Reader, usare il codice seguente per assegnarlo all'identità utente.

az role assignment create --assignee <identityID> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Se si usa un ruolo personalizzato, usare il codice seguente per assegnarlo all'identità utente.
```
az role assignment create --assignee <identityID> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityID> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Note

Per assegnare ruoli personalizzati all'identità utente, è necessario uno dei tre ruoli seguenti:
- Proprietario
- Amministratore dell'accesso utente
- Ruolo personalizzato che consente l'autorizzazione Microsoft.Authorization/roleAssignments/write (per assegnare ruoli personalizzati) e Microsoft.Authorization/roleAssignments/read (per visualizzare le assegnazioni di ruolo).
Per altre informazioni sui ruoli di Azure e sulle relative autorizzazioni, vedere Ruoli di Azure e Assegnare ruoli di Azure tramite il portale di Azure.

Confermare l'assegnazione del ruolo:

az role assignment list --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Ottenere un token del control plane

Completare questo passaggio se si prevede di eseguire operazioni del piano di controllo usando l'API REST, che usa direttamente il token.

Se si prevede di usare altri metodi, ad esempio l'interfaccia della riga di comando di Azure con l'estensione ml v2, Python SDK v2 o Azure Machine Learning Studio, non è necessario ottenere manualmente il token Microsoft Entra. L'identità utente viene autenticata durante l'accesso e il token viene recuperato e passato automaticamente.

È possibile recuperare dall'endpoint della risorsa di Azure il token Microsoft Entra per le operazioni del piano di controllo: https://management.azure.com.

Accedere ad Azure.
```
az login
```
Se si vuole usare un'identità specifica, usare il codice seguente per accedere con l'identità:
```
az login --identity --username <identityID>
```

Usare questo contesto per ottenere il token:

export CONTROL_PLANE_TOKEN=$(az account get-access-token \
    --resource https://management.azure.com \
    --query accessToken -o tsv)

Riferimento: az login, az account get-access-token

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check whether given credential can get token.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential doesn't work.
    # This will open a browser page. 
    credential = InteractiveBrowserCredential()

Riferimento: DefaultAzureCredential, InteractiveBrowserCredential

Per altre informazioni, vedere Ottenere un token usando la libreria client di Identità di Azure.

Da una macchina virtuale di Azure

È possibile ottenere il token in base all'identità gestita per una macchina virtuale di Azure (quando la macchina virtuale abilita un'identità gestita).

Per ottenere il token di Microsoft Entra (aad_token) per l'operazione del piano di controllo nella macchina virtuale di Azure, inviare la richiesta all'endpoint del servizio metadati dell'istanza di Azure (IMDS) per l'endpoint della risorsa di Azure management.azure.com:
```
export CONTROL_PLANE_TOKEN=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' \
    -H Metadata:true | jq -r '.access_token')
```
Suggerimento

L'utilità jq viene usata per estrarre il token dall'output JSON. Tuttavia, è possibile usare qualsiasi strumento adatto a questo scopo.

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

È possibile ottenere il token se si usa l'istanza di ambiente di calcolo dell'area di lavoro di Azure Machine Learning. Per ottenere il token, è necessario passare l'ID client e il segreto dell'identità gestita dell'istanza di calcolo all'endpoint identità del sistema gestito configurato localmente nell'istanza di calcolo. È possibile ottenere l'endpoint MSI, l'ID client e il segreto rispettivamente dalle variabili di ambiente MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID e MSI_SECRET. Queste variabili vengono impostate automaticamente se si abilita l'identità gestita per l'istanza di ambiente di calcolo.

Ottenere il token per l'endpoint della risorsa di Azure management.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export CONTROL_PLANE_TOKEN=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.access_token')

Verificare il token del piano di controllo (facoltativo)

Dopo aver recuperato il token Microsoft Entra, è possibile verificare che il token sia per l'endpoint di risorsa di Azure corretto (management.azure.com) e l'ID client corretto decodificando il token tramite jwt.ms.

Suggerimento

Il sito jwt.ms è uno strumento di proprietà di Microsoft che decodifica completamente i token nel browser. Nessun dato viene inviato a un server. Non incollare mai i token in strumenti di decodifica non attendibili.

