Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Microsoft Entra SDK voor agent-id is een in een container geplaatste webservice die tokenaanroepen, validatie en beveiligde downstream-API-aanroepen verwerkt. Het wordt uitgevoerd als een aanvullende container naast uw toepassing, zodat u identiteitslogica kunt offloaden naar een toegewezen service. Door identiteitsbewerkingen in de Microsoft Entra SDK voor agent-id te centraliseren, hoeft u geen complexe logica voor tokenbeheer in elke service in te sluiten, waardoor codeduplicatie en potentiële beveiligingsproblemen worden verminderd.
Als u bouwt met Kubernetes, in containers geplaatste services met Docker of moderne microservices op Azure, biedt de Microsoft Entra SDK voor agent-id een gestandaardiseerde manier om verificatie en autorisatie in cloudtoepassingen te verwerken.
Wat is de Microsoft Entra SDK voor agent-id?
De Microsoft Entra SDK voor agent-id communiceert met uw toepassing via een HTTP-API voor verificatie en autorisatie, waardoor consistente integratiepatronen worden geboden, ongeacht uw technologiestack. In plaats van identiteitslogica rechtstreeks in uw toepassingscode in te sluiten, verwerkt de Microsoft Entra SDK voor agent-id tokenbeheer, validatie en API-aanroepen via standaard HTTP-aanvragen.
Met deze benadering kunnen polyglot microservicesarchitecturen ontstaan waarbij verschillende services kunnen worden ontwikkeld in Python, Node.js, Go, Java en andere talen, terwijl consistente verificatiepatronen worden behouden.
De typische architectuur is als volgt:
Clienttoepassing → uw web-API → Microsoft Entra SDK voor agent-id → Microsoft Entra ID
Zie de Container Image voor de meest recente containerimages en versietags.
Security
Zorg ervoor dat uw Microsoft Entra SDK voor agent-id-implementatie de aanbevolen procedures voor beveiligde bewerking volgt. De SDK moet worden uitgevoerd in een containeromgeving met beperkte netwerktoegang om onbevoegde toegang te voorkomen. Het openbaar beschikbaar maken van de SDK-API kan leiden tot beveiligingsproblemen, zoals het verkrijgen van onbevoegde tokens.
Raadpleeg Security Best Practices om best practices voor netwerk-, aanmeldgegevens- en runtimebeveiliging aan te bevelen.
Waarschuwing
De SDK-API mag niet openbaar toegankelijk zijn. Het mag alleen bereikbaar zijn voor toepassingen binnen dezelfde vertrouwensgrens (bijvoorbeeld dezelfde pod of hetzelfde virtuele netwerk) om onbevoegde tokenverwerving te voorkomen.
Snel starten
Om aan de slag te gaan met de Microsoft Entra SDK voor agent-id, worden de volgende stappen aanbevolen:
- Uw implementatie kiezen - Kubernetes, Docker of AKS selecteren
- Instellingen configureren - Omgevingsvariabelen instellen
- Een scenario kiezen - Volg een begeleid voorbeeld
- Uitrollen naar productie - Beveiligingsrichtlijnen nalopen
Belangrijkste voordelen
De architectuur scheidt identiteitsproblemen van bedrijfslogica en biedt de volgende voordelen:
| Voordeel | Description |
|---|---|
| Ondersteuning voor meerdere talen | Aanroepen via HTTP vanuit Python, Node.js, Go, Java en andere |
| Gecentraliseerde beveiligingsconfiguratie | Eén locatie voor identiteitsconfiguratie, tokenbeheer en referentiebeheer |
| Container-native | Gebouwd voor Kubernetes, Docker, AKS en andere moderne implementaties |
| Zero Trust Ready | Integreert met beheerde identiteit en proof-of-possession tokens- gevoelige gegevens uit uw toepassingscode houden |
Wanneer gebruikt u de Microsoft Entra SDK voor agent-id of Microsoft. Identity.Web
| Scenario | Microsoft Entra SDK gebruiken voor agent-id | Gebruik Microsoft. Identity.Web |
|---|---|---|
| Taalondersteuning | Meerdere talen (Python, Node.js, Go, Java, enzovoort) | alleen .NET |
| Implementatiemodel | Containers (Kubernetes, Docker, AKS) | Elk implementatiemodel |
| Identiteitspatronen | Consistente patronen voor alle services | Deep .NET framework-integratie |
| Agentidentiteit | Beschikbaar in alle ondersteunde talen | alleen .NET |
| Tokenvalidatie | Beschikbaar in alle ondersteunde talen | alleen .NET |
| Beveiligingsmodel | Geheimen en tokens geïsoleerd van toepassingscode | Geïntegreerd met toepassing |
| prestatie | Een extra netwerkhop is vereist | Direct in-proces oproepen |
| Frameworkintegratie | HTTP-API-integratie | Systeemeigen .NET-integratie |
| Containerisatie | Ontworpen voor containeromgevingen | Werkt met of zonder containers |
Zie Comparison met Microsoft. Identity.Web voor gedetailleerde richtlijnen voor het kiezen tussen de twee benaderingen.
