Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando un agente de IA actúa en nombre de un usuario, siempre necesita dos autorizaciones:
- Autorización del agente. El propio agente necesita una identidad en Microsoft Entra ID y credenciales para autenticarse. Para configurar esta autorización para un agente que reside fuera de Microsoft Entra ID, consulte Configure agentes de terceros.
- Autorización de usuario. El usuario debe dar su consentimiento al agente que actúa en su nombre y el agente debe obtener un token de usuario que puede usar para llamar a las API de bajada.
En este artículo se describe la segunda autorización: cómo autorizar a los usuarios que inician sesión a través de un proveedor de identidades (IdP) de terceros para que un agente basado en Agente de Microsoft Entra ID pueda actuar en su nombre.
Integración con la observabilidad del Agente 365 mediante el identificador de usuario y el correo electrónico
No es necesaria una federación completa para integrar un agente de terceros con Agent 365 Observability. Un agente puede integrarse con Agent 365 Observability al proporcionar el ID de usuario y la dirección de correo electrónico del usuario que ha iniciado sesión. Esta integración ligera es una opción para los agentes cuyos usuarios se autentican con un IdP de terceros, pero no requieren acceso a los recursos que requieren tokens de Microsoft Entra ID.
Para conocer los pasos de integración y las formas de solicitud, consulte Observabilidad del Agente 365.
Resolución de un identificador de usuario con Microsoft Graph
Si el agente solo conoce la dirección de correo electrónico del usuario o el nombre principal de usuario (UPN), use Microsoft Graph para buscar el identificador de objeto del usuario. Los ejemplos siguientes suponen que el agente invoca Microsoft Graph con un token solo de aplicación que tiene el permiso de aplicación User.Read.All.
Para obtener el identificador de objeto de un usuario desde una dirección de correo electrónico, filtre por la mail propiedad :
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
La mail propiedad no siempre coincide con la dirección con la que los usuarios inician sesión. Si la búsqueda no devuelve ningún resultado, vuelva a la otherMails colección:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Obtenga el identificador de objeto de un usuario de un UPN direccionando el recurso de usuario directamente:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Una respuesta correcta devuelve el identificador de objeto del usuario en la id propiedad . Pase ese valor como identificador de usuario cuando llame al Agente 365 Observability.
Federar Microsoft Entra ID con el IdP de terceros
Muchos clientes con un IdP de terceros hacen que sus usuarios usen Microsoft 365. Para habilitar esto, configuran Microsoft Entra ID para federarse con el IdP de su elección. Con esta configuración, los usuarios acceden a Microsoft 365 como es normal, pero el usuario se autentica con el IdP de terceros en lugar de con Microsoft Entra ID.
Autenticación del agente con Microsoft Entra ID
Cualquier agente puede usar el mismo enfoque Microsoft 365 usa: el agente autentica al usuario con Microsoft Entra ID y Microsoft Entra ID redirige al usuario al IdP que prefiera cuando se configura la federación. Ahora que el agente ha autenticado al usuario con el IDP que prefiera y el agente puede acceder a los recursos, como WorkIQ que requieren tokens de Microsoft Entra ID. No se requiere ninguna configuración en el agente para la federación.
Una vez que el agente obtiene un token de usuario a través de este flujo, puede usar ese token para llamar a cualquier funcionalidad del Agente 365 que requiera un token de usuario, no solo observabilidad. El mismo token sirve para acceder a la herramienta Work IQ, realizar llamadas On-Behalf-Of (OBO) a Microsoft Graph y a otras API descendentes y para cualquier otra funcionalidad de Agent 365 que funcione en el contexto del usuario.
Microsoft Entra ID admite los protocolos de autenticación y autorización estándar que la mayoría de los agentes ya usan:
Cualquier agente que autentique a los usuarios con uno de estos protocolos actualmente se puede migrar a Microsoft Entra ID mediante la reasignación de puntos de conexión de autenticación y pruebas de compatibilidad. Para obtener información general sobre los tipos y flujos de aplicaciones que Microsoft Entra ID admiten, consulte Application types in the Plataforma de identidad de Microsoft.