Il token decodificato restituisce una risposta JSON contenente le informazioni seguenti:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Creare un endpoint

L'esempio seguente crea l'endpoint con un'identità assegnata dal sistema (SAI) come identità dell'endpoint. SAI è il tipo di identità predefinito per gli endpoint e alcuni ruoli di base vengono assegnati automaticamente. Per altre informazioni, vedere Assegnazione automatica dei ruoli per l'identità dell'endpoint.

L'interfaccia della riga di comando non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, il comando dell'interfaccia a riga di comando az login autentica l'utente durante l'accesso e il token viene recuperato e passato automaticamente.

Creare un file YAML di definizione dell'endpoint denominato endpoint.yml:
```
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token
```
È possibile impostare auth_mode su key per l'autenticazione della chiave o aml_token per l'autenticazione del token di Azure Machine Learning. Questo esempio usa aad_token per l'autenticazione del token Microsoft Entra.

Note

La aad_token modalità di autenticazione è supportata solo per gli endpoint online gestiti. Per gli endpoint online Kubernetes, impostare auth_mode su key o aml_token.

Creare l'endpoint:

az ml online-endpoint create -f endpoint.yml

Controllare lo stato dell'endpoint:

az ml online-endpoint show -n my-endpoint

Se si vuole eseguire l'override del valore di auth_mode (ad esempio sostituendolo con aad_token) durante la creazione di un endpoint, eseguire il codice seguente:
```
az ml online-endpoint create -n my-endpoint --auth-mode aad_token
```
Se si vuole aggiornare l'endpoint esistente e specificare auth_mode (ad esempio, come aad_token), eseguire il codice seguente:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

Riferimento: az ml online-endpoint create, az ml online-endpoint show, az ml online-endpoint update

Python SDK di comando non richiede di fornire esplicitamente il token del piano di controllo. Al contrario, SDK MLClient esegue l'autenticazione durante l'accesso e il token viene recuperato e passato automaticamente.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

È possibile sostituire auth_mode con per key l'autenticazione della chiave o con aml_token per l'autenticazione del token di Azure Machine Learning. L'esempio usa aad_token per l'autenticazione del token Microsoft Entra.

Note

La aad_token modalità di autenticazione è supportata solo per gli endpoint online gestiti. Per gli endpoint online di Kubernetes, impostare auth_mode su key o aml_token.

Riferimento: MLClient, ManagedOnlineEndpoint, begin_create_or_update

La chiamata all'API REST richiede di fornire esplicitamente il token del piano di controllo. Usare il token del piano di controllo recuperato in precedenza.

Creare o aggiornare un endpoint:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2024-04-01

response=$(curl --location --request PUT \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
    --data-raw '{
        "identity": {
           "type": "systemAssigned"
        },
        "properties": {
            "authMode": "AADToken"
        },
        "location": "'"$LOCATION"'"
    }')

echo $response

È possibile sostituire authMode con per key l'autenticazione della chiave o con AMLToken per l'autenticazione del token di Azure Machine Learning. In questo esempio si usa AADToken per l'autenticazione del token Microsoft Entra.

Note

La AADToken modalità di autenticazione è supportata solo per gli endpoint online gestiti. Per gli endpoint online di Kubernetes, impostare authMode su key o AMLToken.

Ottenere lo stato corrente dell'endpoint online:

response=$(curl --location --request GET \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

echo $response

Riferimento: Endpoint online - Creare o aggiornare, Endpoint online - Ottenere

Creare una distribuzione

Per creare una distribuzione, vedere Distribuire un modello di Machine Learning con un endpoint online o Usare REST per distribuire un modello come endpoint online. Non esiste alcuna differenza nel modo in cui si creano distribuzioni per diverse modalità di autenticazione.

Il codice seguente è un esempio di come creare una distribuzione. Per altre informazioni sulla distribuzione di endpoint online, vedere Distribuire un modello di Machine Learning con un endpoint online (tramite l'interfaccia della riga di comando).

Creare un file YAML di definizione della distribuzione denominato blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu22.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Creare la distribuzione usando il file YAML. Per questo esempio, impostare tutto il traffico sulla nuova distribuzione.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Riferimento: az ml online-deployment create

Ottenere l'URI di assegnazione dei punteggi

Se si usa az ml online-endpoint invoke per chiamare l'endpoint, l'interfaccia della riga di comando risolve automaticamente l'URI di assegnazione dei punteggi, quindi non è necessario recuperarlo manualmente.

