Skydda OpenAPI-slutpunkter för Foundry Agent Service

Den här artikeln visar hur du skyddar dina App Service OpenAPI-slutpunkter när de anropas av Foundry Agent Service. När du lägger till din App Service-app som ett OpenAPI-verktyg i Microsoft Foundry kan du konfigurera den så att den anropar dina API:er anonymt utan autentisering, vilket är enklare för utveckling och testning. För produktionsmiljöer bör du dock använda Microsoft Entra-autentisering med hanterad identitet. Den här guiden vägleder dig genom att konfigurera hanterad identitetsautentisering för att aktivera säker, tokenbaserad kommunikation mellan Microsoft Foundry och din app.

Förutsättningar

• En App Service-app med OpenAPI-slutpunkter. Om du behöver lägga till OpenAPI-funktioner i din app kan du läsa någon av följande självstudier:

  • Lägga till en App Service-app som ett verktyg i Foundry Agent Service (.NET)
  • Lägga till en App Service-app som ett verktyg i Foundry Agent Service (Java)
  • Lägga till en App Service-app som ett verktyg i Foundry Agent Service (Python)
  • Lägga till en App Service-app som ett verktyg i Foundry Agent Service (Node.js)

• Ett Microsoft Foundry-projekt där du lägger till din app som ett OpenAPI-verktyg.

Hitta ditt Microsoft Foundry-projekts hanterade identitets-ID:t

Du behöver både objekt-ID och program-ID för ditt Microsoft Foundry-projekts hanterade identitet för att konfigurera App Service-autentisering. En systemtilldelad hanterad identitet skapas automatiskt för ditt Microsoft Foundry-projekt när du skapar den. Den här identiteten är vad Foundry Agent Service använder för att autentisera med din app.

Ny gjutningsportal

1. I Foundry-portalen ser du till att du väljer Nytt gjuteri i det övre högra hörnet. Observera att den nya Foundry-portalen inte visar agenter som skapats i den klassiska portalen.

2. På den övre högra menyn väljer du Hantera>administratör. Välj sedan projektets överordnade resurs i kolumnen Överordnad resurs .

3. På informationssidan för den överordnade resursen väljer du Hantera den här resursen i Azure-portalen.

   Anmärkning

   Innan du går vidare kontrollerar du att du är på en Foundry-resurssida, inte en Foundry-projektresurssida.

4. I den vänstra menyn för Foundry-resursen väljer du Resurshanteringsidentitet>.

5. Under Systemtilldelad kopierar du värdet för objekt-ID (huvudnamn) för senare.

6. I Azure-portalen söker du efter och väljer Microsoft Entra-ID.

7. I sökrutan söker du efter objekt-ID:t som du kopierade och markerar det i sökresultaten.

8. På sidan Översikt kopierar du värdet för program-ID.

   Observera att objekt-ID :t är samma som det som visas i den systemtilldelade hanterade identiteten. Du behöver både program-ID och objekt-ID för att konfigurera App Service-autentisering.

Classic Foundry-portalen

1. I Foundry-portalen navigerar du till projektet och väljer Översikt.

2. I avsnittet Projektinformation till höger väljer du länken bredvid Resursgrupp för att öppna resursgruppen i Azure-portalen.

3. I resursgruppen letar du upp och väljer foundry-resursen (inte Foundry-projektresursen).

4. I den vänstra menyn för Foundry-resursen väljer du Resurshanteringsidentitet>.

5. Under Systemtilldelad kopierar du värdet för objekt-ID (huvudnamn) för senare.

6. I Azure-portalen söker du efter och väljer Microsoft Entra-ID.

7. I sökrutan söker du efter objekt-ID:t som du kopierade och markerar det i sökresultaten.

8. På sidan Översikt kopierar du värdet för program-ID.

   Observera att objekt-ID :t är samma som det som visas i den systemtilldelade hanterade identiteten. Du behöver både program-ID och objekt-ID för att konfigurera App Service-autentisering.

Konfigurera Microsoft Entra-autentisering för din app

1. I Azure-portalen navigerar du till din App Service-app.

2. Välj Inställningar> på appens vänstra meny och välj sedan Lägg till identitetsprovider.

3. På sidan Lägg till en identitetsprovider väljer du Microsoft som identitetsprovider för att skapa en ny appregistrering.

4. Under Ytterligare kontroller väljer du Tillåt begäranden från specifika klientprogram för krav på klientprogram.

5. Välj pennwidgeten och lägg till det program-ID som du kopierade i Hitta ditt Microsoft Foundry-projekts hanterade identitets-ID: er.

