There are different ways you can authenticate against Azure AI services using Microsoft Entra ID, including:
Có nhiều cách khác nhau mà bạn có thể xác thực với các dịch vụ AI của Azure (can authenticate against Azure AI services) bằng Microsoft Entra ID, bao gồm:
Authenticate using service principals
The overall process to authenticate against Azure AI services using service principals is as follows:
Quy trình tổng thể để xác thực với các dịch vụ AI của Azure bằng cách sử dụng các service principals như sau:
Create a custom subdomain
You can create a custom subdomain in different ways including through the Azure portal, Azure CLI, or PowerShell.
For example, you can create a subdomain using PowerShell in the Azure Cloud Shell. To do this, you select your subscription using the following command:
Bạn có thể tạo một tên miền phụ tùy chỉnh (a custom subdomain) theo nhiều cách khác nhau, bao gồm thông qua cổng Azure, Azure CLI hoặc PowerShell.
Ví dụ, bạn có thể tạo một tên miền phụ bằng cách sử dụng PowerShell trong Azure Cloud Shell. Để thực hiện điều này, bạn chọn gói dịch vụ của mình bằng cách sử dụng lệnh sau:
Set-AzContext -SubscriptionName <Your-Subscription-Name>Then, you create your Azure AI services resource specifying a custom subdomain by running the following:
$account = New-AzCognitiveServicesAccount -ResourceGroupName <your-resource-group-name> -name <your-account-name> -Type <your-account-type> -SkuName <your-sku-type> -Location <your-region> -CustomSubdomainName <your-unique-subdomain-name>Once created, your subdomain name will be returned in the response.
Assign a role to a service principal
You’ve created an Azure AI resource that is linked with a custom subdomain. Next, you assign a role to a service principal.
Bạn đã tạo một tài nguyên AI của Azure (an Azure AI resource) được liên kết với một tên miền phụ tùy chỉnh (a custom subdomain). Tiếp theo, bạn gán một vai trò cho service principal.
To start, you’ll need to register an application. To do this, you run the following command:
$SecureStringPassword = ConvertTo-SecureString -String <your-password> -AsPlainText -Force
$app = New-AzureADApplication -DisplayName <your-app-display-name> -IdentifierUris <your-app-uris> -PasswordCredentials $SecureStringPasswordThis creates the application resource.
Then you use the New-AzADServicePrincipal command to create a service principal and provide your application’s ID:
New-AzADServicePrincipal -ApplicationId <app-id>Finally, you assign the Cognitive Services Users role to your service principal by running:
New-AzRoleAssignment -ObjectId <your-service-principal-object-id> -Scope <account-id> -RoleDefinitionName "Cognitive Services User"Authenticate using managed identities
Managed identities come in two types:
- System-assigned managed identity: A managed identity is created and linked to a specific resource, such as a virtual machine that needs to access Azure AI services. When the resource is deleted, the identity is deleted as well.
- User-assigned managed identity: The managed identity is created to be useable by multiple resources instead of being tied to one. It exists independently of any single resource.
You can assign each type of managed identity to a resource either during creation of the resource, or after it has already been created.
For example, suppose you have a virtual machine in Azure that you intend to use for daily access to Azure AI services. To enable a system-assigned identity for this virtual machine, first you make sure your Azure account has the Virtual Machine Contributor role. Then you can run the following command using Azure CLI in the Azure Cloud Shell terminal:
Có hai loại danh tính được quản lý (Managed identities):
- Danh tính được quản lý gán hệ thống (System-assigned managed identity): Một danh tính được quản lý được tạo và liên kết với một tài nguyên cụ thể (is created and linked to a specific resource), chẳng hạn như một máy ảo (a virtual machine) cần truy cập các dịch vụ AI của Azure (needs to access Azure AI services). Khi tài nguyên bị xóa (the resource is deleted), danh tính cũng sẽ bị xóa (the identity is deleted as well).
- Danh tính được quản lý gán người dùng (User-assigned managed identity): Danh tính được quản lý được tạo để sử dụng (is created to be useable) bởi nhiều tài nguyên (by multiple resources) thay vì gắn liền với một tài nguyên duy nhất (instead of being tied to one). Nó tồn tại độc lập với (It exists independently of ) bất kỳ tài nguyên đơn lẻ nào.
Bạn có thể gán mỗi loại danh tính được quản lý cho một tài nguyên trong quá trình tạo tài nguyên (during creation of the resource) hoặc sau khi tài nguyên đã được tạo (after it has already been created).
Ví dụ, giả sử (For example, suppose) bạn có một máy ảo trong Azure mà bạn dự định sử dụng để truy cập hàng ngày (intend to use for daily access) vào các dịch vụ AI của Azure. Để kích hoạt danh tính (To enable a system-assigned identity) gán hệ thống cho máy ảo này, trước tiên bạn đảm bảo tài khoản Azure của bạn có vai trò “Virtual Machine Contributor” (the Virtual Machine Contributor role). Sau đó, bạn có thể chạy lệnh sau bằng cách sử dụng Azure CLI trong terminal Azure Cloud Shell:
az vm identity assign -g <my-resource-group> -n <my-vm>
Then you can grant access to Azure AI services in the Azure portal using the following:
- Go to the Azure AI services resource you want to grant the virtual machine’s managed identity access.
- In the overview panel, select Access control (IAM).
- Select Add, and then select Add role assignment.
- In the Role tab, select Cognitive Services Contributor.
Sau đó, bạn có thể cấp quyền truy cập vào các dịch vụ AI của Azure (Azure AI services) trong cổng Azure (the Azure portal) bằng cách thực hiện các bước sau:
- Truy cập vào tài nguyên dịch vụ AI của Azure mà bạn muốn cấp quyền (you want to grant) truy cập cho danh tính được quản lý của máy ảo (the virtual machine’s managed identity access).
- Trong bảng điều khiển tổng quan, chọn “Access control (IAM)“.
- Chọn “Add“, sau đó chọn “Add role assignment“.
- Trong tab “Role“, chọn “Cognitive Services Contributor“.
5. In the Members tab, for the Assign access to, select Managed identity. Then, select + Select members.
6. Ensure that your subscription is selected in the Subscription dropdown. And for Managed identity, select Virtual machine.
7. Select your virtual machine in the list, and select Select.
8. Finally, select Review + assign to review, and then Review + assign again to finish.
Note
For more details on how to configure managed identities including user-managed identities, see Configure managed identities for Azure resource on Azure VM using Azure CLI
(Source: https://learn.microsoft.com/vi-vn/training/modules/secure-ai-services/2-authentication)
