Použití Azure OpenAI bez klíčů

Žádosti aplikací na většinu služeb Azure musí být ověřeny pomocí klíčů nebo připojení bez hesla. Vývojáři musí být usilovní, aby klíče nikdy nezpřístupnili v nezabezpečeném umístění. Každý, kdo získá přístup ke klíči, se může ověřit ve službě. Ověřování bez klíčů nabízí lepší výhody správy a zabezpečení u klíče účtu, protože neexistuje žádný klíč (nebo připojovací řetězec) pro ukládání.

Připojení bez klíčů jsou povolená pomocí následujících kroků:

• Nakonfigurujte ověřování.
• Podle potřeby nastavte proměnné prostředí.
• K vytvoření objektu klienta Azure OpenAI použijte typ přihlašovacích údajů knihovny Azure Identity Library.

Ověřování

K používání klientských knihoven Azure se vyžaduje ověřování pro Microsoft Entra ID.

Ověřování se liší v závislosti na prostředí, ve kterém je aplikace spuštěná:

• Místní vývoj
• Azure

Bezklíčový stavební blok Azure OpenAI

Pomocí následujícího odkazu můžete prozkoumat šablonu AI stavebního bloku Azure OpenAI bez klíčů. Tato šablona zřídí účet Azure OpenAI s oprávněním role RBAC uživatelského účtu pro ověřování bez klíčů (Microsoft Entra) pro přístup k sadm SDK rozhraní OpenAI API.

Poznámka:

Tento článek používá jednu nebo více šablon aplikací AI jako základ pro příklady a pokyny v tomto článku. Šablony aplikací AI poskytují dobře udržované a snadno použitelné referenční implementace, které pomáhají zajistit vysoce kvalitní výchozí bod pro vaše aplikace AI.

.NET

Prozkoumejte šablonu AI stavebního bloku bez klíčů Azure OpenAI end pro .NET.

Přejít

Prozkoumejte šablonu Azure OpenAI keyless Authentication Building Block AI na konci go.

Java

Prozkoumejte kompletní šablonu AI stavebního bloku ověřování Azure OpenAI bez klíčů.

JavaScript

Prozkoumejte šablonu AI stavebního bloku ověřování Bez klíčů Azure OpenAI na konci JavaScriptu.

Python

Prozkoumejte šablonu AI koncového bloku ověřování Azure OpenAI bez klíčů v Pythonu.

Ověřování pro místní vývoj

.NET

Vyberte nástroj pro ověřování během místního vývoje.

Přejít

Vyberte nástroj pro ověřování během místního vývoje.

Java

Vyberte nástroj pro ověřování během místního vývoje.

JavaScript

Vyberte nástroj pro ověřování během místního vývoje.

Python

Vyberte nástroj pro ověřování během místního vývoje.

Ověřování pro prostředí hostovaná v Azure

.NET

Přečtěte si, jak spravovat defaultAzureCredential pro aplikace nasazené v Azure.

Přejít

Přečtěte si, jak spravovat defaultAzureCredential pro aplikace nasazené v Azure.

Java

Přečtěte si, jak spravovat defaultAzureCredential pro aplikace nasazené v Azure.

JavaScript

Přečtěte si, jak spravovat defaultAzureCredential pro aplikace nasazené v Azure.

Python

Přečtěte si, jak spravovat defaultAzureCredential pro aplikace nasazené v Azure.

Konfigurace rolí pro autorizaci

1. Najděte roli pro vaše využití Azure OpenAI. V závislosti na tom, jak chcete tuto roli nastavit, potřebujete název nebo ID.

   Název role	Role ID
   Pro Azure CLI nebo Azure PowerShell můžete použít název role.	Pro Bicep potřebujete ID role.

2. Pomocí následující tabulky vyberte roli a ID.

   Případ použití	Název role	Role ID
   Asistenti	Cognitive Services OpenAI Contributor	a001fd3d-188f-4b5d-821b-7da978bf7442
   Dokončení chatu	Cognitive Services OpenAI User	5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

3. Vyberte typ identity, který chcete použít.

   • Osobní identita: Toto je vaše osobní identita svázaná s vaším přihlášením k Azure.
   • Spravovaná identita: Jedná se o identitu spravovanou a vytvořenou pro použití v Azure. Pro spravovanou identitu vytvořte spravovanou identitu přiřazenou uživatelem. Při vytváření spravované identity potřebujete , Client IDoznačované také jako app ID.

