# üèóÔ∏è Arquitectura de Autenticaci√≥n Empresarial ‚Äì Microsoft Foundry (Secure Secret Integration)

> **Propiedad Intelectual ¬© 2026 ‚Äì Eduardo Osorio Venegas**  
> Todos los derechos reservados.

---

## üìå Descripci√≥n del Ejercicio

Implementaci√≥n de consumo seguro de un modelo desplegado en **Microsoft Foundry** mediante autenticaci√≥n con **Service Principal (Microsoft Entra ID)**, utilizando el flujo **OAuth 2.0 Client Credentials**, con integraci√≥n segura de credenciales almacenadas en **Azure Key Vault**.

A diferencia de implementaciones tradicionales basadas en archivos `.env`, este proyecto centraliza la gesti√≥n de secretos en un **Key Vault existente**, eliminando la exposici√≥n de credenciales en c√≥digo o configuraciones locales.

---

## ‚úÖ Validaciones del Ejercicio

El ejercicio valida:

- Emisi√≥n de token JWT v√≠a **Microsoft Entra ID**.
- Obtenci√≥n segura de credenciales desde **Azure Key Vault**.
- Autorizaci√≥n contra endpoint de **Microsoft Foundry**.
- Consumo del modelo mediante **REST API**.
- Aplicaci√≥n de buenas pr√°cticas de seguridad en entornos **Azure**:
  - Principio de menor privilegio.
  - Eliminaci√≥n de secretos en texto plano.
  - Centralizaci√≥n y rotaci√≥n segura de credenciales.
  - Integraci√≥n con RBAC y Managed Identities (cuando aplica).

# Instalar librerias

In [1]:
#! pip install azure-cli

In [2]:
#%pip install azure-identity azure-keyvault-secrets

# Leer secreto desde Key Vault

In [3]:
from azure.identity import DefaultAzureCredential
from azure.keyvault.secrets import SecretClient
import os
from dotenv import load_dotenv

In [4]:
load_dotenv()

print("KEY_VAULT_URL:", os.getenv("KEY_VAULT_URL"))

KEY_VAULT_URL: 


# Autenticaci√≥n autom√°tica

az login  
‚Üì  
Azure CLI guarda el token de autenticaci√≥n  
‚Üì  
DefaultAzureCredential detecta autom√°ticamente el token  
‚Üì  
Se genera un bearer token para la solicitud  
‚Üì  
Azure OpenAI valida tu identidad  

In [16]:
# Autenticaci√≥n autom√°tica
credential = DefaultAzureCredential()

# Cliente para consumir secretos desde Key Vault

In [21]:
client = SecretClient(vault_url=os.getenv("KEY_VAULT_URL"), credential=credential)

# Obtener secretos
* Diferencia importante entre roles al momento de leer tu secreto desde Key Vault

| Rol                     | ¬øPuede leer valor? |
| ----------------------- | ------------------ |
| Key Vault Administrator | ‚úÖ S√≠               |
| Key Vault Secrets User  | ‚úÖ S√≠               |
| Key Vault Reader        | ‚ùå No               |
| Owner                   | ‚úÖ S√≠               |


In [22]:
tenant_id = client.get_secret("APPFOUNDRYEO-AZURE-TENANT-ID").value
client_id = client.get_secret("APPFOUNDRYEO-AZURE-CLIENT-ID").value
client_secret = client.get_secret("APPFOUNDRYEO-AZURE-CLIENT-SECRET").value
foundry_endpoint = client.get_secret("FOUNDRY-PROJECT-ENDPOINT").value

# Validar conexion proyecto foundry

In [24]:
from azure.ai.projects import AIProjectClient

project_client = AIProjectClient(
    endpoint= client.get_secret("FOUNDRY-PROJECT-ENDPOINT").value,
    credential=credential
)

print("Conexi√≥n al AI Project exitosa")

Conexi√≥n al AI Project exitosa


# Listar los modelos disponible en Microsoft Foundry del proyecto

In [25]:
deployments = project_client.deployments.list()

for d in deployments:
    print(d.name)

gpt-4.1


# Utilizar el modelo

In [27]:
openai_client = project_client.get_openai_client()

response = openai_client.responses.create(
    model="gpt-4.1",
    input="Que sabes de microsoft foundry?"
)

print(response.output_text)

Microsoft Foundry fue un programa creado por Microsoft, principalmente en M√©xico, enfocado en la formaci√≥n y aceleraci√≥n de estudiantes universitarios y reci√©n egresados en √°reas relacionadas con tecnolog√≠a y desarrollo de software. El objetivo era acercar al talento joven a la industria de TI, ofreci√©ndoles una experiencia de trabajo similar a la de un entorno profesional real dentro de Microsoft.

Te comparto algunos puntos clave sobre Microsoft Foundry:

- **Inicio:** El programa inici√≥ alrededor de 2012 en M√©xico, destac√°ndose primero en la oficina de Microsoft en la Ciudad de M√©xico.
- **Formato:** Era una especie de internship (pasant√≠a) o residencia para estudiantes y reci√©n graduados, generalmente de carreras de ingenier√≠a, ciencias computacionales o afines.
- **Duraci√≥n:** El programa sol√≠a durar entre 12 y 16 semanas (trimestral) y era tipo ‚Äúintensivo‚Äù.
- **Enfoque:** Los participantes trabajaban en equipos multidisciplinarios para resolver problemas reale