Sdílet prostřednictvím

authentication Modul

  • Reference

Obsahuje funkce pro správu různých typů ověřování ve službě Azure Machine Learning.

Typy podporovaného ověřování:

  • Interaktivní přihlášení – výchozí režim při použití sady Azure Machine Learning SDK. Používá interaktivní dialog.
  • Azure CLI – pro použití s balíčkem azure-cli .
  • Instanční objekt – pro použití s automatizovanými pracovními postupy strojového učení.
  • MSI – pro použití s prostředky s podporou identity spravované služby, například s virtuálním počítačem Azure.
  • Token Azure ML – slouží k získání tokenů Azure ML pouze pro odeslaná spuštění.

Další informace o těchto mechanismech ověřování najdete v tématu https://aka.ms/aml-notebook-auth.

Třídy

AbstractAuthentication

Abstraktní nadřazená třída pro všechny třídy ověřování ve službě Azure Machine Learning

Odvozené třídy poskytují různé způsoby ověřování a získání tokenu na základě jejich cílového případu použití. Příklady ověřování najdete v tématu https://aka.ms/aml-notebook-auth.

Class AbstractAuthentication – konstruktor.
AccessToken

Vytvoření nové instance AccessToken(token, expires_on)
ArmTokenAuthentication

Používá se interně k získání přístupových tokenů ARM pomocí ověřování identity spravované služby nebo objektu instančního objektu.

V případě automatizovaných pracovních postupů, ve kterých je potřeba spravované řízení přístupu, použijte ServicePrincipalAuthentication místo toho.

Třída ArmTokenAuthentification konstruktor.
AzureCliAuthentication

Spravuje ověřování a získává přístupový token pomocí Azure CLI.

Pokud chcete tuto třídu použít, musíte mít nainstalovaný balíček azure-cli . Pro lepší prostředí Azure Notebooks použijte InteractiveLoginAuthentication třídu .

Konstruktor ověřování Azure Cli třídy
AzureMLTokenAuthentication

Spravuje ověřovací a přístupové tokeny v kontextu odeslaných spuštění.

Token služby Azure Machine Learning se vygeneruje při odeslání spuštění a je k dispozici pouze pro kód, který spuštění odeslal. Třídu AzureMLTokenAuthentication lze použít pouze v kontextu odeslaného spuštění. Vrácený token nelze použít pro žádné operace Azure Resource Manager (ARM), jako je zřizování výpočetních prostředků. Token služby Azure Machine Learning je užitečný při vzdáleném spuštění programu, kde by mohlo být nebezpečné používat soukromé přihlašovací údaje uživatele.

Autorizace uživatelů pomocí jejich tokenu Azure ML

Token Azure ML se vygeneruje při odeslání spuštění a je k dispozici pouze pro odeslaný kód. Třídu lze použít pouze v kontextu odeslaného spuštění. Token nelze použít pro žádné operace ARM, jako je zřizování výpočetních prostředků. Token Azure ML je užitečný při vzdáleném spuštění programu tam, kde by mohlo být nebezpečné používat privátní přihlašovací údaje uživatele. Příjemce této třídy by měl volat metodu třídy create, která vytvoří nový objekt nebo vrátí zaregistrovanou instanci se stejnou run_scope (subscription_id, resource_group_name, workspace_name, experiment_name, run_id).
InteractiveLoginAuthentication

Spravuje ověřování a získává autorizační token v pracovních postupech interaktivního přihlášení.

Interaktivní ověřování přihlášení je vhodné pro místní experimentování na vlastním počítači a je výchozím modelem ověřování při použití sady Azure Machine Learning SDK. Když například pracujete místně v poznámkovém bloku Jupyter, proces ověřování interaktivního přihlášení otevře okno prohlížeče s výzvou k zadání přihlašovacích údajů, pokud přihlašovací údaje ještě neexistují.

Konstruktor ověřování interaktivního přihlášení třídy.

Tento konstruktor vyzve uživatele k přihlášení a pak uloží přihlašovací údaje pro všechny další pokusy. Pokud je uživatel již přihlášen k azure CLI nebo se přihlásil dříve, konstruktor načte stávající přihlašovací údaje bez výzvy. Když je tento proces Pythonu spuštěný ve službě Azure Notebook, konstruktor se pokusí použít funkci připojení k Azure v Azure Notebooks. Pokud je tento proces Pythonu spuštěný na virtuálním počítači Poznámkový blok, konstruktor se pokusí použít ověřování MSI.
MsiAuthentication

Spravuje ověřování pomocí spravované identity v Azure Active Directory.

Při použití sady Azure ML SDK na virtuálním počítači Azure můžete provést ověření pomocí spravované identity (dříve označované jako identita spravované služby – MSI). Použití spravované identity umožňuje virtuálnímu počítači připojit se k vašemu pracovnímu prostoru bez uložení přihlašovacích údajů v kódu Pythonu, a tím oddělit proces ověřování od přihlášení konkrétního uživatele.

Třída MsiAuthentication konstruktor.
ServicePrincipalAuthentication

Spravuje ověřování pomocí principu služby místo identity uživatele.

Ověřování instančního objektu je vhodné pro automatizované pracovní postupy, jako jsou scénáře CI/CD. Tento typ ověřování odděluje proces ověřování od přihlášení konkrétního uživatele a umožňuje řízení spravovaného přístupu.

Třída ServicePrincipalAuthentication konstruktor.
TokenAuthentication

Spravujte ověřování pomocí tokenu AAD vymezeného cílovou skupinou.

Ověřování tokenem je vhodné, když generování tokenu a jeho aktualizace nejsou součástí sady AML SDK. Tento typ ověřování umožňuje větší kontrolu nad generováním tokenu a jeho aktualizací.

V případě automatizovaných pracovních postupů, ve kterých je potřeba spravované řízení přístupu, použijte ServicePrincipalAuthentication místo toho.

Tato třída vyžaduje get_token_for_audience metodu, která bude volána k načtení tokenu.

Příklad, jak bude get_token_for_audience volána a bude předána cílové skupině get_token_for_audience(cílová skupina)

Spravujte ověřování pomocí tokenu AAD vymezeného cílovou skupinou.

Ověřování tokenem je vhodné, když generování tokenu a jeho aktualizace nejsou součástí sady AML SDK. Tento typ ověřování umožňuje větší kontrolu nad generováním tokenu a jeho aktualizací.

V případě automatizovaných pracovních postupů, ve kterých je potřeba spravované řízení přístupu, použijte ServicePrincipalAuthentication místo toho.

Tato třída vyžaduje get_token_for_audience metodu, která bude volána k načtení tokenu.

Příklad, jak bude get_token_for_audience volána a bude předána cílové skupině get_token_for_audience(cílová skupina)

kde cílovou skupinou může být ověřování ARM nebo AML = TokenAuthentication(get_token_for_audience)

  AML audience value passed to get_token_for_audience can be retrieved by :
  auth.get_aml_resource_id(cloud)

  ARM audience value passed to get_token_for_audience can be retrieved by :
  auth._cloud_type.endpoints.active_directory_resource_id

Výčty

Audience

Cílová skupina podporovaná AML. Použije se pouze s třídou TokenAuthentication .