Verifiëren bij Azure OpenAI vanuit een door Azure gehoste app met behulp van Microsoft Entra-id

In dit artikel wordt gedemonstreerd hoe u door Microsoft Entra ID beheerde identiteiten gebruikt en de Microsoft.Extensions.AI-bibliotheek om een door Azure gehoste app te verifiëren bij een Azure OpenAI-resource.

Met een beheerde identiteit van Microsoft Entra ID heeft uw app eenvoudig toegang tot andere met Microsoft Entra beveiligde resources, zoals Azure OpenAI. De identiteit wordt beheerd door het Azure-platform en vereist niet dat u geheimen inricht, beheert of roteert.

Voorwaarden

• Een Azure-account met een actief abonnement. Maak gratis een account.
• .NET SDK
• Een Azure OpenAI-serviceresource maken en implementeren
• Een .NET-toepassing maken en implementeren in App Service

Een beheerde identiteit toevoegen aan App Service

Beheerde identiteiten bieden een automatisch beheerde identiteit in Microsoft Entra ID voor toepassingen die kunnen worden gebruikt bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Toepassingen kunnen beheerde identiteiten gebruiken om Microsoft Entra-tokens te verkrijgen zonder referenties te hoeven beheren. Aan uw toepassing kunnen twee typen identiteiten worden toegewezen:

• Een door het systeem toegewezen identiteit is gekoppeld aan uw toepassing en wordt verwijderd als uw app wordt verwijderd. Een app kan slechts één door het systeem toegewezen identiteit hebben.
• Een door de gebruiker toegewezen identiteit is een zelfstandige Azure-resource die kan worden toegewezen aan uw app. Een app kan meerdere door de gebruiker toegewezen identiteiten hebben.

door het systeem toegewezen

1. Navigeer naar de pagina van uw app in de Azure-portalen schuif omlaag naar de instellingen groep.

2. Selecteer Identity.

3. Schakel op het tabblad Systeem dat is toegewezen, Status in op Open selecteer Opslaan.

   

   Notitie

   In de voorgaande schermopname ziet u dit proces in een Azure App Service, maar de stappen zijn vergelijkbaar op andere hosts, zoals Azure Container Apps.

door de gebruiker toegewezen

Als u een door de gebruiker toegewezen identiteit aan uw app wilt toevoegen, maakt u de identiteit en voegt u vervolgens de resource-id toe aan uw app-configuratie.

1. Maak een door de gebruiker toegewezen beheerde identiteitsresource door deze instructieste volgen.

2. Schuif in het linkernavigatiedeelvenster van de pagina van uw app omlaag naar de Instellingen groep.

3. Selecteer Identiteit.

4. Selecteer toegewezen door de gebruiker, voeg>toe.

5. Zoek de identiteit die u eerder hebt gemaakt, selecteer deze en selecteer vervolgens Toevoegen.

   Belangrijk

   Nadat u Toevoegenhebt geselecteerd, wordt de app opnieuw gestart.

   

   Notitie

   In de voorgaande schermopname ziet u dit proces in een Azure App Service, maar de stappen zijn vergelijkbaar op andere hosts, zoals Azure Container Apps.

door het systeem toegewezen

Voer de opdracht az webapp identity assign uit om een door het systeem toegewezen identiteit te maken:

az webapp identity assign --name <appName> --resource-group <groupName>

door de gebruiker toegewezen

1. Een door de gebruiker toegewezen identiteit maken:

   az identity create --resource-group <groupName> --name <identityName>
   

2. Wijs de identiteit toe aan uw app:

   az webapp identity assign --resource-group <groupName> --name <appName> --identities <identityId>
   

Een Azure OpenAI-gebruikersrol toevoegen aan de identiteit

1. Navigeer in de Azure Portalnaar het bereik waartoe u Azure OpenAI- toegang wilt verlenen. Het bereik kan een -beheergroep zijn, Abonnement, Resourcegroepof een specifieke Azure OpenAI--resource.

