身份验证和授权

对 Azure AI 服务的每个请求必须包含身份验证标头。 此标头传递资源密钥或身份验证令牌，用于验证服务或服务组订阅。 在本文中，可以探索对请求进行身份验证的方法以及每个请求的要求。

• 使用单服务或多服务资源密钥进行身份验证。
• 使用 持有者令牌进行身份验证。
• 使用 Microsoft Entra ID 进行身份验证。

标头

在 Azure AI 服务中订阅翻译或 多服务，并使用密钥（在 Azure 门户中提供）进行身份验证。

可以使用三个标头对订阅进行身份验证。 下表介绍了如何使用每个项：

密钥

第一个选项是使用 Ocp-Apim-Subscription-Key 标头进行身份验证。 将 Ocp-Apim-Subscription-Key: <YOUR_SECRET_KEY> 标头添加到请求。

使用区域资源进行身份验证

使用 区域翻译资源时，需要调用翻译器两个标头。

下面是使用区域翻译器资源调用翻译器的示例请求

// Pass secret key and region using headers
curl -X POST "https://api.translator.azure.cn/translate?api-version=3.0&to=es" \
    -H "Ocp-Apim-Subscription-Key:<your-key>" \
    -H "Ocp-Apim-Subscription-Region:<your-region>" \
    -H "Content-Type: application/json" \
    -d "[{'Text':'Hello, what is your name?'}]"

使用多服务资源进行身份验证

多服务资源允许使用单个 API 密钥对多个服务的请求进行身份验证。

使用多服务密钥时，必须向请求包含两个身份验证标头。 有两个标头需要调用 Translator。

多服务文本 API 订阅需要区域。 选择的区域是使用多服务密钥时可用于文本翻译的唯一区域。 它必须是通过 Azure 门户注册多服务订阅时选择的同一区域。

如果使用参数 Subscription-Key在查询字符串中传递密钥，则必须使用查询参数 Subscription-Region指定区域。

使用访问令牌进行身份验证

或者，可以交换密钥以获取访问令牌。 此令牌作为 Authorization 标头包含在每个请求中。 若要获取授权令牌，请向以下 URL 发出 POST 请求：

下面是获取给定全局资源的密钥的令牌的示例请求：

// Pass secret key using header
curl --header 'Ocp-Apim-Subscription-Key: <your-key>' --data "" 'https://api.cognitive.azure.cn/sts/v1.0/issueToken'

// Pass secret key using query string parameter
curl --data "" 'https://api.cognitive.azure.cn/sts/v1.0/issueToken?Subscription-Key=<your-key>'

下面是为位于中国北部的区域资源获取令牌的示例请求：

// Pass secret key using header
curl --header "Ocp-Apim-Subscription-Key: <your-key>" --data "" "https://chinanorth2.api.cognitive.azure.cn/sts/v1.0/issueToken"

// Pass secret key using query string parameter
curl --data "" "https://chinanorth2.api.cognitive.azure.cn/sts/v1.0/issueToken?Subscription-Key=<your-key>"

成功的请求将编码的访问令牌作为响应正文中的纯文本返回。 有效令牌作为授权中的持有者令牌传递到翻译服务。

Authorization: Bearer <Base64-access_token>

身份验证令牌有效期为 10 分钟。 对 Translator 进行多次调用时，应重复使用令牌。 但是，如果程序在较长时间内向 Translator 发出请求，则程序必须定期请求新的访问令牌（例如，每 8 分钟一次）。

使用 Microsoft Entra ID 进行身份验证

v3.0 翻译器支持Microsoft Entra 身份验证，Microsoft基于云的标识和访问管理解决方案。 授权标头使 Translator 服务能够验证请求客户端是否有权使用资源并完成请求。

先决条件

• 简要了解如何使用 Microsoft Entra ID进行身份验证。

• 简要了解如何 授权访问托管标识。

Microsoft Entra ID 标头

Translator 属性页 - Azure 门户

示例

使用自定义终结点

// Using headers, pass a bearer token generated by Azure AD.

curl -X POST https://<your-custom-domain>.cognitiveservices.azure.cn/translator/text/v3.0/translate?api-version=3.0&to=es \
    -H "Authorization: Bearer <Base64-access_token>"\
    -H "Content-Type: application/json" \
    -data-raw "[{'Text':'Hello, friend.'}]"

使用托管标识 示例

v3.0 翻译器还支持授权访问托管标识。 如果为翻译器资源启用了托管标识，则可以在请求标头中传递托管标识生成的持有者令牌。

使用自定义终结点

//Using headers, pass a bearer token generated by Managed Identities.

curl -X POST https://<your-custom-domain>.cognitiveservices.azure.cn/translator/text/v3.0/translate?api-version=3.0&to=es \
    -H "Authorization: Bearer <Base64-access_token>"\
    -H "Content-Type: application/json" \
    -data-raw "[{'Text':'Hello, friend.'}]"

虚拟网络支持

若要启用虚拟网络，请参阅配置 Azure AI 服务虚拟网络。

启用此功能后，必须使用自定义终结点调用 Translator。 无法使用全局翻译器终结点（“api.translator.azure.cn”），并且无法使用访问令牌进行身份验证。

创建 翻译器资源 并允许从所选网络和专用终结点进行访问后，可以找到自定义终结点。

1. 在 Azure 门户中导航到你的翻译工具资源。

2. 从“资源管理”部分选择“网络”。

3. 在“防火墙和虚拟网络”选项卡上，选择“选定的网络和专用终结点”。

   

4. 选择保存以应用更改。

5. 从 资源管理 部分选择 密钥和终结点。

6. 选择 虚拟网络 选项卡。

7. 列出了文本翻译和文档翻译的终结点。

   

下面是使用自定义终结点调用 Translator 的示例请求

// Pass secret key and region using headers
curl -X POST "https://<your-custom-domain>.cognitiveservices.azure.cn/translator/text/v3.0/translate?api-version=3.0&to=es" \
    -H "Ocp-Apim-Subscription-Key:<your-key>" \
    -H "Ocp-Apim-Subscription-Region:<your-region>" \
    -H "Content-Type: application/json" \
    -d "[{'Text':'Hello, what is your name?'}]"