Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat Anda membuat agen, Azure secara otomatis menyediakan sumber daya identitas. Artikel ini menjelaskan apa yang akan dibuat, mengapa ada dua identitas, dan bagaimana konektor menggunakannya.
Untuk informasi tentang bagaimana agen Anda mendapatkan izin pada sumber daya Azure (peran RBAC, tingkat izin, proses atas nama), lihat Izin Agen.
Apa yang dibuat
Dua identitas terkelola dibuat bersama dengan agen Anda.
| Identitas | Apa fungsinya | Apa yang Anda lakukan dengan itu |
|---|---|---|
| Identitas terkelola yang ditetapkan pengguna (UAMI) | Sumber daya identitas mandiri di grup sumber daya Anda | Tetapkan peran RBAC, pilih saat menyiapkan konektor. Ini adalah identitas yang Anda kelola |
| Identitas terkelola yang ditetapkan sistem | Identitas internal yang digunakan oleh infrastruktur agen | Tidak ada—identitas ini dikelola secara otomatis dan hanya digunakan untuk operasi internal |
UAMI adalah identitas tempat Anda bekerja. Muncul di grup sumber daya milik Anda, Anda menetapkan peran RBAC padanya, dan memilih peran tersebut saat menyiapkan konektor.
Petunjuk / Saran
Saat Anda melihat dropdown identitas terkelola di portal (untuk konektor, repositori, atau integrasi lainnya), pilih UAMI agen Anda. Ini adalah identitas yang sesuai dengan penugasan peran RBAC Anda.
Tempat UAMI agen Anda digunakan
UAMI agen Anda adalah identitas utama untuk sebagian besar tugas.
| Pengoperasian | Identitas | Catatan |
|---|---|---|
| Operasi sumber daya Azure (Azure Resource Manager, CLI, diagnostik) | UAMI | Peran RBAC yang Anda tetapkan menentukan apa yang dapat diakses agen |
| Konektor komunikasi (Outlook, Teams) | UAMI + kredensial OAuth Anda | Anda masuk melalui OAuth; UAMI memproses autentikasi sebagai perantara ke sumber daya konektor |
| Konektor data (Azure Data Explorer) | UAMI | Memberikan izin UAMI pada kluster Kusto target |
| Konektor kode sumber (GitHub, Azure DevOps) | UAMI (untuk identitas terkelola Azure DevOps) | Konektor Azure DevOps menggunakan UAMI; GitHub menggunakan OAuth |
| Konektor MCP | Beragam | Anda menyediakan URL titik akhir dan kredensial; secara opsional menetapkan identitas terkelola untuk panggilan Azure hilir |
| Infrastruktur internal | UAMI | Digunakan secara otomatis untuk operasi internal agen |
| Key Vault | UAMI (lebih disukai) atau ditentukan oleh sistem | Kembali ke yang ditetapkan sistem jika tidak ada UAMI yang ditentukan |
Cara konektor menggunakan identitas
Jenis konektor yang berbeda menggunakan identitas secara berbeda. Perbedaan utamanya adalah apakah konektor perlu melalui Azure Resource Manager (ARM) untuk mencapai layanan eksternal.
Konektor komunikasi (Outlook, Teams)
Saat Anda menyiapkan konektor komunikasi, dua hal terjadi:
- Anda log masuk dengan akun Anda melalui OAuth, yang memungkinkan konektor menerima kredensial pengguna Anda.
- Anda memilih UAMI dari menu dropdown identitas, yang digunakan oleh konektor untuk melakukan autentikasi ke sumber daya konektor.
Konektor menyimpan token OAuth Anda dengan aman di sumber daya konektor. Sumber daya konektor bertindak sebagai jembatan yang aman. Sumber daya menyimpan kredensial Anda sehingga agen tidak memerlukan akses langsung ke sumber daya tersebut. Ini menggunakan UAMI untuk memperantarai autentikasi ketika agen mengirim email atau memposting pesan Teams atas nama Anda.
Konektor data (Azure Data Explorer / Kusto)
Untuk konektor Kusto, agen menggunakan UAMI secara langsung untuk mengautentikasi ke kluster Azure Data Explorer Anda. Tidak perlu masuk dengan OAuth. Berikan UAMI izin yang diperlukan, seperti peran Penampil , pada kluster Kusto.
Konektor kode sumber (GitHub, Azure DevOps)
Konektor kode sumber menggunakan metode autentikasi yang berbeda tergantung pada platform.
- Azure DevOps: Menggunakan UAMI untuk autentikasi identitas terkelola. Pilih UAMI dari menu dropdown identitas dan berikan akses ke organisasi Azure DevOps Anda.
- Github: Menggunakan autentikasi OAuth. Masuk dengan menggunakan akun GitHub Anda. Tidak ada identitas terkelola yang diperlukan untuk koneksi GitHub itu sendiri.
Konektor MCP kustom
Konektor MCP menggunakan autentikasi berbasis titik akhir. Berikan URL server MCP bersama dengan kredensial, seperti kunci API, token Pembawa, atau OAuth. Anda dapat secara opsional menetapkan identitas terkelola untuk digunakan server MCP saat melakukan panggilan AZURE API hilir.
Temukan UAMI agen Anda
Anda dapat menemukan identitas terkelola agen yang ditetapkan pengguna dari portal agen, portal Microsoft Azure, atau Azure CLI.
Dari portal agen:
- Buka Pengaturan>pengaturan Azure.
- Nama identitas muncul di bidang Identitas Terkelola .
- Pilih Pergi ke Identitas untuk membukanya di portal Azure.
Dari portal Microsoft Azure:
- Pergi ke grup sumber daya agen Anda.
- Temukan sumber daya identitas terkelola
id-*. - Salin ID Objek (utama). Gunakan nilai ini untuk penetapan peran RBAC.
Dari Azure CLI:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Langkah selanjutnya
Konten terkait
- Izin agen: Pelajari cara mengonfigurasi peran RBAC dan tingkat izin untuk agen Anda.
- Konektor: Siapkan jenis konektor dan pelajari cara konektor memperluas kemampuan agen Anda.
- Peran dan izin pengguna: Mengontrol siapa yang dapat melihat, berinteraksi, dan mengelola agen Anda.