Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда агент ИИ действует от имени пользователя, ему всегда требуется две авторизации:
- Разрешение агента. Сам агент нуждается в идентификации в Microsoft Entra ID и учетных данных для аутентификации. Чтобы настроить эту авторизацию для агента, находящегося вне Microsoft Entra ID, см. Configure third-party agents.
- Авторизация пользователя. Пользователь должен дать согласие на действия агента от его имени, а агент должен получить пользовательский токен, который сможет использовать для вызова API, входящих в низкую точку.
В этой статье описывается вторая авторизация: как авторизировать пользователей, которые входят через стороннего провайдера идентификации (IdP), чтобы агент, построенный на Microsoft Entra ID для агентов, мог действовать от их имени.
Интегрируйте с Agent 365 Observability с помощью user ID и электронной почты
Для интеграции стороннего агента с наблюдаемостью агента 365 не нужна полная федерация. Агент может интегрироваться с Observability агента 365, передавая авторизованному пользователю идентификатор пользователя и адрес электронной почты. Эта лёгкая интеграция доступна для агентов, чьи пользователи аутентифицируются с помощью стороннего IDP, но не требуют доступа к ресурсам, требующим токенов из Microsoft Entra ID.
Для шагов интеграции и форм запросов см. Агент 365 наблюдаемость.
Определите идентификатор пользователя с помощью Microsoft Graph
Если ваш агент знает только адрес электронной почты пользователя или имя пользователя (UPN), используйте Microsoft Graph для поиска идентификатора объекта пользователя. Следующие примеры предполагают, что агент вызывает Microsoft Graph с помощью токена только для приложения, который имеет разрешение приложений User.Read.All.
Получите идентификатор объекта пользователя с адреса электронной почты, отфильтровав его mail свойство:
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Свойство mail не всегда совпадает с адресом, с которым пользователь входит в систему. Если поиск не даст результатов, возвращайтесь к otherMails коллекции:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Получите идентификатор объекта пользователя из UPN, напрямую обращаясь к пользовательскому ресурсу:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Успешный ответ возвращает идентификатор объекта пользователя в свойстве id . Передайте это значение как идентификатор пользователя при вызове Agent 365 Observability.
Объедините Microsoft Entra ID с сторонним IdP
Многие клиенты с сторонним IDP просят использовать Microsoft 365. Для этого они настраивают Microsoft Entra ID на federate с выбранным им IdP. В этой конфигурации пользователи получают доступ к Microsoft 365 как обычно, но аутентифицируются с помощью стороннего IDP вместо Microsoft Entra ID.
Аутентифицируйте вашего агента с помощью Microsoft Entra ID
Любой агент может использовать тот же подход, что и Microsoft 365: агент аутентифицирует пользователя с помощью Microsoft Entra ID, а Microsoft Entra ID перенаправляет пользователя на выбранный IDP при настройке федерации. Теперь, когда агент аутентифицировал пользователя с выбранным IDP, и агент может получить доступ к ресурсам, таким как WorkIQ которым нужны токены от Microsoft Entra ID. В агенте для федерации не требуется конфигурация.
Получив пользовательский токен через этот поток, агент может использовать его для вызова любой возможности Agent 365, требующей пользовательского токена — не только Observability. Тот же токен работает для доступа к инструменту Work IQ, вызовов On-Behalf-Of (OBO) к Microsoft Graph и другим нижним API , а также для любых других функций Agent 365, действующих в контексте пользователя.
Microsoft Entra ID поддерживает стандартные протоколы аутентификации и авторизации, которые уже используют большинство агентов:
Любой агент, который сегодня аутентифицирует пользователей с помощью одного из этих протоколов, может быть перенесен на Microsoft Entra ID, перенаправив конечные точки аутентификации и проверив совместимость. Для обзора типов приложений и потоков, поддерживаемых Microsoft Entra ID, см. Типы приложений в платформа удостоверений Майкрософт.