Tokenvalidatie
De Microsoft Entra SDK voor agent-id valideert zowel toegangstokens als id-tokens die zijn uitgegeven door Microsoft Entra ID, controleert de handtekeningen op basis van de openbare sleutels van Microsoft Entra ID, controleert de verlooptijden en zorgt ervoor dat de tokens zijn bedoeld voor uw toepassing. Zodra het is gevalideerd, kunt u gebruikersclaims, rollen en bereiken extraheren om weloverwogen autorisatiebeslissingen te nemen binnen uw toepassingslogica.
Token ophalen/autorisatieheader maken
- On-Behalf-Of OAuth 2.0-stroom - De gebruikerscontext delegeren naar downstream-API's
- Clientreferificaties - Authenticatie tussen toepassingen
- Managed Identity - Inheemse Azure-serviceauthenticatie
- Agentidentiteit - Autonome of gedelegeerde agentpatronen
Downstream-API-aanroepen
- Tokens automatisch verkrijgen en koppelen
- Optionele aanvraagoverschrijvingen (bereiken, methode, headers)
- Ondersteuning voor ondertekende HTTP-aanvragen (PoP/SHR)
Scenarios en handleidingen
De volgende handleidingen zijn uitgebreide stapsgewijze zelfstudies met praktische codevoorbeelden die laten zien hoe u de Microsoft Entra SDK voor agent-id integreert in uw toepassingen. Elk scenario biedt volledige voorbeelden van aanvragen/antwoorden, codefragmenten en implementatiepatronen die zijn afgestemd op verschillende programmeertalen en frameworks.
| Scenario | Description |
|---|---|
| Autorisatieheader valideren | Claims extraheren uit Bearer-tokens voor toegangsbeheer en aangepaste autorisatie-middleware |
| Autorisatieheader verkrijgen | Tokens verkrijgen voor het veilig aanroepen van downstream-API's |
| Downstream-API aanroepen | HTTP-aanroepen uitvoeren naar beveiligde API's met automatische tokenbijlage voor microservices in meerdere talen |
| Beheerde identiteit gebruiken | Verifiëren als een Azure-service voor het aanroepen van Microsoft Graph of andere Azure-services |
| Langdurige OBO-stroom implementeren | Gebruikerscontext verwerken via uitgebreide bewerkingen met tokenvernieuwing en on-Behalf-Of delegering |
| Ondertekende HTTP-aanvragen gebruiken | Proof-of-possession-beveiliging implementeren met PoP-tokens |
| Autonome batchverwerking van de agent | Batchtaken verwerken met autonome agentidentiteit |
| Integreren vanuit TypeScript | De Microsoft Entra SDK voor agent-id gebruiken vanuit Node.js/Express/NestJS-toepassingen |
| Integreren vanuit Python | De Microsoft Entra SDK voor agent-id gebruiken vanuit Flask-/FastAPI-/Django-toepassingen |
Architectuurpatronen
Een typische stroom waarbij uw client een web-API aanroept, de API identiteitsbewerkingen delegeert naar de Microsoft Entra SDK voor agent-id via HTTP-eindpunten. De SDK valideert binnenkomende tokens met behulp van het /Validate eindpunt, verkrijgt tokens met behulp /AuthorizationHeader van en /AuthorizationHeaderUnauthenticateden kan rechtstreeks downstream-API's aanroepen met behulp van /DownstreamApi en /DownstreamApiUnauthenticated.
Het communiceert met Microsoft Entra ID voor tokenuitgifte en Open ID Connect-metagegevens ophalen, met architectuur die wordt gedemonstreerd in het volgende codefragment:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Ondersteuning en middelen
De volgende bronnen bieden uitgebreide richtlijnen en hulp bij het oplossen van problemen en antwoorden op veelgestelde vragen.
| Hulpbron | Description |
|---|---|
| Agentidentiteiten | Meer informatie over autonome en gedelegeerde agentpatronen voor geavanceerde scenario's |
| API-verwijzing | Volledige eindpuntdocumentatie met aanvraag-/antwoordindelingen, queryparameters en foutcodes |
| Probleemoplossing | Veelvoorkomende problemen en stapsgewijze oplossingen voor implementatie- en runtimeproblemen |
| FAQ | Veelgestelde vragen over configuratie-, beveiligings- en integratieonderwerpen |
Voor aanvullende hulp:
- Problemen melden over Microsoft-identity-webopslagplaats
- Raadpleeg Microsoft Entra ID handleidingen voor probleemoplossing