4. Pokud chcete najít svou osobní identitu, použijte jeden z následujících příkazů. ID použijte jako <identity-id> v dalším kroku.

   Azure CLI

   Pokud chcete získat vlastní ID identity pro místní vývoj, použijte následující příkaz. Před použitím tohoto příkazu se musíte přihlásit az login .

   az ad signed-in-user show \
       --query id -o tsv
   

   Azure PowerShell

   Pokud chcete získat vlastní ID identity pro místní vývoj, použijte následující příkaz. Před použitím tohoto příkazu se musíte přihlásit Connect-AzAccount .

   (Get-AzContext).Account.ExtendedProperties.HomeAccountId.Split('.')[0]
   

   Bicep

   Při použití Bicep nasazeného pomocí Azure Developer CLI je identita osoby nebo služby, která spouští nasazení, nastavená principalId na parametr.

   main.parameters.json Následující proměnná je nastavená na identitu, která proces spouští.

   "principalId": {
       "value": "${AZURE_PRINCIPAL_ID}"
     },
   

   Pro použití v Azure zadejte spravovanou identitu přiřazenou uživatelem jako součást procesu nasazení Bicep. Vytvořte spravovanou identitu přiřazenou uživatelem odděleně od identity, která spouští proces.

   resource userAssignedManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2018-11-30' = {
     name: managedIdentityName
     location: location
   }
   

   Azure Portal

   Použijte postup, který najdete tady: Na webu Azure Portal vyhledejte ID objektu uživatele.

5. Přiřaďte roli řízení přístupu na základě role (RBAC) k identitě skupiny prostředků.

   Azure CLI

   Pokud chcete prostředku udělit oprávnění k identitě prostřednictvím RBAC, přiřaďte roli pomocí příkazu Azure CLI az role assignment create.

   az role assignment create \
       --role "Cognitive Services OpenAI User" \
       --assignee "<identity-id>" \
       --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

   Azure PowerShell

   Pokud chcete udělit oprávnění aplikace k prostředku Azure OpenAI prostřednictvím RBAC, přiřaďte roli pomocí rutiny Azure PowerShellu New-AzRoleAssignment.

   New-AzRoleAssignment -ObjectId "<identity-id>" -RoleDefinitionName "Cognitive Services OpenAI User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

   Bicep

   Pomocí následující šablony Azure OpenAI Bicep vytvořte prostředek a nastavte ověřování pro danou identityIdšablonu . Bicep vyžaduje ID role. Zobrazený name v tomto fragmentu kódu Bicep není role Azure, je specifická pro nasazení Bicep.

   // main.bicep
   param environment string = 'production'
   
   // USER ROLES
   module openAiRoleUser 'core/security/role.bicep' = {
       scope: openAiResourceGroup
       name: 'openai-role-user'
       params: {
           principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity 
           principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
           roleDefinitionId: '5e0bd9bd-7b93-4f28-af87-19fc36ad61bd'
       }
   }
   

   K vytvoření jakékoli role se volá main.bicep následující obecný bicep.

   // core/security/role.bicep
   metadata description = 'Creates a role assignment for an identity.'
   param principalId string // passed in from main.bicep identityId
   
   @allowed([
       'Device'
       'ForeignGroup'
       'Group'
       'ServicePrincipal'
       'User'
   ])
   param principalType string = 'ServicePrincipal'
   param roleDefinitionId string
   
   resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
       name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
       properties: {
           principalId: principalId
           principalType: principalType
           roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
       }
   }
   

   Azure Portal

   Použijte postup, který najdete na otevření stránky Přidat přiřazení role na webu Azure Portal.

   Tam, kde je to možné, nahraďte <identity-id><subscription-id>a <resource-group-name> skutečnými hodnotami.

Konfigurace proměnných prostředí

Pokud se chcete připojit k Azure OpenAI, váš kód potřebuje znát koncový bod prostředku a může potřebovat další proměnné prostředí.

