Solicitar tokens de agente para agentes autônomos

Quando os agentes executam operações usando sua própria identidade, em vez de agir como representante de um usuário, eles são chamados de agentes autônomos. Para executar operações, os agentes devem primeiro se autenticar com a ID do Microsoft Entra e obter um token de acesso usando a identidade do agente (ID do agente). Este artigo explica o processo de solicitação de um token de acesso para uma identidade de agente na ID do Microsoft Entra usando um processo de duas etapas. Você vai:

• Obtenha um token para um modelo de identidade do agente.
• Troque o token de modelo de identidade do agente por um token de identificação do agente.

Pré-requisitos

Antes de implementar a autenticação de token do agente, verifique se você tem:

• Uma identidade de agente. Você precisará do ID de cliente de identidade do agente.
• Entender os protocolos oauth na ID do Microsoft Entra Agent
• Um blueprint de identidade do agente.

Configurar suas credenciais de cliente

Obtenha os detalhes da credencial do cliente. Esse pode ser o segredo do cliente, um certificado ou uma identidade gerenciada que você está usando como uma credencial de identidade federada.

Aviso

Segredos do cliente não devem ser usados como credenciais de cliente em ambientes de produção para planos de identidade do agente devido a riscos de segurança. Em vez disso, use métodos de autenticação mais seguros, como fic (credenciais de identidade federadas) com identidades gerenciadas ou certificados de cliente. Esses métodos fornecem segurança aprimorada eliminando a necessidade de armazenar segredos confidenciais diretamente na configuração do aplicativo.

Microsoft Graph API

Prossiga para a próxima etapa

Microsoft.Identity.Web

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "<your-tenant-id>",
    "ClientId": "<agent-blueprint-clientid>",
    "ClientCredentials": [
      {
        "SourceType": "ClientSecret",
        "ClientSecret": "your-client-secret"
        }
    ]
  }
}

Solicitar um token para o modelo de identidade do agente

Ao solicitar o token para o modelo de identidade do agente, forneça a ID do cliente da ID do agente no parâmetro fmi_path. Forneça o client_secret parâmetro em vez de client_assertion e client_assertion_type ao usar um segredo do cliente como uma credencial durante o desenvolvimento local. Para certificados e identidades gerenciadas, use client_assertion e client_assertion_type.

Microsoft Graph API

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-client-id>
&scope=api://AzureADTokenExchange/.default
&grant_type=client_credentials
&client_secret=<client-secret>
&fmi_path=<agent-identity-client-id>

Microsoft.Identity.Web

Com o Microsoft.Identity.Web, você não precisa solicitar explicitamente um token para o blueprint de identidade do agente. Microsoft.Identity.Web faz isso por você.

dotnet add package Microsoft.Identity.Web
dotnet add package Microsoft.Identity.Web.AgentIdentities

Solicitar um token de identidade de agente

Microsoft Graph API

Depois de ter o blueprint de identidade do agente (T1), use-o para solicitar o token de identidade do agente.

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-identity-client-id>
&scope=https://graph.microsoft.com/.default
&grant_type=client_credentials
&client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
&client_assertion=<agent-blueprint-token-T1>

Microsoft.Identity.Web

Microsoft.Identity.Web manipula os detalhes do protocolo de aquisição de token para você, desde que você use o novo services.AddAgentIdentities() em sua coleção de serviços na inicialização do aplicativo.

Inicialize o aplicativo:

// Program.cs
using Microsoft.AspNetCore.Authorization;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.Resource;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration);
builder.Services.AddAgentIdentities();
builder.Services.AddInMemoryTokenCaches();

Use o .WithAgentIdentity() padrão para solicitar tokens de acesso:

// Get the service to call the downstream API (preconfigured in the appsettings.json file)
IAuthorizationHeaderProvider authorizationHeaderProvider = serviceProvider.GetService<IAuthorizationHeaderProvider>();
AuthorizationHeaderProviderOptions options = new AuthorizationHeaderProviderOptions().WithAgentIdentity("<agent-identity-client-id>");

// Request agent identity tokens
string authorizationHeaderWithAppTokens = await authorizationHeaderProvider.CreateAuthorizationHeaderForAppAsync("https://resource/.default", options);

// The authHeader contains "Bearer " + the access token (or another protocol
// depending on the options)

Conteúdo relacionado

• Reivindicações do token de acesso de identidade do agente
• Adquirir token usando o SDK do Microsoft Entra para ID do agente