Поделиться через

Идентичности агента в Microsoft Entra ID для агентов

Идентификатор агента — это специальный служебный принципал в Microsoft Entra ID. Он представляет личность, созданную схемой идентичности агента и уполномоченной совершать действия от имени. У него нет собственных учетных данных. Схема удостоверения агента может получать токены от имени удостоверения агента при условии, что пользователь или администратор клиента дали согласие для данного удостоверения агента в соответствующих областях. Автономные агенты получают токены приложений от имени идентичности агента. Интерактивные агенты, вызываемые с пользовательским токеном, получают доступ к токенам пользователя, действуя от имени удостоверения агента.

Удостоверения агента можно использовать для:

  • Запрос токенов агента из Microsoft Entra ID. Субъект токена доступа — удостоверение агента.
  • Получайте входящие токены доступа, выданные Microsoft Entra ID. Аудитория токена доступа — это идентификатор агента.
  • Запрос токенов пользователей из Microsoft Entra ID для аутентифицированного пользователя. Субъект маркера — это пользователь, а действующий — идентичность агента.

Это важно

Microsoft Entra ID для агентов в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Майкрософт не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Анатомия удостоверения агента

Учетная запись, используемая агентом ИИ, называется удостоверением агента. Как и обычная учетная запись пользователя, удостоверение агента имеет несколько ключевых компонентов:

Схема с иллюстрацией удостоверения агента.

  • Идентификатор. Каждое удостоверение агента имеет id (также известный как идентификатор объекта), например aaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra создает id и однозначно идентифицирует учетную запись внутри клиента Microsoft Entra.

  • Учетные данные. У удостоверений агента нет собственных учетных данных. Они полагаются на план идентификации агента для получения токенов от их лица.

  • Отображаемое имя. Отображаемое имя агента отображается во многих интерфейсах, таких как административный центр Microsoft Entra, портал Azure, Teams, Outlook и другие. Это дружественное для пользователя имя агента, и его можно изменить.

  • Спонсор. Идентификации агента могут иметь спонсора, который фиксирует человека или группу, отвечающих за агента. Этот спонсор используется для различных целей, таких как связь с человеком в случае, если произойдет инцидент, связанный с безопасностью.

  • Схема. Все удостоверения агента создаются из повторно используемых шаблонов, называемых схемой удостоверения агента. Схема удостоверения агента устанавливает тип агента и записывает метаданные, общие для всех удостоверений агента общего типа.

  • Учетная запись пользователя агента (необязательно). Некоторые агенты нуждаются в доступе к системам, которые строго требуют использования учетной записи пользователя Microsoft Entra для проверки подлинности. В таких случаях агент может быть предоставлен второй учетной записи, называемой учетной записью пользователя агента. Эта вторая учетная запись — это учетная запись пользователя в клиенте Microsoft Entra, который назначен в качестве агента ИИ. Он отличается от id удостоверения агента, но связь 1:1 всегда устанавливается между удостоверением агента и учетной записью пользователя своего агента.

Это основные компоненты удостоверения агента, которые обеспечивают безопасную проверку подлинности и авторизацию. Полная схема объекта удостоверения агента доступна в справочной документации по Microsoft Graph.

Авторизация идентичностей агентов

Удостоверение агента — это основная учетная запись, используемая агентом ИИ для проверки подлинности в различных системах. Он имеет уникальные идентификаторы, такие как идентификатор объекта и идентификатор приложения, которые всегда имеют одинаковое значение и могут надежно использоваться для принятия решений проверки подлинности и авторизации.

В отличие от пользователей, агенты ИИ не используют пароли, службу коротких сообщений (SMS), ключи доступа или приложения проверки подлинности для проверки подлинности. У удостоверений агента нет собственных учетных данных. Они проходят проверку подлинности только с помощью федеративных учетных данных удостоверения (FIC), выданных планом идентификации агента. План держит учетные данные, которые он использует для получения токенов от имени учетных записей агента. Учетные данные не находятся в удостоверении агента. К этим типам учетных данных в схеме относятся следующие:

  • Учетные данные федеративной идентификации
  • Сертификаты / криптографические ключи
  • Секреты клиента

Удостоверения агента могут выдаваться только в клиенте Microsoft Entra, где они создаются. Они не могут получить доступ к ресурсам или API в других арендаторах.

Схемы: согласованная безопасность для удостоверений агента

Ключевой особенностью удостоверений агента является создание всех удостоверений агента из повторного шаблона, называемого схемой удостоверения агента. Чертеж устанавливает вид агента и записывает метаданные, общие для всех идентичностей агента общего вида.

Схема, показывающая связь между удостоверением агента и схемой идентификации агента.

Представьте, что организация использует агент ИИ под названием "Агент помощника по продажам". Независимо от того, приобретен или построен агент, к Microsoft Entra клиента организации будет добавлен шаблон идентификации агента. Схема записывает следующие сведения:

  • Имя схемы, например "Агент помощника по продажам"
  • Организация, которая опубликовала схему, например Contoso
  • Любые роли, которые может предложить агент, например "менеджер по продажам" или "представитель продаж"
  • Все разрешения Microsoft Graph, предоставляемые их агентами, например "чтение календаря пользователя, который вошел в систему"

Многие команды продаж в организации развертывают агента искусственного интеллекта. Агент назначается для продаж на рынке Северной Америки. Другой развертывается для продаж в Южной Америке. Один для корпоративных продаж, один для малого или среднего бизнеса, а другой для стартапов. После создания каждый из этих агентов получает удостоверение агента. Каждый агент начинает выполнять задачи, используя свой идентификатор агента для аутентификации.

Так как каждое удостоверение агента создается с помощью одной схемы удостоверения агента, все агенты отображаются как "Агенты помощника по продажам" в Центр администрирования Microsoft Entra. Эта функция позволяет администратору Microsoft Entra выполнять такие действия, как:

  • Примените политику условного доступа ко всем агентам отдела продаж.
  • Отключите всех агентов Ассистента продажи.
  • Отмена предоставления разрешения для всех агентов Помощника по продажам.

Схемы удостоверений агента предоставляют администратору Microsoft Entra возможность защитить удостоверения агента в масштабе, задав правила и выполняя операции на основе типа агента. Эта функция обеспечивает согласованную безопасность для каждого агента ИИ, развернутого в организации.

Связанный контент

  • Last updated on