6. För Identitetskrav väljer du Tillåt begäranden från specifika identiteter.

7. Välj pennwidgeten och lägg till objekt-ID :t som du kopierade i Hitta ditt Microsoft Foundry-projekts hanterade identitets-ID: er.

8. För klientkrav accepterar du standardvärdet. Om inte, bör du vara säker på att välja den klientorganisation där Microsoft Foundry-projektet (eller dess identitet) skapades.

9. För oautentiserade begäranden väljer du HTTP 401 Obehörig: rekommenderas för API:er.

10. Välj Lägg till för att skapa identitetsprovidern.

    

Uppdatera appregistreringens program-ID-URI

När du har aktiverat autentisering måste du uppdatera appregistreringens program-ID-URI så att den matchar appappens URL.

1. När Konfigurationen av Microsoft-providern har slutförts väljer du den i kolumnen Identitetsprovider för att öppna appregistreringssidan.

2. I den vänstra menyn väljer du Hantera Exponera>ett API.

3. Bredvid Program-ID-URI väljer du Redigera.

4. Ändra värdet till appappens URL i följande format: https://<suffix>.azurewebsites.net.

   Du hittar appens värdnamn på sidan Översikt i Standarddomän.

5. Välj Spara.

Varning

Om du tar bort din App Service-app måste du också ta bort appregistreringen och rensa alla autentiseringsresurser som refererar till program-ID-URI:n. Om du inte gör det skapas en säkerhetsrisk: om någon annan skapar en app med samma URL kan de eventuellt få obehörig åtkomst till resurser som litar på registreringen av överblivna appar. Ta alltid bort appregistreringar och deras associerade behörigheter när du inaktiverar en app.

Konfigurera OpenAPI-verktyget i Microsoft Foundry

Anmärkning

Det här avsnittet förutsätter att du redan har slutfört en av självstudierna i avsnittet Förutsättningar , där du har lagt till din app som ett OpenAPI-verktyg i Microsoft Foundry med hjälp av anonym autentisering. Nu uppdaterar du verktyget så att det använder hanterad identitetsautentisering.

Ny gjutningsportal

1. Gå tillbaka till Foundry-portalen och välj din agent.

2. Leta upp OpenAPI-verktyget och välj ...>Redigera.

3. Schemarutan OpenAPI 3.0+ bör ha schemat från App Service-appen. Om inte klistrar du in ditt OpenAPI-schema. Mer information finns i Använda OpenAPI med Foundry Agent Service.

4. Som Autentiseringsmetod väljer du Hanterad identitet.

5. För Målgrupp anger du appappens URL. Den här URL:en måste matcha den program-ID-URI som du konfigurerade tidigare.

6. Välj Uppdateringsverktyg.

Klassisk gjutningsportal

1. Gå tillbaka till Foundry-portalen och välj din agent.

2. Leta upp OpenAPI-verktyget och välj det som ska redigeras.

3. På sidan Definiera schemat för det här verktyget klistrar du in ditt OpenAPI-schema. Mer information finns i Använda OpenAPI med Foundry Agent Service.

4. Som Autentiseringsmetod väljer du Hanterad identitet.

5. För Målgrupp anger du appappens URL. Den här URL:en måste matcha den program-ID-URI som du konfigurerade tidigare.

6. Spara verktyget.

Tips/Råd

Foundry Agent Service använder den systemtilldelade hanterade identiteten för att autentisera med din app. Eftersom du har lagt till identitetens klient-ID som ett tillåtet klientprogram och en tillåten identitet i appens konfiguration av autentiseringsprovidern har agenttjänsten behörighet att anropa appens API:er.

Testa agenten

1. I Foundry-portalen väljer du din agent och väljer Prova på lekplatsen.

2. Chatta med agenten för att testa dina OpenAPI-slutpunkter. Till exempel:

   • Visa mig alla uppgifter.
   • Skapa en uppgift med namnet "Köp matvaror".
   • Uppdatera uppgiften till "Köp matvaror och laga middag".

Om autentiseringen är korrekt konfigurerad anropar agenten appens API:er via OpenAPI-verktyget.

Relaterat innehåll

• Konfigurera din App Service- eller Azure Functions-app så att den använder Microsoft Entra-inloggning
• Integrera AI i dina Azure App Service-program
• Vad är Foundry Agent Service?