Använda Azure OpenAI utan nycklar

Programbegäranden till de flesta Azure-tjänster måste autentiseras med nycklar eller lösenordslösa anslutningar. Utvecklare måste vara noggranna för att aldrig exponera nycklarna på en osäker plats. Alla som får åtkomst till nyckeln kan autentisera till tjänsten. Nyckellös autentisering ger bättre hanterings- och säkerhetsfördelar jämfört med kontonyckeln eftersom det inte finns någon nyckel (eller anslutningssträng) att lagra.

Nyckellösa anslutningar aktiveras med följande steg:

• Konfigurera din autentisering.
• Ange miljövariabler efter behov.
• Använd en autentiseringstyp för Azure Identity-biblioteket för att skapa ett Azure OpenAI-klientobjekt.

Autentisering

Autentisering till Microsoft Entra-ID krävs för att använda Azure-klientbiblioteken.

Autentiseringen skiljer sig beroende på vilken miljö appen körs i:

• Lokal utveckling
• Azure

Nyckellöst byggblock för Azure OpenAI

Använd följande länk för att utforska AI-mallen Azure OpenAI Keyless Building Block. Den här mallen etablerar ett Azure OpenAI-konto med ditt användarkonto RBAC-rollbehörighet för nyckellös autentisering (Microsoft Entra) för åtkomst till OpenAI API SDK:er.

Kommentar

Den här artikeln använder en eller flera AI-appmallar som grund för exemplen och vägledningen i artikeln. Med AI-appmallar får du väl underhållna och enkla att distribuera referensimplementeringar som hjälper dig att säkerställa en högkvalitativ startpunkt för dina AI-appar.

.NET

Utforska AI-mallen .NET End to End to end Azure OpenAI Keyless Authentication Building Block.

Kör

Utforska AI-mallen Go End to End to End Azure OpenAI Keyless Authentication Building Block.

Java

Utforska AI-mallen Java End to End to End Azure OpenAI Keyless Authentication Building Block.

JavaScript

Utforska AI-mallen JavaScript End to End to end Azure OpenAI Keyless Authentication Building Block.

Python

Utforska AI-mallen För Azure OpenAI-nyckellös autentisering från slutpunkt till slutpunkt.

Autentisera för lokal utveckling

.NET

Välj ett verktyg för autentisering under lokal utveckling.

Kör

Välj ett verktyg för autentisering under lokal utveckling.

Java

Välj ett verktyg för autentisering under lokal utveckling.

JavaScript

Välj ett verktyg för autentisering under lokal utveckling.

Python

Välj ett verktyg för autentisering under lokal utveckling.

Autentisera för Azure-värdbaserade miljöer

.NET

Lär dig hur du hanterar DefaultAzureCredential för program som distribueras till Azure.

Kör

Lär dig hur du hanterar DefaultAzureCredential för program som distribueras till Azure.

Java

Lär dig hur du hanterar DefaultAzureCredential för program som distribueras till Azure.

JavaScript

Lär dig hur du hanterar DefaultAzureCredential för program som distribueras till Azure.

Python

Lär dig hur du hanterar DefaultAzureCredential för program som distribueras till Azure.

Konfigurera roller för auktorisering

1. Hitta rollen för din användning av Azure OpenAI. Beroende på hur du tänker ange den rollen behöver du antingen namnet eller ID:t.

   Rollnamn	Roll-ID
   För Azure CLI eller Azure PowerShell kan du använda rollnamn.	För Bicep behöver du roll-ID:t.

2. Använd följande tabell för att välja en roll och ett ID.

   Användningsfall	Rollnamn	Roll-ID
   Assistenter	Cognitive Services OpenAI Contributor	a001fd3d-188f-4b5d-821b-7da978bf7442
   Chatten har slutförts	Cognitive Services OpenAI User	5e0bd9bd-7b93-4f28-af87-19fc36ad61bd

3. Välj en identitetstyp som ska användas.

   • Personlig identitet: Det här är din personliga identitet som är kopplad till inloggningen till Azure.
   • Hanterad identitet: Det här är en identitet som hanteras av och skapas för användning i Azure. Skapa en användartilldelad hanterad identitet för hanterad identitet. När du skapar den hanterade identiteten Client IDbehöver du , även kallat app ID.

