Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Платформа удостоверений агента Microsoft предоставляет специализированные конструкции удостоверений, разработанные специально для агентов ИИ, работающих в корпоративных средах. Эти конструкции удостоверений позволяют обеспечить безопасную проверку подлинности и авторизации, отличающиеся от традиционных удостоверений пользователей и приложений, в соответствии с уникальными требованиями автономных систем ИИ.
В этой статье описываются основные понятия, которые формируют основу управления удостоверениями агента: удостоверения агентов, схемы удостоверений агента и их вспомогательные компоненты. Понимание этих понятий важно для разработчиков, которые должны реализовать безопасные масштабируемые шаблоны проверки подлинности для агентов ИИ.
Архитектура идентификации агента следует иерархической модели, в которой схемы удостоверений агента служат шаблонами для создания нескольких экземпляров агента, каждый из которых содержит отдельные удостоверения и возможности. Этот подход обеспечивает централизованное управление, обеспечивая гибкость, необходимую для различных сценариев развертывания агента ИИ.
Основные понятия идентичности
Следующие понятия формируют основу Microsoft Entra ID для агентов и платформу удостоверений агента Microsoft.
Удостоверение агента
Удостоверение агента — это основное удостоверение агента ИИ, использующего для проверки подлинности в системах и доступе к ресурсам. В отличие от учетных записей пользователей, удостоверения агентов не имеют собственных учетных данных. Они проходят проверку подлинности с помощью токенов, выданных через их идентификационную схему агента. Дополнительные сведения см. в разделе "Удостоверения агента".
Схема идентификации агента
Схема удостоверения агента — это объект в Microsoft Entra ID, который служит основой шаблона и проверки подлинности для одного или нескольких удостоверений агента. План содержит учетные данные и использует их для получения токенов от имени всех удостоверений агентов, созданных на его основе. Политики и параметры, применяемые к шаблону, такие как условный доступ, вступают в силу для всех идентификаторов агентов. Дополнительные сведения см. в схемах идентификации агента.
Основной принципал схемы идентификации агента
При добавлении схемы в клиент Microsoft Entra создает соответствующий основной объект. Субъект схемы идентификации агента — это объект Microsoft Entra, который записывает присутствие схемы в клиенте и позволяет ему получать маркеры и отображаться в журналах аудита. Дополнительные сведения см. в разделе "Схемы удостоверений агента".
Традиционный служебный принципал (не рекомендуется для ИИ-агентов)
Традиционные субъекты-службы предназначены для статических детерминированных рабочих нагрузок. Microsoft Entra ID для агентов существует потому, что у субъектов-службы отсутствует инфраструктура управления, необходимая агентам ИИ. Нет принудительного спонсорства, отсутствуют записи аудита, учитывающие агент, и отсутствует жизненный цикл, управляемый схемой. Дополнительные сведения см. в разделе "Удостоверения агента", субъекты-службы и приложения.
Обычная учетная запись пользователя (не рекомендуется для агентов ИИ)
Обычные учетные записи пользователей Microsoft Entra предназначены для паттернов входа, характерных для человека. Назначение их агентам ИИ приводит к сбоям на каждом уровне применения принципов "Никому не доверяй": политики условного доступа, созданные для людей, не применяются правильно к агентам, обнаружение защиты идентификации ухудшается, а процессы управления доступом могут неправильно лишить агента доступа. Дополнительные сведения см. в разделе "Планирование архитектуры удостоверений агента".
Шаблоны операций агента
Платформа удостоверений агента поддерживает следующие шаблоны для работы и проверки подлинности агентов, каждый из которых обслуживает различные варианты использования и требования к безопасности.
Вспомогательные агенты (интерактивные)
Вспомогательные агенты (также называемые интерактивными агентами) выполняют определенные задачи по запросу от имени пользователя, вошедшего в систему, часто через интерфейс чата. Задачи включают анализ данных клиентов для рекомендаций по улучшению продаж или ответы на вопросы поддержки с эскалацией к человеческим представителям. Агентам предоставляются делегированные разрешения Microsoft Entra, которые позволяют им действовать от имени пользователей. Распространенные сценарии включают помощников по поддержке клиентов, помощников в исследовательской деятельности и агентов для совместной работы в режиме реального времени.
Автономные агенты
Автономные агенты работают независимо, используя собственную идентичность, а не идентичность человека. Эти агенты выполняются в фоновом режиме, принимают решения и выполняют действия без вмешательства человека, например мониторинг сетевых журналов для операций безопасности, управление развертываниями инфраструктуры с помощью автомасштабирования или обработки запланированных задач обслуживания. Автономные агенты проходят проверку подлинности непосредственно с помощью платформы Microsoft Entra ID с помощью удостоверения агента и потока учетных данных клиента.
Учетная запись пользователя агента
Учетная запись пользователя агента является необязательной учетной записью, которая связывает 1:1 с удостоверением агента. Он работает с характеристиками пользователя, присущими человеку, включая устойчивые удостоверения личности и доступ к ресурсам организации, таким как почтовые ящики, календари, каналы Microsoft Teams и документы. Используйте учетную запись пользователя агента только в том случае, если агент должен получить доступ к системам, которым требуется объект пользователя. Учетная запись пользователя агента не заменяет идентичность агента — оба должны существовать. Дополнительные сведения см. в разделе Учетные записи пользователей агента.
Владельцы агентов, спонсоры и менеджеры
Платформа идентификации агента представляет административную модель, которая отделяет техническое администрирование от бизнес-подотчетности, обеспечивая операционный контроль и надзор за соответствием без чрезмерных разрешений. Административные роли агента включают владельцев, менеджеров и спонсоров.
- Владельцы выполняют функции технических администраторов для агентов, управляя операционными и конфигурационными аспектами.
- Спонсоры предоставляют бизнес-ответственность для агентов, принимая решения жизненного цикла без технического административного доступа.
- Менеджеры — это пользователи, которые назначаются в качестве менеджера по найму или операционного владельца для учетной записи пользователя агента.
Дополнительные сведения см. в разделе «Административные отношения для идентификаций агента (владельцев, спонсоров и менеджеров)»
пакет SDK Microsoft Entra для идентификатора агента
Пакет SDK Microsoft Entra для идентификатора агента — это контейнеризированный веб-сервис, который обрабатывает получение токенов, проверку и безопасные вызовы API по нисходящему потоку для агентов, зарегистрированных на платформе идентификации Microsoft. Он работает как вспомогательный контейнер вместе с вашим приложением, что позволяет выгрузить логику идентификации в выделенную службу. Дополнительные сведения см. в разделе Microsoft Entra SDK для идентификатора агента.