c# - 如何在 C# 中对 Azure 机器学习管道终结点使用服务主体身份验证？

Question

我正在尝试调用我使用 C# 和机器学习 REST API 设置的 Azure 机器学习管道端点。

我确信我已正确配置服务主体，因为我可以使用 azureml-core python sdk 成功验证并命中端点:

sp = ServicePrincipalAuthentication(
    tenant_id=tenant_id,
    service_principal_id=service_principal_id,
    service_principal_password=service_principal_password)
ws =Workspace.get(
    name=workspace_name, 
    resource_group=resource_group, 
    subscription_id=subscription_id, 
    auth=sp)

endpoint = PipelineEndpoint.get(ws, name='MyEndpoint')
endpoint.submit('Test_Experiment')

我在 C# 中使用以下示例来尝试运行我的端点:https://learn.microsoft.com/en-us/azure/machine-learning/how-to-deploy-pipelines#run-a-published-pipeline-using-c

我尝试使用以下代码填充auth_key:

var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");

var cred = new ClientSecretCredential(tenantId, clientId, clientSecret);
var auth_key = cred.GetToken(new Azure.Core.TokenRequestContext(new string[] {".default" }));

我收到 401(未经授权)。

我做错了什么？

• 更新*

我将 TokenRequestContext 中的“scopes”参数更改为如下所示:

var auth_key = cred.GetToken(new Azure.Core.TokenRequestContext(new string[] { "http://DataTriggerApp/.default" }));

http://DataTriggerApp 是当我从 azure CLI 查询我的服务主体时显示的 servicePrincipalNames 之一。

现在，当我尝试使用返回的 token 调用机器学习管道端点时，我收到 403 而不是 401。也许有一些进展？

Answer 1

好的，通过大量的反复试验，我想出了两种获取 token 的方法，使我能够通过 REST api 访问我的 Azure 机器学习管道端点。一种使用 Microsoft.Identity.Client，另一种使用 Azure.Identity。

using Microsoft.Identity.Client;

...

public static async Task<string> GetAccessToken()
{
      var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
      var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
      var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");

   
      var app = ConfidentialClientApplicationBuilder.Create(clientId)
                                                .WithClientSecret(clientSecret)                                                
                                                .WithAuthority(AzureCloudInstance.AzurePublic, tenantId)
                                                .Build();
      var result = await app.AcquireTokenForClient(new string[] { "https://ml.azure.com/.default" }).ExecuteAsync();
      return result.AccessToken;
}

或者:

using Azure.Identity;
...

public static async Task<string> GetAccessToken()
{
      var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
      var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
      var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");


      var cred = new ClientSecretCredential(tenantId, clientId, clientSecret);
      var token =  await cred.GetTokenAsync(new Azure.Core.TokenRequestContext(new string[] { "https://ml.azure.com/.default" }));
      return token.Token;
}