4. Använd något av följande kommandon för att hitta din personliga identitet. Använd ID:t som <identity-id> i nästa steg.

   Azure CLI

   Använd följande kommando för lokal utveckling för att hämta ditt eget identitets-ID. Du måste logga in med az login innan du använder det här kommandot.

   az ad signed-in-user show \
       --query id -o tsv
   

   Azure PowerShell

   Använd följande kommando för lokal utveckling för att hämta ditt eget identitets-ID. Du måste logga in med Connect-AzAccount innan du använder det här kommandot.

   (Get-AzContext).Account.ExtendedProperties.HomeAccountId.Split('.')[0]
   

   Bicep

   När du använder Bicep som distribuerats med Azure Developer CLI anges identiteten för den person eller tjänst som kör distributionen till parametern principalId .

   Följande main.parameters.json variabel är inställd på den identitet som kör processen.

   "principalId": {
       "value": "${AZURE_PRINCIPAL_ID}"
     },
   

   För användning i Azure anger du en användartilldelad hanterad identitet som en del av Bicep-distributionsprocessen. Skapa en användartilldelad hanterad identitet separat från den identitet som kör processen.

   resource userAssignedManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2018-11-30' = {
     name: managedIdentityName
     location: location
   }
   

   Azure-portalen

   Följ stegen här: hitta användarobjektets ID i Azure Portal.

5. Tilldela rollen rollbaserad åtkomstkontroll (RBAC) till resursgruppens identitet.

   Azure CLI

   Om du vill ge din identitet behörighet till resursen via RBAC tilldelar du en roll med hjälp av Azure CLI-kommandot az role assignment create.

   az role assignment create \
       --role "Cognitive Services OpenAI User" \
       --assignee "<identity-id>" \
       --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

   Azure PowerShell

   Om du vill ge ditt program behörighet till din Azure OpenAI-resurs via RBAC tilldelar du en roll med hjälp av Azure PowerShell-cmdleten New-AzRoleAssignment.

   New-AzRoleAssignment -ObjectId "<identity-id>" -RoleDefinitionName "Cognitive Services OpenAI User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>"
   

   Bicep

   Använd följande Azure OpenAI Bicep-mall för att skapa resursen och ange autentiseringen identityIdför . Bicep kräver roll-ID: t. Det name som visas i det här Bicep-kodfragmentet är inte Azure-rollen. Det är specifikt för Bicep-distributionen.

   // main.bicep
   param environment string = 'production'
   
   // USER ROLES
   module openAiRoleUser 'core/security/role.bicep' = {
       scope: openAiResourceGroup
       name: 'openai-role-user'
       params: {
           principalId: (environment == 'development') ? principalId : userAssignedManagedIdentity 
           principalType: (environment == 'development') ? 'User' : 'ServicePrincipal'
           roleDefinitionId: '5e0bd9bd-7b93-4f28-af87-19fc36ad61bd'
       }
   }
   

   Följande generiska Bicep anropas från main.bicep för att skapa valfri roll.

   // core/security/role.bicep
   metadata description = 'Creates a role assignment for an identity.'
   param principalId string // passed in from main.bicep identityId
   
   @allowed([
       'Device'
       'ForeignGroup'
       'Group'
       'ServicePrincipal'
       'User'
   ])
   param principalType string = 'ServicePrincipal'
   param roleDefinitionId string
   
   resource role 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
       name: guid(subscription().id, resourceGroup().id, principalId, roleDefinitionId)
       properties: {
           principalId: principalId
           principalType: principalType
           roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionId)
       }
   }
   

   Azure-portalen

   Använd stegen som finns i öppna sidan Lägg till rolltilldelning i Azure Portal.

   I förekommande fall ersätter <identity-id>du , <subscription-id>och <resource-group-name> med dina faktiska värden.

Konfigurera miljövariabler

För att ansluta till Azure OpenAI måste koden känna till resursslutpunkten och kan behöva andra miljövariabler.

