Sécuriser les points de terminaison OpenAPI pour le service de l’agent Foundry

Cet article explique comment sécuriser vos endpoints App Service OpenAPI lorsqu’ils sont appelés par le service Agent Foundry. Lorsque vous ajoutez votre application App Service en tant qu’outil OpenAPI dans Microsoft Foundry, vous pouvez la configurer pour appeler vos API de manière anonyme sans authentification, ce qui est plus facile pour le développement et le test. Toutefois, pour les environnements de production, vous devez utiliser l’authentification Microsoft Entra avec une identité managée. Ce guide vous guide tout au long de la configuration de l’authentification d’identité managée pour activer la communication sécurisée basée sur les jetons entre Microsoft Foundry et votre application.

Prerequisites

• Une application App Service avec des points de terminaison OpenAPI. Si vous devez ajouter des fonctionnalités OpenAPI à votre application, consultez l’un des didacticiels suivants :

  • Ajouter une application App Service en tant qu’outil dans Foundry Agent Service (.NET)
  • Ajouter une application App Service en tant qu’outil dans Foundry Agent Service (Java)
  • Ajouter une application App Service en tant qu’outil dans Foundry Agent Service (Python)
  • Ajouter une application App Service en tant qu’outil dans Foundry Agent Service (Node.js)

• Projet Microsoft Foundry dans lequel vous allez ajouter votre application en tant qu’outil OpenAPI.

Rechercher les ID d’identité managée de votre projet Microsoft Foundry

Vous avez besoin de l’ID d’objet et de l’ID d’application de l’identité managée de votre projet Microsoft Foundry pour configurer l’authentification App Service. Une identité managée affectée par le système est automatiquement créée pour votre projet Microsoft Foundry lorsque vous la créez. Cette identité est utilisée par le service d'agent Foundry pour s'authentifier via votre application.

1. Dans le portail Foundry, accédez à votre projet et sélectionnez Vue d’ensemble.

2. Dans la section Détails du projet à droite, sélectionnez le lien en regard du groupe de ressources pour ouvrir le groupe de ressources dans le portail Azure.

3. Dans le groupe de ressources, recherchez et sélectionnez votre ressource de projet Microsoft Foundry.

4. Dans le menu de gauche de la ressource de projet, sélectionnez Resource Management>Identity.

5. Sous Système affecté, copiez la valeur de l’ID d’objet (principal) pour une version ultérieure.

6. Dans le portail Azure, recherchez et sélectionnez Microsoft Entra ID.

7. Dans la zone de recherche, recherchez l’ID d’objet que vous avez copié et sélectionnez-le dans les résultats de recherche.

8. Dans la page Vue d’ensemble , copiez la valeur de l’ID d’application.

   Notez que l’ID d’objet est identique à celui indiqué dans l’identité managée affectée par le système. Vous avez besoin de l’ID d’application et de l’ID d’objet pour la configuration de l’authentification App Service.

Configurer l’authentification Microsoft Entra pour votre application

1. Dans le portail Azure, accédez à votre application App Service.

2. Dans le menu de gauche de votre application, sélectionnez Paramètres>Authentification, puis Ajouter un fournisseur d’identité.

3. Dans la page Ajouter un fournisseur d’identité , sélectionnez Microsoft comme fournisseur d’identité pour créer une inscription d’application.

4. Sous Vérifications supplémentaires, pour connaître les exigences de l’application cliente, sélectionnez Autoriser les demandes à partir d’applications clientes spécifiques.

5. Sélectionnez le widget crayon et ajoutez l’ID d’application que vous avez copié dans Rechercher les ID d’identité managée de votre projet Microsoft Foundry.

6. Pour Exigence d'identité, sélectionnez Autoriser les demandes à partir d’identités spécifiques.

7. Sélectionnez le widget crayon et ajoutez l’ID d’objet que vous avez copié dans Rechercher les ID d’identité managée de votre projet Microsoft Foundry.

