Azure OpenAI ChatGPT 示例应用部署中的托管身份认证问题解析

问题背景

在部署基于Azure OpenAI ChatGPT的示例应用时，许多开发者遇到了一个典型的认证错误："ManagedIdentityIsNotEnabled"。这个错误通常发生在通过Azure AI Studio部署Web应用后，当尝试与聊天界面交互时，系统会返回400错误，提示托管身份(MI)未启用。

错误现象

开发者报告的主要症状包括：

1. 通过Azure AI Studio的"部署到Web应用"功能创建或更新应用后
2. 应用界面能够正常显示
3. 当尝试发送任何消息(如简单的"hi")时
4. 系统返回错误信息，指出托管身份未启用，同时加密密钥源为Microsoft.KeyVault

根本原因分析

经过深入调查，这个问题主要源于Azure资源间的身份认证配置不完整。当使用托管身份进行服务间认证时，需要确保：

1. Azure OpenAI资源已启用系统分配的托管身份
2. 各相关服务间配置了正确的角色分配
3. Web应用环境变量配置完整
4. 密钥保管库访问策略设置正确

解决方案与最佳实践

方案一：完善RBAC角色分配

对于使用基于角色的访问控制(RBAC)的场景，需要确保以下角色分配：

1. 为Azure OpenAI服务在Azure AI搜索上分配"搜索索引数据读取者"角色
2. 为Azure OpenAI服务在Azure AI搜索上分配"搜索服务参与者"角色
3. 为Web应用在Azure OpenAI服务上分配"认知服务OpenAI用户"角色
4. 为Azure OpenAI服务在存储账户上分配"存储Blob数据参与者"角色
5. 为Azure AI搜索在存储账户上分配"存储Blob数据读取者"角色

方案二：使用API密钥认证

对于偏好使用API密钥的开发者：

1. 确保Azure AI搜索资源的API访问控制配置为"API密钥"或"两者"
2. 手动配置Web应用环境变量AZURE_SEARCH_KEY
3. 确认AZURE_OPENAI_KEY环境变量已正确设置
4. 设置AZURE_OPENAI_EMBEDDING_NAME为嵌入模型名称

环境变量检查清单

无论采用哪种认证方式，都应检查以下环境变量：

1. AZURE_OPENAI_EMBEDDING_ENDPOINT
2. AZURE_OPENAI_EMBEDDING_KEY
3. AZURE_OPENAI_EMBEDDING_NAME
4. AZURE_OPENAI_KEY
5. AZURE_SEARCH_KEY

关键注意事项

1. 通过Azure门户分配角色时，某些权限可能仅在订阅或资源组级别可用
2. 使用CLI命令可以更可靠地完成角色分配
3. 确保删除环境中不必要的密钥变量，避免认证方式冲突
4. 如果使用密钥保管库，需为Azure OpenAI托管身份添加获取和列出密钥的权限

总结

Azure OpenAI ChatGPT示例应用的部署过程中，认证配置是关键环节。开发者应根据实际需求选择合适的认证方式(RBAC或API密钥)，并确保所有相关服务间的权限配置完整。通过系统地检查角色分配和环境变量，可以有效解决"ManagedIdentityIsNotEnabled"错误，确保应用正常运行。

随着Azure服务的持续更新，建议开发者定期查阅最新文档，了解认证配置的最佳实践变化。对于复杂的生产环境，建议建立详细的权限矩阵和部署检查清单，确保所有依赖服务的认证配置正确无误。