1. Skapa en miljövariabel för din Azure OpenAI-slutpunkt.

   • AZURE_OPENAI_ENDPOINT: Den här URL:en är åtkomstpunkten för din Azure OpenAI-resurs.

2. Skapa miljövariabler baserat på den plats där appen körs:

   Plats	Identitet	beskrivning
   Lokal	Personligt	För lokala körningar med din personliga identitet loggar du in för att skapa dina autentiseringsuppgifter med ett verktyg.
   Azure Cloud	Användartilldelad hanterad identitet	Skapa en AZURE_CLIENT_ID miljövariabel som innehåller klient-ID:t för den användartilldelade hanterade identiteten som ska autentiseras som.

Installera Azure Identity-klientbiblioteket

Använd följande länk för att installera Azure Identity-klientbiblioteket.

.NET

Installera .NET Azure Identity-klientbiblioteket:

dotnet add package Azure.Identity

Kör

Installera Go Azure Identity-klientbiblioteket:

go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity

Java

Installera Java Azure Identity-klientbiblioteket med följande POM-fil:

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>com.azure</groupId>
            <artifactId>azure-identity</artifactId>
            <version>1.10.0</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

JavaScript

Installera JavaScript Azure Identity-klientbiblioteket:

npm install --save @azure/identity

Python

Installera Python Azure Identity-klientbiblioteket:

pip install azure-identity

Använda DefaultAzureCredential

Med Azure Identity-biblioteket kan DefaultAzureCredential kunden köra samma kod i den lokala utvecklingsmiljön och i Azure Cloud.

.NET

Mer information om DefaultAzureCredential för .NET finns i Azure Identity-klientbiblioteket för .NET.

using Azure;
using Azure.AI.OpenAI;
using Azure.Identity;
using System;
using static System.Environment;

string endpoint = GetEnvironmentVariable("AZURE_OPENAI_ENDPOINT");

OpenAIClient client = new(new Uri(endpoint), new DefaultAzureCredential());

Kör

Mer information om DefaultAzureCredential för Go finns i Azure Identity-klientbiblioteket för Go.

import (
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/ai/azopenai"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

func main() {
	dac, err := azidentity.NewDefaultAzureCredential(nil)

	if err != nil {
		log.Fatalf("ERROR: %s", err)
	}

	client, err := azopenai.NewClient(os.Getenv("AZURE_OPENAI_ENDPOINT"), dac, nil)

	if err != nil {
		log.Fatalf("ERROR: %s", err)
	}

	_ = client
}

Java

Mer information om DefaultAzureCredential java finns i Azure Identity-klientbiblioteket för Java.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.ai.openai.OpenAIClient;
import com.azure.ai.openai.OpenAIClientBuilder;

String endpoint = System.getenv("AZURE_OPENAI_ENDPOINT");

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();
OpenAIClient client = new OpenAIClientBuilder()
    .credential(credential)
    .endpoint(endpoint)
    .buildClient();

JavaScript

Mer information om DefaultAzureCredential JavaScript finns i Azure Identity-klientbiblioteket för JavaScript.

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { AzureOpenAI } from "openai";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const azureADTokenProvider = getBearerTokenProvider(credential, scope);

const endpoint = process.env["AZURE_OPENAI_ENDPOINT"] || "<endpoint>";
const deployment = "<your Azure OpenAI deployment name>";
const apiVersion = "2024-05-01-preview";
const options = { azureADTokenProvider, deployment, apiVersion, endpoint }

const client = new AzureOpenAI(options);

Python

Mer information om DefaultAzureCredential för Python finns i Azure Identity-klientbiblioteket för Python.

import openai
from azure.identity import DefaultAzureCredential, get_bearer_token_provider

token_provider = get_bearer_token_provider(DefaultAzureCredential(), "https://cognitiveservices.azure.com/.default")

openai_client = openai.AzureOpenAI(
    api_version=os.getenv("AZURE_OPENAI_VERSION"),
    azure_endpoint=os.getenv("AZURE_OPENAI_ENDPOINT"),
    azure_ad_token_provider=token_provider
)

Resurser

• Utvecklarguide för lösenordslösa anslutningar