如何在 C# 中对 Azure 机器学习管道终结点使用服务主体身份验证?

How do I use Service Principal authentication with an Azure Machine Learning Pipeline Endpoint in C#?

我正在尝试调用我使用 C# 和机器学习 REST 设置的 Azure 机器学习管道端点 api。

我确定我已正确配置服务主体,因为我可以使用 azureml-core python sdk:

成功验证并访问端点
sp = ServicePrincipalAuthentication(
    tenant_id=tenant_id,
    service_principal_id=service_principal_id,
    service_principal_password=service_principal_password)
ws =Workspace.get(
    name=workspace_name, 
    resource_group=resource_group, 
    subscription_id=subscription_id, 
    auth=sp)

endpoint = PipelineEndpoint.get(ws, name='MyEndpoint')
endpoint.submit('Test_Experiment')

我在 C# 中使用以下示例来尝试 运行 我的端点:https://docs.microsoft.com/en-us/azure/machine-learning/how-to-deploy-pipelines#run-a-published-pipeline-using-c

我正在尝试使用以下代码填充 auth_key

var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");

var cred = new ClientSecretCredential(tenantId, clientId, clientSecret);
var auth_key = cred.GetToken(new Azure.Core.TokenRequestContext(new string[] {".default" }));

我收到 401(未授权)。

我做错了什么?

我将 TokenRequestContext 中的 'scopes' 参数更改为:

var auth_key = cred.GetToken(new Azure.Core.TokenRequestContext(new string[] { "http://DataTriggerApp/.default" }));

http://DataTriggerApp 是当我从 azure CLI 查询我的服务主体时显示的 servicePrincipalNames 之一。

现在,当我尝试使用返回的令牌调用机器学习管道端点时,我收到了 403 而不是 401。也许有些进展?

好的,通过大量的反复试验,我能够想出两种获取令牌的方法,使我能够通过 REST api 访问我的 Azure 机器学习管道端点。一个使用 Microsoft.Identity.Client 一个使用 Azure.Identity.

using Microsoft.Identity.Client;

...

public static async Task<string> GetAccessToken()
{
      var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
      var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
      var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");

   
      var app = ConfidentialClientApplicationBuilder.Create(clientId)
                                                .WithClientSecret(clientSecret)                                                
                                                .WithAuthority(AzureCloudInstance.AzurePublic, tenantId)
                                                .Build();
      var result = await app.AcquireTokenForClient(new string[] { "https://ml.azure.com/.default" }).ExecuteAsync();
      return result.AccessToken;
}

或者:

using Azure.Identity;
...

public static async Task<string> GetAccessToken()
{
      var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
      var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
      var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");


      var cred = new ClientSecretCredential(tenantId, clientId, clientSecret);
      var token =  await cred.GetTokenAsync(new Azure.Core.TokenRequestContext(new string[] { "https://ml.azure.com/.default" }));
      return token.Token;
}