Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор агента — это специальный служебный принципал в Microsoft Entra ID. Он представляет личность, созданную схемой идентичности агента и уполномоченной совершать действия от имени. У него нет собственных учетных данных. Схема удостоверения агента может получать токены от имени удостоверения агента при условии, что пользователь или администратор клиента дали согласие для данного удостоверения агента в соответствующих областях. Автономные агенты получают токены приложений от имени идентичности агента. Интерактивные агенты, вызываемые с пользовательским токеном, получают доступ к токенам пользователя, действуя от имени удостоверения агента.
Удостоверения агента можно использовать для:
- Запрос токенов агента из Microsoft Entra ID. Субъект токена доступа — удостоверение агента.
- Получайте входящие токены доступа, выданные Microsoft Entra ID. Аудитория токена доступа — это идентификатор агента.
- Запрос токенов пользователей из Microsoft Entra ID для аутентифицированного пользователя. Субъект маркера — это пользователь, а действующий — идентичность агента.
Это важно
Microsoft Entra ID для агентов в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Майкрософт не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Анатомия удостоверения агента
Учетная запись, используемая агентом ИИ, называется удостоверением агента. Как и обычная учетная запись пользователя, удостоверение агента имеет несколько ключевых компонентов:
Идентификатор. Каждое удостоверение агента имеет
id(также известный как идентификатор объекта), напримерaaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra создаетidи однозначно идентифицирует учетную запись внутри клиента Microsoft Entra.Учетные данные. У удостоверений агента нет собственных учетных данных. Они полагаются на план идентификации агента для получения токенов от их лица.
Отображаемое имя. Отображаемое имя агента отображается во многих интерфейсах, таких как административный центр Microsoft Entra, портал Azure, Teams, Outlook и другие. Это дружественное для пользователя имя агента, и его можно изменить.
Спонсор. Идентификации агента могут иметь спонсора, который фиксирует человека или группу, отвечающих за агента. Этот спонсор используется для различных целей, таких как связь с человеком в случае, если произойдет инцидент, связанный с безопасностью.
Схема. Все удостоверения агента создаются из повторно используемых шаблонов, называемых схемой удостоверения агента. Схема удостоверения агента устанавливает тип агента и записывает метаданные, общие для всех удостоверений агента общего типа.
Учетная запись пользователя агента (необязательно). Некоторые агенты нуждаются в доступе к системам, которые строго требуют использования учетной записи пользователя Microsoft Entra для проверки подлинности. В таких случаях агент может быть предоставлен второй учетной записи, называемой учетной записью пользователя агента. Эта вторая учетная запись — это учетная запись пользователя в клиенте Microsoft Entra, который назначен в качестве агента ИИ. Он отличается от
idудостоверения агента, но связь 1:1 всегда устанавливается между удостоверением агента и учетной записью пользователя своего агента.
Это основные компоненты удостоверения агента, которые обеспечивают безопасную проверку подлинности и авторизацию. Полная схема объекта удостоверения агента доступна в справочной документации по Microsoft Graph.
Авторизация идентичностей агентов
Удостоверение агента — это основная учетная запись, используемая агентом ИИ для проверки подлинности в различных системах. Он имеет уникальные идентификаторы, такие как идентификатор объекта и идентификатор приложения, которые всегда имеют одинаковое значение и могут надежно использоваться для принятия решений проверки подлинности и авторизации.
В отличие от пользователей, агенты ИИ не используют пароли, службу коротких сообщений (SMS), ключи доступа или приложения проверки подлинности для проверки подлинности. У удостоверений агента нет собственных учетных данных. Они проходят проверку подлинности только с помощью федеративных учетных данных удостоверения (FIC), выданных планом идентификации агента. План держит учетные данные, которые он использует для получения токенов от имени учетных записей агента. Учетные данные не находятся в удостоверении агента. К этим типам учетных данных в схеме относятся следующие:
- Учетные данные федеративной идентификации
- Сертификаты / криптографические ключи
- Секреты клиента
Удостоверения агента могут выдаваться только в клиенте Microsoft Entra, где они создаются. Они не могут получить доступ к ресурсам или API в других арендаторах.
Схемы: согласованная безопасность для удостоверений агента
Ключевой особенностью удостоверений агента является создание всех удостоверений агента из повторного шаблона, называемого схемой удостоверения агента. Чертеж устанавливает вид агента и записывает метаданные, общие для всех идентичностей агента общего вида.
Представьте, что организация использует агент ИИ под названием "Агент помощника по продажам". Независимо от того, приобретен или построен агент, к Microsoft Entra клиента организации будет добавлен шаблон идентификации агента. Схема записывает следующие сведения:
- Имя схемы, например "Агент помощника по продажам"
- Организация, которая опубликовала схему, например Contoso
- Любые роли, которые может предложить агент, например "менеджер по продажам" или "представитель продаж"
- Все разрешения Microsoft Graph, предоставляемые их агентами, например "чтение календаря пользователя, который вошел в систему"
Многие команды продаж в организации развертывают агента искусственного интеллекта. Агент назначается для продаж на рынке Северной Америки. Другой развертывается для продаж в Южной Америке. Один для корпоративных продаж, один для малого или среднего бизнеса, а другой для стартапов. После создания каждый из этих агентов получает удостоверение агента. Каждый агент начинает выполнять задачи, используя свой идентификатор агента для аутентификации.
Так как каждое удостоверение агента создается с помощью одной схемы удостоверения агента, все агенты отображаются как "Агенты помощника по продажам" в Центр администрирования Microsoft Entra. Эта функция позволяет администратору Microsoft Entra выполнять такие действия, как:
- Примените политику условного доступа ко всем агентам отдела продаж.
- Отключите всех агентов Ассистента продажи.
- Отмена предоставления разрешения для всех агентов Помощника по продажам.
Схемы удостоверений агента предоставляют администратору Microsoft Entra возможность защитить удостоверения агента в масштабе, задав правила и выполняя операции на основе типа агента. Эта функция обеспечивает согласованную безопасность для каждого агента ИИ, развернутого в организации.
Связанный контент
- Создание удостоверения агента
- Протокол проверки подлинности Microsoft Entra ID для агентов