1. Vytvořte proměnnou prostředí pro koncový bod Azure OpenAI.

   • AZURE_OPENAI_ENDPOINT: Tato adresa URL je přístupovým bodem vašeho prostředku Azure OpenAI.

2. Vytvořte proměnné prostředí na základě umístění, ve kterém vaše aplikace běží:

   Umístění	Identita	Popis
   Místní	Osobní	Pro místní moduly runtime s vaší osobní identitou se přihlaste a vytvořte přihlašovací údaje pomocí nástroje.
   Azure Cloud	Spravovaná identita přiřazená uživatelem	Vytvořte proměnnou AZURE_CLIENT_ID prostředí obsahující ID klienta spravované identity přiřazené uživatelem, která se má ověřit jako.

Instalace klientské knihovny Azure Identity

Pomocí následujícího odkazu nainstalujte klientskou knihovnu Azure Identity.

.NET

Nainstalujte klientskou knihovnu .NET Azure Identity:

dotnet add package Azure.Identity

Přejít

Nainstalujte klientskou knihovnu Go Azure Identity:

go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity

Java

Nainstalujte klientskou knihovnu Azure Identity Java s následujícím souborem POM:

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

JavaScript

Nainstalujte klientskou knihovnu Azure Identity v JavaScriptu:

npm install --save @azure/identity

Python

Nainstalujte klientskou knihovnu Azure Identity v Pythonu:

pip install azure-identity

Použití DefaultAzureCredential

Knihovna DefaultAzureCredential identit Azure umožňuje zákazníkovi spustit stejný kód v místním vývojovém prostředí a v cloudu Azure.

.NET

Další informace o DefaultAzureCredential .NET najdete v klientské knihovně Azure Identity pro .NET.

using Azure;
using Azure.AI.OpenAI;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_OPENAI_ENDPOINT");

OpenAIClient client = new(new Uri(endpoint), new DefaultAzureCredential());

Přejít

Další informace o jazyku DefaultAzureCredential Go najdete v klientské knihovně azure Identity pro Go.

import (
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/ai/azopenai"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

func main() {
	dac, err := azidentity.NewDefaultAzureCredential(nil)

	if err != nil {
		log.Fatalf("ERROR: %s", err)
	}

	client, err := azopenai.NewClient(os.Getenv("AZURE_OPENAI_ENDPOINT"), dac, nil)

	if err != nil {
		log.Fatalf("ERROR: %s", err)
	}

	_ = client
}

Java

Další informace o DefaultAzureCredential javě najdete v klientské knihovně Azure Identity pro Javu.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.ai.openai.OpenAIClient;
import com.azure.ai.openai.OpenAIClientBuilder;

String endpoint = System.getenv("AZURE_OPENAI_ENDPOINT");

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();
OpenAIClient client = new OpenAIClientBuilder()
    .credential(credential)
    .endpoint(endpoint)
    .buildClient();

JavaScript

Další informace o DefaultAzureCredential JavaScriptu najdete v klientské knihovně Azure Identity pro JavaScript.

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { AzureOpenAI } from "openai";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const azureADTokenProvider = getBearerTokenProvider(credential, scope);

const endpoint = process.env["AZURE_OPENAI_ENDPOINT"] || "<endpoint>";
const deployment = "<your Azure OpenAI deployment name>";
const apiVersion = "2024-05-01-preview";
const options = { azureADTokenProvider, deployment, apiVersion, endpoint }

const client = new AzureOpenAI(options);

Python

Další informace o DefaultAzureCredential Pythonu najdete v klientské knihovně azure Identity pro Python.

import openai
from azure.identity import DefaultAzureCredential, get_bearer_token_provider

token_provider = get_bearer_token_provider(DefaultAzureCredential(), "https://cognitiveservices.azure.com/.default")

openai_client = openai.AzureOpenAI(
    api_version=os.getenv("AZURE_OPENAI_VERSION"),
    azure_endpoint=os.getenv("AZURE_OPENAI_ENDPOINT"),
    azure_ad_token_provider=token_provider
)

Zdroje informací

• Příručka pro vývojáře bez hesel