إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
عندما يعمل عامل الذكاء الاصطناعي نيابة عن مستخدم، فإنه يحتاج دائما إلى تخويلين:
- تخويل العامل. يحتاج العامل نفسه إلى هوية في Microsoft Entra ID وبيانات الاعتماد للمصادقة. لتكوين هذا التخويل لعامل يعيش خارج Microsoft Entra ID، راجع تكوين وكلاء تابعين لجهة خارجية.
- تفويض المستخدم. يجب على المستخدم الموافقة على العامل الذي يعمل نيابة عنه، ويجب على العامل الحصول على رمز مميز للمستخدم يمكن استخدامه لاستدعاء واجهات برمجة التطبيقات المتلقية للمعلومات.
توضح هذه المقالة التخويل الثاني: كيفية تخويل المستخدمين الذين يسجلون الدخول من خلال موفر هوية (IdP) تابع لجهة خارجية بحيث يمكن للعامل المبني على معرف عامل Microsoft Entra التصرف نيابة عنهم.
التكامل مع Agent 365 Observability باستخدام معرف المستخدم والبريد الإلكتروني
لا تحتاج إلى اتحاد كامل لدمج وكيل جهة خارجية مع Agent 365 Observability. يمكن للعامل التكامل مع Agent 365 Observability عن طريق تمرير معرف المستخدم وعنوان البريد الإلكتروني للمستخدم الذي قام بتسجيل الدخول. هذا التكامل الخفيف هو خيار للوكلاء الذين يصادق مستخدموها باستخدام IdP تابع لجهة خارجية ولكنهم لا يحتاجون إلى الوصول إلى الموارد التي تتطلب رموزا مميزة من Microsoft Entra ID.
للاطلاع على خطوات التكامل وبُنى الطلبات، راجع إمكانية المراقبة لـ Agent 365.
حل معرف مستخدم باستخدام Microsoft Graph
إذا كان عاملك يعرف فقط عنوان البريد الإلكتروني للمستخدم أو اسم المستخدم الأساسي (UPN)، فاستخدم Microsoft Graph للبحث عن معرف عنصر المستخدم. تفترض الأمثلة التالية أن العامل يستدعي Microsoft Graph باستخدام رمز مميز خاص بالتطبيق فقط يتضمن إذن التطبيق User.Read.All.
احصل على معرف عنصر المستخدم من عنوان بريد إلكتروني عن طريق التصفية على الخاصية mail :
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
mail لا تتطابق الخاصية دائما مع العنوان الذي يقوم المستخدمون بتسجيل الدخول به. إذا لم يرجع البحث أي نتائج، فارجع إلى otherMails المجموعة:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
احصل على معرف عنصر المستخدم من UPN عن طريق معالجة مورد المستخدم مباشرة:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
ترجع الاستجابة الناجحة معرف كائن المستخدم في الخاصية id . قم بتمرير هذه القيمة كمعرف المستخدم عند استدعاء Agent 365 Observability.
ربط Microsoft Entra ID اتحادياً مع موفر الهوية (IdP) التابع لجهة خارجية
يستخدم العديد من العملاء الذين لديهم IdP تابع لجهة خارجية مستخدميهم Microsoft 365. لتمكين ذلك، يقومون بتكوين Microsoft Entra ID إلى federate مع IdP الذي يختارونه. باستخدام هذا التكوين، يصل المستخدمون إلى Microsoft 365 كالمعتاد، ولكن المستخدم يصادق مع IdP التابع لجهة خارجية بدلا من Microsoft Entra ID.
مصادقة وكيلك باستخدام Microsoft Entra ID
يمكن لأي عامل استخدام نفس النهج الذي يستخدمه Microsoft 365: يقوم العامل بمصادقة المستخدم مع Microsoft Entra ID، Microsoft Entra ID إعادة توجيه المستخدم إلى IdP الذي تختاره عند تكوين الاتحاد. الآن بعد أن قام العامل بمصادقة المستخدم باستخدام IDP الذي تختاره ويمكن للعامل الوصول إلى الموارد، مثل WorkIQ التي تتطلب رموزا مميزة من Microsoft Entra ID. لا يتطلب الأمر أي إعدادات في العامل لأجل الاتحاد.
بمجرد حصول العامل على رمز مميز للمستخدم من خلال هذا التدفق، يمكنه استخدام هذا الرمز المميز لاستدعاء أي قدرة Agent 365 تتطلب رمزا مميزا للمستخدم - وليس فقط إمكانية المراقبة. يعمل الرمز نفسه للوصول إلى أداة Work IQ، ولاستدعاءات On-Behalf-Of (OBO) إلى Microsoft Graph وواجهات برمجة التطبيقات التابعة الأخرى، ولأي ميزة أخرى في Agent 365 تعمل في سياق المستخدم.
يدعم Microsoft Entra ID بروتوكولات المصادقة والتخويل القياسية التي يستخدمها معظم الوكلاء بالفعل:
يمكن ترحيل أي عامل يصادق المستخدمين باستخدام أحد هذه البروتوكولات اليوم إلى Microsoft Entra ID عن طريق إعادة تعيين نقاط نهاية المصادقة واختبار التوافق. للحصول على نظرة عامة حول أنواع التطبيقات والتدفقات التي تدعمها Microsoft Entra ID، راجع أنواع Application في النظام الأساسي للهويات في Microsoft.