2. Selecteer in het linkernavigatiedeelvenster Toegangsbeheer (IAM).

3. Selecteer toevoegen en selecteer vervolgens Roltoewijzing toevoegen.

   

4. Selecteer op het tabblad Rol de rol Cognitive Services OpenAI-gebruiker.

5. Selecteer op het tabblad Leden de beheerde identiteit.

6. Selecteer op het tabblad Beoordelen + toewijzen, Beoordelen + toewijzen om de rol toe te wijzen.

U kunt de Azure CLI gebruiken om de Cognitive Services OpenAI-gebruikersrol toe te wijzen aan uw beheerde identiteit op verschillende niveaus.

bron

az role assignment create --assignee "<managedIdentityObjectID>" \
--role "Cognitive Services OpenAI User" \
--scope "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/<providerName>/<resourceType>/<resourceSubType>/<resourceName>"

Resourcegroep

az role assignment create --assignee "<managedIdentityObjectID>" \
--role "Cognitive Services OpenAI User" \
--scope "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"

abonnement

az role assignment create --assignee "<managedIdentityObjectID>" \
--role "Cognitive Services OpenAI User" \
--scope "/subscriptions/<subscriptionId>"

beheergroep

az role assignment create --assignee "<managedIdentityObjectID>" \
--role "Cognitive Services OpenAI User" \
--scope "/providers/Microsoft.Management/managementGroups/<managementGroupName>"

Identiteitsverificatie implementeren in uw app-code

1. Voeg de volgende NuGet-pakketten toe aan uw app:

   dotnet add package Azure.Identity
   dotnet add package Azure.AI.OpenAI
   dotnet add package Microsoft.Extensions.Azure
   dotnet add package Microsoft.Extensions.AI
   dotnet add package Microsoft.Extensions.AI.OpenAI
   

   De voorgaande pakketten verwerken de volgende problemen voor dit scenario:

   • Azure.Identity-: biedt kernfunctionaliteit voor gebruik met Microsoft Entra-id
   • Azure.AI.OpenAI-: stelt uw app in staat om te interfacen met de Azure OpenAI-service
   • Microsoft.Extensions.Azure: biedt helperextensies voor het registreren van services voor afhankelijkheidsinjectie
   • Microsoft.Extensions.AI: biedt AI-abstracties voor algemene AI-taken
   • Microsoft.Extensions.AI.OpenAI-: hiermee kunt u OpenAI-servicetypen gebruiken als AI-abstracties die worden geleverd door Microsoft.Extensions.AI

2. Maak in het Program.cs-bestand van uw app een DefaultAzureCredential-object om beschikbare referenties te detecteren en te configureren:

   // For example, will discover Visual Studio or Azure CLI credentials
   // in local environments and managed identity credentials in production deployments
   var credential = new DefaultAzureCredential(
       new DefaultAzureCredentialOptions
       {
           // If necessary, specify the tenant ID,
           // user-assigned identity client or resource ID, or other options
       }
   );
   

3. Maak een AI-service en registreer deze bij de serviceverzameling:

   string endpoint = builder.Configuration["AZURE_OPENAI_ENDPOINT"];
   string deployment = builder.Configuration["AZURE_OPENAI_GPT_NAME"];
   
   builder.Services.AddChatClient(
       new AzureOpenAIClient(new Uri(endpoint), credential)
       .AsChatClient(deployment));
   

4. Injecteer de geregistreerde service voor gebruik in uw eindpunten:

   app.MapGet("/test-prompt", async (IChatClient chatClient) =>
   {
       return await chatClient.CompleteAsync("Test prompt", new ChatOptions());
   })
   .WithName("Test prompt");
   

   Tip

   Kom meer te weten over ASP.NET Core-afhankelijkheidsinjectie en hoe u andere AI-servicetypes kunt registreren in de Azure SDK voor .NET afhankelijkheidsinjectie documentatie.

Verwante inhoud

• App Service verifiëren en autoriseren voor een vectordatabase
• Beheerde identiteiten gebruiken voor App Service en Azure Functions
• op rollen gebaseerd toegangsbeheer voor Azure OpenAI-service