Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Aracı oluşturduğunuzda, Azure kimlik kaynaklarını otomatik olarak sağlar. Bu makalede nelerin oluşturulduğu, iki kimliğin neden var olduğu ve bağlayıcıların bunları nasıl kullandığı açıklanmaktadır.
Aracınızın Azure kaynakları üzerinde (RBAC rolleri, izin düzeyleri, adına akış) nasıl izin aldığı hakkında bilgi için bkz. Aracı izinleri.
Oluşturulan öğeler
Aracınızın yanı sıra iki yönetilen kimlik oluşturulur.
| Identity | Nedir? | Bununla ne yaparsınız? |
|---|---|---|
| Kullanıcı tarafından atanan yönetilen kimlik (UAMI) | Kaynak grubunuzdaki tek başına kimlik kaynağı | RBAC rollerini atayın, bağlayıcıları ayarlarken seçin. Bu, yönettiğiniz kimliktir |
| Sistem tarafından atanan yönetilen kimlik | Ajanın altyapısı tarafından kullanılan dahili kimlik | Hiçbir şey— bu kimlik otomatik olarak yönetilir ve yalnızca iç işlemler için kullanılır |
UAMI, çalıştığınız kullanıcı kimliğidir. Kaynak grubunuzda görünür, ona RBAC rolleri atarsınız ve bağlayıcıları ayarlarken bunu seçersiniz.
Tip
Portalda açılır bir yönetilen kimlik listesini gördüğünüzde (bağlayıcılar, depolar veya diğer entegrasyonlar için) aracınızın UAMI'sini seçin. RBAC rol atamalarınıza uygun olan kimliktir.
Temsilcinizin UAMI'sinin kullanıldığı yerler
Temsilcinizin UAMI'si çoğu işlem için birincil kimliktir.
| Operation | Identity | Notlar |
|---|---|---|
| Azure kaynak operasyonları (Azure Resource Manager, CLI, tanılama) | UAMI | Atadığınız RBAC rolleri, aracının nelere erişebileceğini belirler |
| İletişim bağlayıcıları (Outlook, Teams) | UAMI + OAuth kimlik bilgileriniz | OAuth üzerinden oturum açarsınız; UAMI, bağlayıcı kaynağa kimlik doğrulamasını sağlar. |
| Veri bağlayıcıları (Azure Veri Gezgini) | UAMI | Hedef Kusto kümesine UAMI'ye izin verin |
| Kaynak kodu bağlayıcıları (GitHub, Azure DevOps) | UAMI (Azure DevOps için yönetilen kimlik) | Azure DevOps bağlayıcısı UAMI kullanır; GitHub OAuth kullanıyor |
| MCP bağlayıcıları | Değişir | Uç nokta URL'si ile kimlik bilgilerini sağlarsınız; isteğe bağlı olarak Azure'a yönelik çağrılar için yönetilen kimlik bilgisi atayabilirsiniz. |
| İç altyapı | UAMI | Öznenin iç operasyonları için kendi kendine kullanılır. |
| Key Vault (şifreleme hizmeti) | UAMI (tercih edilen) veya sistem tarafından atanan | UAMI belirtilmezse sistemin atadığına geri döner |
Bağlayıcılar kimliği nasıl kullanır?
Farklı bağlayıcı türleri kimliği farklı kullanır. Önemli fark, bağlayıcının dış hizmete ulaşmak için Azure Resource Manager(ARM) üzerinden geçmesi gerekip gerekmediğidir.
İletişim bağlayıcıları (Outlook, Teams)
bir iletişim bağlayıcısı ayarladığınızda iki şey olur:
- Bağlayıcıya kullanıcı kimlik bilgilerinizi veren OAuth aracılığıyla hesabınızla oturum açarsınız.
- Bağlayıcının bağlayıcı kaynağında kimlik doğrulaması yapmak için kullandığı kimlik açılan listesinden bir UAMI seçersiniz.
Bağlayıcı, OAuth belirtecinizi güvenli bir şekilde bir bağlayıcı kaynağında depolar. Bağlayıcı kaynağı güvenli bir köprü işlevi görür. Kaynak, kimlik bilgilerinizi barındırdığından aracının bu kimlik bilgilerine doğrudan erişmesi gerekmez. Aracı sizin yerinize bir e-posta gönderdiğinde veya Teams iletisi gönderdiğinde kimlik doğrulamasında aracılık yapmak için UAMI'yi kullanır.
Veri bağlayıcıları (Azure Veri Gezgini / Kusto)
Kusto bağlayıcıları için aracı, Azure Veri Gezgini kümenizde kimlik doğrulaması yapmak için doğrudan UAMI'yi kullanır. OAuth oturum açma işlemi gerekmez. UAMI'ye Kusto kümesinde Görüntüleyici rolü gibi gerekli izinleri verin.
Kaynak kodu bağlayıcıları (GitHub, Azure DevOps)
Kaynak kodu bağlayıcıları platforma bağlı olarak farklı kimlik doğrulama yöntemleri kullanır.
- Azure DevOps: Yönetilen kimlik kimlik doğrulaması için UAMI kullanır. Kimlik açılan listesinden UAMI'yi seçin ve Azure DevOps kuruluşunuza erişim izni verin.
- Github: OAuth kimlik doğrulamasını kullanır. GitHub hesabınızı kullanarak oturum açın. GitHub bağlantısının kendisi için yönetilen kimlik gerekmez.
Özel MCP bağlayıcıları
MCP bağlayıcıları uç nokta tabanlı kimlik doğrulaması kullanır. API anahtarı, Taşıyıcı belirteci veya OAuth gibi kimlik bilgileriyle birlikte MCP sunucusu URL'sini sağlayın. İsteğe bağlı olarak mcp sunucusu için aşağı akış Azure API çağrıları yaparken kullanılacak yönetilen bir kimlik atayabilirsiniz.
Temsilcinizin UAMI'sini bulma
Ajanınızın kullanıcı tarafından atanan yönetilen kimliğini, aracı portalından, Azure portalından veya Azure CLI'dan bulabilirsiniz.
Temsilci portalından:
- Ayarlar>Azure ayarları'na gidin.
- Kimlik adı Yönetilen Kimlik alanında görünür.
- Azure portalında Kimlik'e Git seçeneğini açmak için seçin.
Azure portalından:
- Ajanınızın kaynak grubuna gidin.
-
id-*Yönetilen kimlik kaynağını bulun. - Nesne (asıl) Kimliğini kopyalayın. RBAC rol atamaları için bu değeri kullanın.
Azure CLI'dan:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Sonraki adım
İlgili içerik
- Aracı izinleri: Aracınız için RBAC rollerini ve izin düzeylerini yapılandırmayı öğrenin.
- Bağlayıcılar: Bağlayıcı türlerini ayarlayın ve aracınızın özelliklerini nasıl genişlettiklerini öğrenin.
- Kullanıcı rolleri ve izinleri: Aracınızı kimlerin görüntüleyebileceğini, etkileşim kurabileceğini ve yönetebileceğini denetleyin.