# Azure verwaltete Identität mit BYOK Das Copilot SDK BYOK (Bring Your Own Key) akzeptiert statische API-Schlüssel, aber Azure Bereitstellungen verwenden häufig Managed Identity (Entra ID) anstelle von langlebigen Schlüsseln. Da das SDK Entra ID Authentifizierung nicht nativ unterstützt, können Sie ein kurzlebiges Bearertoken über das bearer_token Anbieterkonfigurationsfeld verwenden. In diesem Handbuch wird gezeigt, wie Sie `DefaultAzureCredential` aus der [Azure Identity](https://learn.microsoft.com/python/api/azure-identity/azure.identity.defaultazurecredential)-Bibliothek zum Authentifizieren mit Azure AI Foundry Modellen über das Copilot SDK verwenden. ## So funktioniert es Der openAI-kompatible Endpunkt von Azure AI Foundry akzeptiert Bearertoken von Entra-ID anstelle statischer API-Schlüssel. Das Muster lautet: 1. Verwenden Sie `DefaultAzureCredential`, um ein Token für den Bereich `https://cognitiveservices.azure.com/.default` zu erhalten 2. Übergeben Sie das Token als `bearer_token` in der BYOK-Provider-Konfiguration 3. Aktualisieren Sie das Token, bevor es abläuft (Token sind in der Regel für \~1 Stunde gültig) ![Diagramm: Sequenzdiagramm mit dem beschriebenen Prozess.](/assets/images/help/copilot/copilot-sdk/setup-azure-managed-identity-diagram-0.png) ## Python-Beispiel ### Voraussetzungen ```bash pip install github-copilot-sdk azure-identity ``` ### Grundlegende Nutzung ```python import asyncio import os from azure.identity import DefaultAzureCredential from copilot import CopilotClient from copilot.session import PermissionHandler, ProviderConfig COGNITIVE_SERVICES_SCOPE = "https://cognitiveservices.azure.com/.default" async def main(): # Get a token using Managed Identity, Azure CLI, or other credential chain credential = DefaultAzureCredential() token = credential.get_token(COGNITIVE_SERVICES_SCOPE).token foundry_url = os.environ["AZURE_AI_FOUNDRY_RESOURCE_URL"] client = CopilotClient() await client.start() session = await client.create_session( on_permission_request=PermissionHandler.approve_all, model="gpt-4.1", provider=ProviderConfig( type="openai", base_url=f"{foundry_url.rstrip('/')}/openai/v1/", bearer_token=token, # Short-lived bearer token wire_api="responses", ), ) response = await session.send_and_wait("Hello from Managed Identity!") print(response.data.content) await client.stop() asyncio.run(main()) ``` ### Tokenaktualisierung für lang laufende Anwendungen Bearertoken laufen ab (in der Regel nach \~1 Stunde). Aktualisieren Sie das Token für Server oder langlaufende Agenten, bevor Sie jede Sitzung erstellen. ```python from azure.identity import DefaultAzureCredential from copilot import CopilotClient from copilot.session import PermissionHandler, ProviderConfig COGNITIVE_SERVICES_SCOPE = "https://cognitiveservices.azure.com/.default" class ManagedIdentityCopilotAgent: """Copilot agent that refreshes Entra ID tokens for Azure AI Foundry.""" def __init__(self, foundry_url: str, model: str = "gpt-4.1"): self.foundry_url = foundry_url.rstrip("/") self.model = model self.credential = DefaultAzureCredential() self.client = CopilotClient() def _get_provider_config(self) -> ProviderConfig: """Build a ProviderConfig with a fresh bearer token.""" token = self.credential.get_token(COGNITIVE_SERVICES_SCOPE).token return ProviderConfig( type="openai", base_url=f"{self.foundry_url}/openai/v1/", bearer_token=token, wire_api="responses", ) async def chat(self, prompt: str) -> str: """Send a prompt and return the response text.""" # Fresh token for each session session = await self.client.create_session( on_permission_request=PermissionHandler.approve_all, model=self.model, provider=self._get_provider_config(), ) response = await session.send_and_wait(prompt) await session.disconnect() return response.data.content if response else "" ``` ## beispiel für Node.js/ TypeScript ```typescript import { DefaultAzureCredential } from "@azure/identity"; import { CopilotClient } from "@github/copilot-sdk"; const credential = new DefaultAzureCredential(); const tokenResponse = await credential.getToken( "https://cognitiveservices.azure.com/.default" ); const client = new CopilotClient(); const session = await client.createSession({ model: "gpt-4.1", provider: { type: "openai", baseUrl: `${process.env.AZURE_AI_FOUNDRY_RESOURCE_URL}/openai/v1/`, bearerToken: tokenResponse.token, wireApi: "responses", }, }); const response = await session.sendAndWait({ prompt: "Hello!" }); console.log(response?.data.content); await client.stop(); ``` ## .NET-Beispiel ```csharp using Azure.Identity; using GitHub.Copilot; var credential = new DefaultAzureCredential(); var token = await credential.GetTokenAsync( new Azure.Core.TokenRequestContext( new[] { "https://cognitiveservices.azure.com/.default" })); await using var client = new CopilotClient(); var foundryUrl = Environment.GetEnvironmentVariable("AZURE_AI_FOUNDRY_RESOURCE_URL"); await using var session = await client.CreateSessionAsync(new SessionConfig { Model = "gpt-4.1", Provider = new ProviderConfig { Type = "openai", BaseUrl = $"{foundryUrl!.TrimEnd('/')}/openai/v1/", BearerToken = token.Token, WireApi = "responses", }, }); var response = await session.SendAndWaitAsync( new MessageOptions { Prompt = "Hello from Managed Identity!" }); Console.WriteLine(response?.Data.Content); ``` ## Umgebungskonfiguration | Variable | Description | Example | | ------------------------------- | ------------------------------------- | ------- | | `AZURE_AI_FOUNDRY_RESOURCE_URL` | Ihre Azure AI Foundry | | | -Ressourcen-URL | `https://myresource.openai.azure.com` | | Es ist keine API-Schlüsselumgebungsvariable erforderlich – die Authentifizierung wird von `DefaultAzureCredential`, die automatisch unterstützt: * **Managed Identity** (vom System zugewiesen oder vom Benutzer zugewiesen): für Azure gehostete Apps * **Azure CLI** (`az login`): für die lokale Entwicklung * **Umgebungsvariablen** (`AZURE_CLIENT_ID`, `AZURE_TENANT_ID`, `AZURE_CLIENT_SECRET`): für Dienstprinzipale * **Workload-Identität**: für Kubernetes Die vollständige Anmeldeinformationskette finden Sie in der [DefaultAzureCredential-Dokumentation](https://learn.microsoft.com/python/api/azure-identity/azure.identity.defaultazurecredential) . ## Wann dieses Muster verwenden | Szenario | Recommendation | | ------------------------------------------------- | ------------------------------------------------------------------------------------------------ | | Von Azure gehostete App mit verwalteter Identität | | | ✅ Verwenden Sie dieses Muster. | | | App mit vorhandenem Azure AD Dienstprinzipal | | | ✅ Verwenden Sie dieses Muster. | | | Lokale Entwicklung mit `az login` | | | ✅ Verwenden Sie dieses Muster. | | | Nicht-Azure-Umgebung mit statischem API-Schlüssel | Verwenden von [BYOK (Bring Your Own Key)](/de/copilot/how-tos/copilot-sdk/auth/byok) | | GitHub Copilot Abonnement verfügbar | Verwenden von [Einrichtung von GitHub OAuth](/de/copilot/how-tos/copilot-sdk/setup/github-oauth) | ## Siehe auch * [BYOK (Bring Your Own Key)](/de/copilot/how-tos/copilot-sdk/auth/byok): Konfiguration des statischen API-Schlüssels * [Einrichtung von Back-End-Diensten](/de/copilot/how-tos/copilot-sdk/setup/backend-services): Serverseitige Bereitstellung * [Azure Identity Documentation](https://learn.microsoft.com/python/api/overview/azure/identity-readme)