8. Pour l’exigence du locataire , acceptez la valeur par défaut. Si ce n’est pas le cas, veillez à sélectionner le locataire dans lequel votre projet Microsoft Foundry (ou plutôt son identité) a été créé.

9. Pour les requêtes non authentifiées, sélectionnez HTTP 401 Non autorisé : recommandé pour les API.

10. Sélectionnez Ajouter pour créer le fournisseur d’identité.

    

Mettre à jour l'URI de l'ID d'application pour l'enregistrement de l'application

Après avoir activé l’authentification, vous devez mettre à jour l’URI d’ID d’application de l’inscription de l’application pour qu’elle corresponde à l’URL de votre application App Service.

1. Une fois la configuration du fournisseur Microsoft terminée, sélectionnez-la dans la colonne Fournisseur d’identité pour ouvrir la page d’inscription de l’application.

2. Dans le menu de gauche, sélectionnez Gérer l’exposition>d’une API.

3. En regard de l’URI de l’ID d’application, sélectionnez Modifier.

4. Remplacez la valeur par l’URL de votre application App Service au format suivant : https://<suffix>.azurewebsites.net.

   Vous trouverez le nom d’hôte de l’application dans la page Vue d’ensemble du domaine par défaut.

5. Cliquez sur Enregistrer.

Avertissement

Si vous supprimez votre application App Service, vous devez également supprimer l’inscription de l’application et nettoyer les ressources d’authentification qui référencent l’URI d’ID d’application. L’échec de cette opération crée une vulnérabilité de sécurité : si une autre personne crée une application avec la même URL, elle peut éventuellement obtenir un accès non autorisé aux ressources qui approuvent l’inscription d’application orpheline. Supprimez toujours les inscriptions d’applications et leurs autorisations associées lors de la désaffectation d’une application.

Configurer l’outil OpenAPI dans Microsoft Foundry

Note

Cette section suppose que vous avez déjà effectué l’un des didacticiels de la section Prérequis, où vous avez ajouté votre application en tant qu’outil OpenAPI dans Microsoft Foundry à l’aide de l’authentification anonyme. Vous mettez à jour l’outil pour utiliser l’authentification d’identité managée.

1. Dans le portail Foundry, sélectionnez votre agent.

2. Recherchez l’outil OpenAPI et sélectionnez-le pour modifier.

3. Dans la page Définir le schéma de cet outil :

   1. Collez votre schéma OpenAPI. Pour plus d’informations, consultez Comment utiliser OpenAPI avec le service De l’agent Foundry.

   2. Pour la méthode d’authentification, sélectionnez Managed Identity.

   3. Pour Audience, entrez l’URL de votre application App Service. Cette URL doit correspondre à l’URI d’ID d’application que vous avez configuré précédemment.

   Conseil / Astuce

   Le service de l’agent Foundry utilise l’identité managée affectée par le système pour s’authentifier avec votre application. Étant donné que vous avez ajouté l’ID client de l’identité en tant qu’application cliente autorisée et une identité autorisée dans la configuration du fournisseur d’authentification de votre application, le service d’agent est autorisé à appeler les API de votre application.

4. Passez en revue et enregistrez l’outil.

Tester l’agent

1. Dans le portail Foundry, sélectionnez votre agent et choisissez Essayer dans l'environnement de test.

2. Discutez avec l’agent pour tester vos points de terminaison OpenAPI. Par exemple:

   • Affichez-moi toutes les tâches.
   • Créez une tâche appelée « Acheter des épiceries ».
   • Mettez à jour cette tâche pour « Acheter des épiceries et cuisiner le dîner ».

Si l’authentification est correctement configurée, l’agent appelle correctement les API de votre application via l’outil OpenAPI.

Contenu connexe

• Configurer votre application App Service ou Azure Functions pour utiliser la connexion à Microsoft Entra
• Intégrer l’IA à vos applications Azure App Service
• Qu’est-ce que le Service de l’agent Foundry ?