Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas tworzenia agenta platforma Azure automatycznie przydziela zasoby tożsamości. W tym artykule wyjaśniono, co jest tworzone, dlaczego istnieją dwie tożsamości i jak używają ich konektory.
Aby uzyskać informacje na temat sposobu, w jaki agent uzyskuje uprawnienia do zasobów platformy Azure (role RBAC, poziomy uprawnień, przepływ w imieniu innych), zobacz Uprawnienia agenta.
Co zostanie utworzone
Wraz z agentem tworzone są dwie tożsamości zarządzane.
| Tożsamość | Co to jest | Co robisz z tym |
|---|---|---|
| Tożsamość zarządzana przypisana przez użytkownika (UAMI) | Niezależny zasób tożsamości w grupie zasobów | Przypisz role RBAC, wybierz je podczas konfigurowania łączników. Jest to tożsamość, którą zarządzasz |
| Tożsamość zarządzana przypisana przez system | Tożsamość wewnętrzna używana przez infrastrukturę agenta | Nic — ta tożsamość jest zarządzana automatycznie i używana tylko w przypadku operacji wewnętrznych |
UAMI to identyfikator, z którym pracujesz. Zostanie ona wyświetlona w grupie zasobów, przypiszesz do niej role RBAC i wybierzesz ją podczas konfigurowania łączników.
Wskazówka
Po wyświetleniu listy rozwijanej tożsamości zarządzanej w portalu (w przypadku łączników, repozytoriów lub innych integracji) wybierz pozycję UAMI agenta. Jest to tożsamość użytkownika zgodna z przypisaniami ról RBAC.
Gdzie jest używany UAMI Twojego agenta
UAMI Twojego agenta jest podstawową tożsamością dla większości operacji.
| Operation | Tożsamość | Notatki |
|---|---|---|
| Operacje zasobów platformy Azure (Azure Resource Manager, interfejs wiersza polecenia, diagnostyka) | UAMI | Przypisywane role RBAC określają, do czego agent ma dostęp. |
| Łączniki komunikacyjne (Outlook, Teams) | UAMI + poświadczenia protokołu OAuth | Użytkownik loguje się za pośrednictwem protokołu OAuth; UAMI pośredniczy w uwierzytelnianiu zasobu łącznika. |
| Łączniki danych (Azure Data Explorer) | UAMI | Udzielanie uprawnień UAMI w docelowym klastrze Kusto |
| Łączniki kodu źródłowego (GitHub, Azure DevOps) | UAMI (dla zarządzanej tożsamości usługi Azure DevOps) | Konektor Azure DevOps używa UAMI; GitHub używa protokołu OAuth |
| Łączniki MCP | Varies | Należy podać adres URL punktu końcowego i poświadczenia; opcjonalnie przypisz tożsamość zarządzaną dla podrzędnych wywołań platformy Azure |
| Infrastruktura wewnętrzna | UAMI | Używane automatycznie na potrzeby operacji wewnętrznych agenta |
| Key Vault (magazyn kluczy) | UAMI (preferowane) lub przypisane przez system | Wraca do opcji przypisanej przez system, jeśli nie określono żadnego UAMI. |
Jak łączniki używają tożsamości
Różne typy złączy wykorzystują tożsamość na różne sposoby. Kluczową różnicą jest to, czy łącznik musi przejść przez usługę Azure Resource Manager (ARM), aby uzyskać dostęp do usługi zewnętrznej.
Łączniki komunikacyjne (Outlook, Teams)
Podczas konfigurowania łącznika komunikacji zdarzają się dwie rzeczy:
- Zaloguj się przy użyciu konta za pośrednictwem protokołu OAuth, co daje łącznikowi poświadczenia użytkownika.
- Z rozwijanej listy tożsamości wybierz UAMI, którego łącznik używa do uwierzytelniania zasobu.
Łącznik bezpiecznie przechowuje token OAuth w zasobie łącznika. Zasób łącznika działa jako bezpieczny most. Zasób przechowuje poświadczenia, więc agent nie potrzebuje bezpośredniego dostępu do nich. Używa UAMI do pośredniczenia w uwierzytelnianiu, gdy agent wysyła wiadomość e-mail lub publikuje wiadomość w Teams w Twoim imieniu.
Łączniki danych (Azure Data Explorer/Kusto)
W przypadku łączników Kusto agent używa UAMI bezpośrednio do uwierzytelniania w klastrze Azure Data Explorer. Nie jest wymagane żadne logowanie za pomocą protokołu OAuth. UAMI przyznaj wymagane uprawnienia, takie jak rola Osoba przeglądająca , w klastrze Kusto.
Łączniki kodu źródłowego (GitHub, Azure DevOps)
Łączniki kodu źródłowego używają różnych metod uwierzytelniania w zależności od platformy.
- Azure DevOps: Używa UAMI do uwierzytelniania za pomocą tożsamości zarządzanej. Wybierz pozycję UAMI z listy rozwijanej tożsamości i przyznaj UAMI dostęp do organizacji usługi Azure DevOps.
- Github: Używa uwierzytelniania OAuth. Zaloguj się przy użyciu konta usługi GitHub. Do połączenia z usługą GitHub nie jest wymagana żadna tożsamość zarządzana.
Niestandardowe łączniki MCP
Łączniki MCP używają uwierzytelniania opartego na punktach końcowych. Podaj adres URL serwera MCP wraz z poświadczeniami, takimi jak klucz interfejsu API, token elementu nośnego lub OAuth. Opcjonalnie można przypisać tożsamość zarządzaną dla serwera MCP do użycia podczas wykonywania podrzędnych wywołań interfejsu API platformy Azure.
Znajdź UAMI swojego agenta
Tożsamość zarządzaną przypisaną przez użytkownika agenta można znaleźć w portalu agenta, w portalu Azure lub w Azure CLI.
W portalu agenta:
- Przejdź do pozycji Ustawienia>platformy Azure.
- Nazwa tożsamości pojawia się w polu Tożsamość zarządzana.
- Wybierz Idź do tożsamości, aby otworzyć ją w portalu Azure.
W witrynie Azure Portal:
- Przejdź do grupy zasobów agenta.
- Znajdź zasób tożsamości zarządzanej
id-*. - Skopiuj identyfikator obiektu (głównego podmiotu). Użyj tej wartości dla przypisań ról RBAC.
Z poziomu interfejsu wiersza polecenia platformy Azure:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Następne kroki
Treści powiązane
- Uprawnienia agenta: dowiedz się, jak skonfigurować role RBAC i poziomy uprawnień dla agenta.
- Łączniki: skonfiguruj typy łączników i dowiedz się, jak rozszerzają możliwości agenta.
- Role i uprawnienia użytkownika: kontrolowanie, kto może wyświetlać, korzystać z agenta i administrować nim.