Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Uživatelský účet agenta je specializovaný typ identity navržený tak, aby překlel mezeru mezi agenty a funkcemi lidských uživatelů. Uživatelský účet agenta umožňuje aplikacím využívajícím AI pracovat se systémy a službami, které vyžadují identity uživatelů a současně udržovat odpovídající hranice zabezpečení a řízení správy. Umožňuje organizacím spravovat přístup agenta pomocí podobných funkcí, jako to dělají pro lidské uživatele.
Příklad scénářů uživatelského účtu agenta
Někdy není stačit, aby agent prováděl úlohy jménem uživatele nebo fungoval jako autonomní aplikace. V určitých scénářích musí agent fungovat jako uživatel, který funguje v podstatě jako digitální pracovník. Tady jsou příklady scénářů, ve kterých by byl uživatelský účet agenta použitelný:
- Organizace potřebuje dlouhodobé digitální zaměstnance, kteří fungují jako členové týmu s poštovními schránkami, přístupem k chatu a zahrnutím do personálních systémů.
- Agent potřebuje přístup k rozhraním API nebo prostředkům, které jsou k dispozici pouze pro identity uživatelů.
- Agent se musí účastnit pracovních postupů pro spolupráci jako člen týmu.
Z těchto důvodů se vytvoří uživatelský účet agenta. Uživatelský účet agenta je volitelný a měl by se vytvořit jenom pro interakce, kdy agent musí fungovat jako uživatel nebo přistupovat k prostředkům omezeným na uživatelské účty.
Uživatelský účet agenta
Uživatelský účet agenta představuje podtyp identity uživatele v rámci Microsoft Entra. Tyto identity jsou navržené tak, aby aplikacím agenta umožňovaly provádět akce v kontextech, kde se vyžaduje identita uživatele. Na rozdíl od neagentických instančních objektů nebo identit aplikací uživatelský účet agenta přijímá tokeny s deklarací identity idtyp=user, což mu umožňuje přístup k rozhraním API a službám, které konkrétně vyžadují identity uživatelů. Rovněž udržuje bezpečnostní omezení nezbytná pro nelidské identity.
Uživatelský účet agenta se nevytvořil automaticky. Vyžaduje explicitní proces vytvoření, který jej propojí s jeho nadřazenou identitou agenta. Tento vztah nadřazený-podřízený je zásadní pro pochopení toho, jak funguje uživatelský účet agenta a je zabezpečený v Microsoft Entra. Po vytvoření je tento vztah neměnný a slouží jako základní kámen modelu zabezpečení pro uživatelský účet agenta. Relace je vztah typu mapování jedna ku jedné (1:1). Každá identita agenta může mít maximálně jeden přidružený uživatelský účet agenta a uživatelský účet každého agenta je propojený s přesně jednou nadřazenou identitou agenta, která je propojená s přesně jednou aplikací podrobného plánu identity agenta.
Uživatelský účet agenta:
- Vytvoří se také pomocí podrobného plánu identity agenta.
- Je vždy přidružená ke konkrétní identitě agenta, která je určená při vytváření.
- Má jedinečné identifikátory, které jsou oddělené od identity agenta.
- Může se ověřit pouze předložením tokenu, který byl vystaven pro přidruženou identitu agenta.
Uživatelský účet agenta a vztah k identitě agenta
Podrobný plán identity agenta nemá ve výchozím nastavení oprávnění k vytvoření uživatelského účtu agenta, protože tato funkce je volitelná a není vždy potřebná. Jedná se o oprávnění, které musí být explicitně uděleno plánu identity agenta.
Uživatelský účet agenta se vytvoří pomocí podrobného plánu identity agenta. Při udělení správných oprávnění může podrobný plán identity agenta vytvořit uživatelský účet agenta a vytvořit nadřazený vztah s konkrétní identitou agenta. Identita agenta se považuje za nadřazenou položku uživatelského účtu agenta.
Správci spravují životní cyklus uživatelského účtu agenta. Uživatel s oprávněním správce může odstranit uživatelský účet agenta, jakmile už nebudou jeho funkce potřeba.