Tuttavia, se è necessario l'URI di assegnazione dei punteggi per l'uso con altri strumenti ,ad esempio l'API REST o i client HTTP personalizzati, è possibile recuperarlo con il comando seguente:

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

Riferimento: az ml online-endpoint show

Se si prevede di usare Python SDK per richiamare l'endpoint, non è necessario ottenere l'URI di assegnazione dei punteggi in modo esplicito perché l'SDK lo fornisce automaticamente. Tuttavia, è comunque possibile usare l'SDK per ottenere l'URI di assegnazione dei punteggi in modo da poterlo usare con altri canali, ad esempio l'API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Riferimento: OnlineEndpointOperations.get

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2024-04-01

response=$(curl --location --request GET \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

scoringUri=$(echo $response | jq -r '.properties.scoringUri')

echo $response
echo $scoringUri

Ottenere una chiave o un token per il piano dati

È possibile usare una chiave o un token per le operazioni del piano dati, anche se il processo di recupero della chiave o del token è un'operazione del piano di controllo. In altre parole, si usa un token del piano di controllo per ottenere la chiave o il token usato in un secondo momento per le operazioni del piano dati.

La durata dei token varia in base alla modalità di autenticazione:

Chiave: le chiavi non scadono ma devono essere ruotate regolarmente per la sicurezza. Usare l'azione regenerateKeys per ruotare le chiavi.
Token di Azure Machine Learning (aml_token): token di breve durata che includono un refreshAfterTimeUtc campo. Richiedere un nuovo token dopo questa volta per evitare la scadenza.
Token Microsoft Entra (aad_token): segue i criteri di durata del token ID di Microsoft Entra (in genere da 60 a 90 minuti). Aggiornare il token prima di expiryTimeUtc.

Per ottenere la chiave o il token di Azure Machine Learning, l'identità utente che la richiede deve avere il ruolo corretto assegnato, come descritto in Autorizzazione per le operazioni del piano di controllo. L'identità utente non richiede ruoli aggiuntivi per ottenere il token Microsoft Entra.

Se si prevede di usare l'interfaccia della riga di comando per richiamare l'endpoint, non è necessario ottenere le chiavi o il token per le operazioni del piano dati in modo esplicito perché l'interfaccia della riga di comando lo fornisce automaticamente. Tuttavia, è comunque possibile usare l'interfaccia della riga di comando per ottenere le chiavi o il token per le operazioni del piano dati in modo che sia possibile usarlo con altri canali, ad esempio l'API REST.

Per ottenere le chiavi o il token per le operazioni del piano dati, usare il comando az ml online-endpoint get-credentials. Questo comando restituisce l'output JSON che contiene chiavi, token e/o informazioni aggiuntive.

Suggerimento

Nel comando seguente il --query parametro viene usato per estrarre informazioni specifiche dall'output JSON. Tuttavia, è possibile usare qualsiasi strumento adatto a tale scopo.

Quando l'oggetto auth_mode dell'endpoint è key

Le chiavi vengono restituite nei campi primaryKey e secondaryKey.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quando l'oggetto auth_mode dell'endpoint è aml_token

Il token viene restituito nel accessToken campo .
L'ora di scadenza del expiryTimeUtc token viene restituita nel campo .

L'ora di aggiornamento del token viene restituita nel campo refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quando l'oggetto auth_mode dell'endpoint è aad_token

Il token viene restituito nel accessToken campo .

L'ora di scadenza del expiryTimeUtc token viene restituita nel campo .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Riferimento: az ml online-endpoint get-credentials

Se si usa il metodo dell'SDK invoke() per chiamare l'endpoint, l'SDK gestisce automaticamente l'autenticazione, quindi non è necessario recuperare manualmente chiavi o token.

Tuttavia, se è necessario recuperare chiavi o token da usare con altri strumenti ,ad esempio l'API REST o i client HTTP personalizzati, è possibile usare il metodo get_keys nella OnlineEndpointOperations classe . Questo metodo restituisce un oggetto che include chiavi e token.

