Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando um agente de IA age em nome de um usuário, ele sempre precisa de duas autorizações:
- Autorização do agente. O próprio agente precisa de uma identidade em Microsoft Entra ID e credenciais para autenticar. Para configurar essa autorização para um agente que reside fora Microsoft Entra ID, consulte Configure agentes de terceiros.
- Autorização do usuário. O usuário deve consentir com o agente agindo em seu nome e o agente deve obter um token de usuário que possa ser usado para chamar APIs downstream.
Este artigo descreve a segunda autorização: como autorizar usuários que se conectarem por meio de um IdP (provedor de identidade) de terceiros para que um agente baseado em ID do agente Microsoft Entra possa agir em seu nome.
Integrar com o Agent 365 Observability usando ID de usuário e email
Você não precisa de federação completa para integrar um agente de terceiros ao Agent 365 Observability. Um agente pode se integrar ao Agent 365 Observability passando a ID de usuário e o endereço de email do usuário conectado. Essa integração leve é uma opção para agentes cujos usuários se autenticam com um IdP de terceiros, mas não exigem acesso a recursos que exigem tokens de Microsoft Entra ID.
Para as etapas de integração e os formatos de solicitação, consulte Observabilidade do Agent 365.
Resolver uma ID de usuário com Microsoft Graph
Se o seu agente souber apenas o endereço de e-mail do usuário ou o nome principal de usuário (UPN), use o Microsoft Graph para localizar a ID do objeto do usuário. Os exemplos a seguir pressupõem que o agente chame o Microsoft Graph com um token somente de aplicativo que tenha a permissão de aplicativo User.Read.All.
Obtenha o ID de objeto de um usuário a partir de um endereço de email filtrando pela propriedade mail:
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
A mail propriedade nem sempre corresponde ao endereço com o qual os usuários se conectaram. Se a pesquisa não retornar resultados, volte para a otherMails coleção:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Obtenha o ID de objeto de um usuário a partir de um UPN acessando diretamente o recurso do usuário:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Uma resposta bem-sucedida retorna a ID do objeto do usuário na id propriedade. Passe esse valor como o ID do usuário ao chamar o Agent 365 Observability.
Federar o Microsoft Entra ID com o IdP de terceiros
Muitos clientes com um IdP de terceiros têm seus usuários usando Microsoft 365. Para habilitar isso, eles configuram o Microsoft Entra ID para se federar com o IdP de sua escolha. Com essa configuração, os usuários acessam Microsoft 365 normalmente, mas o usuário se autentica com o IdP de terceiros em vez de com Microsoft Entra ID.
Autenticar seu agente com Microsoft Entra ID
Qualquer agente pode usar a mesma abordagem Microsoft 365 usa: o agente autentica o usuário com Microsoft Entra ID e Microsoft Entra ID redireciona o usuário para o IdP de escolha quando a federação está configurada. Agora que o agente autenticou o usuário com o IDP escolhido e pode acessar recursos como WorkIQ, que exigem tokens do Microsoft Entra ID. Não é necessária nenhuma configuração no agente para federação.
Depois que o agente obtém um token de usuário por meio desse fluxo, ele pode usar esse token para chamar qualquer funcionalidade do Agent 365 que exija um token de usuário - não apenas Observabilidade. O mesmo token funciona para acesso à ferramenta Work IQ, chamadas Em Nome de (OBO) (OBO) para o Microsoft Graph e outras APIs subsequentes e para qualquer outro recurso do Agent 365 que funcione no contexto do usuário.
Microsoft Entra ID dá suporte aos protocolos padrão de autenticação e autorização que a maioria dos agentes já usa:
Qualquer agente que autentica os usuários com um desses protocolos hoje pode ser migrado para Microsoft Entra ID, renomeando seus pontos de extremidade de autenticação e testando a compatibilidade. Para obter uma visão geral dos tipos de aplicativo e fluxos aos quais o Microsoft Entra ID dá suporte, consulte Tipos de aplicativo na plataforma de identidade da Microsoft.