Model ověřování a zabezpečení
Model ověřování uživatelského účtu agenta se výrazně liší od uživatelských účtů člověka:
Přihlašovací údaje federované identity: Ověřování probíhá prostřednictvím přihlašovacích údajů přiřazených k uživatelskému účtu agenta. V produkčních systémech použijte Federated Identity Credentials (FIC). Tyto přihlašovací údaje slouží k ověřování plánu identity agenta i samotné identity agenta. Přihlašovací údaje přiřazené uživateli se používají k ověřování v ekosystému agentů.
Omezený model přihlašovacích údajů: Uživatelský účet agenta nemá běžné přihlašovací údaje, jako jsou hesla. Místo toho je omezeno na použití přihlašovacích údajů zadaných prostřednictvím nadřazeného vztahu. Toto omezení přihlašovacích údajů spolu s omezeními interaktivního přihlašování zajišťuje, že se uživatelský účet agenta nedá použít jako standardní uživatelský účet.
Mechanismus zosobnění: Přidružená identita agenta může zosobnit uživatelský účet jeho podřízeného agenta. Umožňuje nadřazené obchodní logice získat tokeny a v případě potřeby fungovat jako uživatelský účet agenta.
Možnosti uživatelského účtu agenta
Uživatelský účet agenta má funkce, které umožňují efektivní fungování v rámci Microsoft 365 a dalších prostředí:
Uživatelský účet agenta je možné přidat do Microsoft Entra skupin, včetně dynamických skupin, což umožňuje dědit oprávnění udělená těmto skupinám. Nedá se ale přidat do skupin s možností přiřazení rolí.
Uživatelský účet agenta může přistupovat k prostředkům a využívat další funkce pro spolupráci, které jsou obvykle vyhrazené pro lidské uživatele.
Uživatelský účet agenta je možné přidat do jednotek pro správu, podobně jako u lidských uživatelů.
Uživatelský účet agenta může mít přiřazené licence, což je často nezbytné pro zřizování Microsoft 365 prostředků.
Omezení zabezpečení
Uživatelský účet agenta pracuje s konkrétními omezeními zabezpečení, aby se zajistilo vhodné použití:
Omezení přihlašovacích údajů: Uživatelský účet agenta nemůže mít přihlašovací údaje, jako jsou hesla nebo klíče. Jediným typem přihlašovacích údajů, který podporuje, je referenční identita agenta ke svému nadřazenému prvku. Takže i když se uživatelský účet agenta chová jako uživatel, jeho přihlašovací údaje jsou důvěrné přihlašovací údaje klienta.
Omezení rolí pro správu: Uživatelský účet agenta nemůže být přiřazen privilegovaným rolím správce. Toto omezení poskytuje důležitou hranici zabezpečení, která brání potenciálnímu zvýšení oprávnění.
Model oprávnění: Uživatelský účet agenta má obvykle oprávnění podobná uživatelům typu host s dalšími možnostmi pro výčet uživatelů a skupin. Uživatelský účet agenta nemůže být přiřazen privilegovaným rolím správce. Pro uživatelský účet agenta nejsou k dispozici vlastní přiřazení role a skupiny přiřaditelné k rolím. Další informace naleznete v referenční dokumentaci oprávnění Microsoft Graph.
Zřizování uživatelských účtů agenta pro Microsoft 365
Pokud chcete plně zřídit uživatelský účet agenta s funkcemi digitálního pracovního procesu, jako je poštovní schránka, přítomnost Teams nebo integrace personálního systému, vytvořte agenta prostřednictvím Microsoft Teams. Agent 365 a sada Agent 365 SDK poskytují základ pro uživatelské účty agenta, aby se plně zapojily do Microsoft 365.
Note
Vytvoření uživatelského účtu agenta přímo prostřednictvím rozhraní Microsoft Graph API založí identitu v Microsoft Entra, ale nezpřístupní funkce Microsoftu 365. Přístup Graph API použijte jenom pro scénáře, které nevyžadují Microsoft 365 účast.
Další informace najdete v dokumentaci k Sada SDK pro agenty Microsoft 365.