Quando l'oggetto auth_mode dell'endpoint è key

Le chiavi vengono restituite nei campi primary_key e secondary_key.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quando l'oggetto auth_mode dell'endpoint è aml_token

Il token viene restituito nel access_token campo .
L'ora di scadenza del expiry_time_utc token viene restituita nel campo .

L'ora di aggiornamento del token viene restituita nel campo refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quando l'oggetto auth_mode dell'endpoint è aad_token

Il token viene restituito nel access_token campo .

L'ora di scadenza del expiry_time_utc token viene restituita nel campo .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Riferimento: OnlineEndpointOperations.get_keys

Per altre informazioni, vedere Ottenere un token usando la libreria client di identità di Azure.

Per ottenere le chiavi o il token per le operazioni del piano dati, scegliere l'API corretta, a seconda del valore auth_mode dell'endpoint. L'API restituisce l'output JSON che include le chiavi e il token.

Suggerimento

L'utilità jq viene usata per illustrare come estrarre informazioni specifiche dall'output JSON. Tuttavia, è possibile usare qualsiasi strumento adatto a tale scopo.

Quando l'oggetto auth_mode dell'endpoint è key

Usare l'API listkeys.

Le chiavi vengono restituite nei campi primaryKey e secondaryKey.

response=$(curl -H "Content-Length: 0" --location --request POST \
     "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
     --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quando l'oggetto auth_mode dell'endpoint è aml_token

Usare l'API token.
Il token viene restituito nel accessToken campo .
L'ora di scadenza del expiryTimeUtc token viene restituita nel campo .

L'ora di aggiornamento del token viene restituita nel campo refreshAfterTimeUtc.

response=$(curl -H "Content-Length: 0" --location --request POST \
     "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
     --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quando l'oggetto auth_mode dell'endpoint è aad_token

Usare l'endpoint IMDS o l'endpoint MSI, a seconda della posizione in cui si richiede il token.
Il token viene restituito nel accessToken campo .
L'ora di scadenza del expiryTimeUtc token viene restituita nel campo .

Da una macchina virtuale di Azure

È possibile ottenere il token in base alle identità gestite per una macchina virtuale di Azure (quando la macchina virtuale abilita un'identità gestita).

Per ottenere il token Microsoft Entra (aad_token) per l'operazione del piano dati nella macchina virtuale di Azure con identità gestita, inviare la richiesta all'endpoint IMDS per l'endpoint ml.azure.comdella risorsa di Azure:

export DATA_PLANE_TOKEN=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
    -H Metadata:true | jq -r '.access_token')
export EXPIRY_TIME_UTC=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
    -H Metadata:true | jq -r '.expiryTimeUtc')

Per altre informazioni sul recupero di token in base alle identità gestite, vedere Ottenere un token tramite HTTP.

Da un'istanza di ambiente di calcolo

È possibile ottenere il token se si usa l'istanza di ambiente di calcolo dell'area di lavoro di Azure Machine Learning. Per ottenere il token, è necessario passare l'ID client e il segreto dell'identità gestita dell'istanza di calcolo all'endpoint MSI configurato localmente nell'istanza di calcolo. È possibile ottenere l'endpoint MSI, l'ID client e il segreto rispettivamente dalle variabili di ambiente MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID e MSI_SECRET. Queste variabili vengono impostate automaticamente se si abilita l'identità gestita per l'istanza di ambiente di calcolo.

Ottenere il token per l'endpoint della risorsa di Azure ml.azure.com dall'istanza di ambiente di calcolo dell'area di lavoro:

export DATA_PLANE_TOKEN=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.access_token')
export EXPIRY_TIME_UTC=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.expiryTimeUtc')

Importante

A differenza del token Microsoft Entra per le operazioni del piano di controllo, recuperato da management.azure.com, il token Microsoft Entra per le operazioni del piano dati viene recuperato dall'endpoint della risorsa di Azure ml.azure.com.

Verificare il token del piano dati (facoltativo)

Dopo aver ottenuto il token Entra, è possibile verificare che il token sia per l'endpoint di risorsa di Azure corretto, ml.azure.come l'ID client corretto decodificando il token tramite jwt.ms, che restituisce una risposta JSON con le informazioni seguenti:

Suggerimento

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Assegnare un punteggio ai dati

È possibile usare az ml online-endpoint invoke per gli endpoint con una chiave, un token di Azure Machine Learning o un token Microsoft Entra. L'interfaccia della riga di comando fornisce automaticamente la chiave o il token, quindi non è necessario passarlo in modo esplicito.

az ml online-endpoint invoke -n my-endpoint -r request.json

Riferimento: az ml online-endpoint invoke

Azure Machine Learning SDK ml_client.online_endpoints.invoke() è supportato per chiavi, token di Azure Machine Learning e token di Microsoft Entra. È anche possibile usare un SDK Python generico per inviare la richiesta POST all'URI di assegnazione dei punteggi.

Quando chiami l'endpoint online per la valutazione, passa la chiave o il token nel header di autorizzazione. Il codice seguente illustra come chiamare l'endpoint online usando una chiave o un token. Nel codice sostituire la variabile api_key con la chiave o il token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - useful for debugging
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

In alternativa, usare il metodo dell'SDK invoke() :

ml_client.online_endpoints.invoke(
    endpoint_name="my-endpoint",
    request_file="./sample-request.json"
)

Riferimento: OnlineEndpointOperations.invoke

Quando si richiama l'endpoint online per l'assegnazione dei punteggi, passare la chiave, il token di Azure Machine Learning o il token di Microsoft Entra nell'intestazione dell'autorizzazione. L'esempio seguente usa l'utilità cURL per chiamare l'endpoint online:

curl --request POST "$scoringUri" \
    --header "Authorization: Bearer $DATA_PLANE_TOKEN" \
    --header 'Content-Type: application/json' \
    --data @endpoints/online/model-1/sample-request.json

Monitorare il traffico degli endpoint

Per abilitare la registrazione del traffico nelle impostazioni di diagnostica per l'endpoint, completare i passaggi descritti in Attivare i log.

Se l'impostazione di diagnostica è abilitata, è possibile visualizzare la tabella per visualizzare la AmlOnlineEndpointTrafficLogs modalità di autenticazione e l'identità utente.

Risolvere gli errori di autenticazione

Nella tabella seguente sono elencati gli errori di autenticazione comuni e le relative risoluzioni.

Error	Causa possibile	Resolution
401 - Non autorizzato	Token del pubblico mancante, scaduto o errato	Verificare che il gruppo di destinatari del token corrisponda al tipo di endpoint: `management.azure.com` per il piano di controllo, `ml.azure.com` per il piano dati. Aggiornare i token scaduti.
403 Vietato	L'identità utente non dispone del ruolo RBAC richiesto	Assegnare `AzureML Data Scientist` o un ruolo personalizzato con l'autorizzazione `score/action` nell'ambito dell'endpoint. Vedere Assegnare autorizzazioni all'identità.
`aad_token` non accettato	Utilizzare `aad_token` su un endpoint Kubernetes	Passa a `key` o `aml_token`. L'autenticazione del token Microsoft Entra è supportata solo per gli endpoint online gestiti.
`AADSTS700016` o errore di Entra simile	Risorsa o gruppo di destinatari errato nella richiesta di token	Verificare che il parametro della risorsa corrisponda al tipo di operazione: `https://management.azure.com` per il piano di controllo, `https://ml.azure.com` per il piano dati.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-24

Condividi tramite

Chiave o token di Azure Machine Learning

Condividi tramite

Autenticare client per gli endpoint online

Scegliere una modalità di autenticazione

Prerequisiti

Verificare la configurazione

Assegnare autorizzazioni all'identità

(Facoltativo) Creare un ruolo personalizzato

Assegnare il ruolo all'identità

Ottenere un token del control plane

Verificare il token del piano di controllo (facoltativo)

Creare un endpoint

Creare una distribuzione

Ottenere l'URI di assegnazione dei punteggi

Ottenere una chiave o un token per il piano dati

Verificare il token del piano dati (facoltativo)

Assegnare un punteggio ai dati

Monitorare il traffico degli endpoint

Risolvere gli errori di autenticazione

Contenuti correlati

Commenti e suggerimenti

Risorse aggiuntive