Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ajanın kullanıcı hesabı, ajanlar ve insan kullanıcı yetkinlikleri arasındaki boşluğu kapatmak amacıyla tasarlanmış özel bir kimlik türüdür. Aracının kullanıcı hesabı, yapay zeka destekli uygulamaların uygun güvenlik sınırlarını ve yönetim denetimlerini korurken kullanıcı kimlikleri gerektiren sistem ve hizmetlerle etkileşim kurmasını sağlar. Kuruluşların, insan kullanıcılar için olduğu gibi benzer özellikleri kullanarak aracının erişimini yönetmesine olanak tanır.
Temsilcinin kullanıcı hesabı senaryolarının örneği
Bazen bir aracının bir kullanıcı adına görev gerçekleştirmesi veya otonom bir uygulama olarak çalışması yeterli olmaz. Belirli senaryolarda, bir ajanın bir kullanıcı gibi davranarak temelde dijital bir çalışan işlevi görmesi icap eder. Kullanıcı hesabının aracının geçerli olacağı aşağıdaki örnek senaryolar verilmiştir:
- Kuruluşun, ekip üyesi olarak işlev gören ve posta kutuları, sohbet erişimi ile İK sistemlerine dahil olan uzun vadeli dijital çalışanlara ihtiyacı vardır.
- Ajanın, yalnızca kullanıcı kimliklerine sunulan API'lere veya kaynaklara erişim sağlaması gerekiyor.
- Temsilcinin ekip üyesi olarak işbirliği içeren iş akışlarına katılması gerekiyor
Bu nedenlerden dolayı ajan kullanıcı hesabı oluşturulur. Aracının kullanıcı hesabı isteğe bağlıdır ve yalnızca aracının kullanıcı olarak davranması veya kullanıcı hesaplarıyla sınırlı kaynaklara erişmesi gereken etkileşimler için oluşturulmalıdır.
Temsilcinin kullanıcı hesabı
Aracın kullanıcı hesabı, Microsoft Entra içindeki bir kullanıcı kimliği alt türünü temsil eder. Bu kimlikler, aracı uygulamalarının kullanıcı kimliğinin gerekli olduğu bağlamlarda eylem gerçekleştirmesini sağlayacak şekilde tasarlanmıştır. Aracısız hizmet ilkelerinden veya uygulama kimliklerinden farklı olarak, aracının kullanıcı hesabı, talep idtyp=user içeren belirteçler alır ve bu sayede özellikle kullanıcı kimlikleri gerektiren API'lere ve hizmetlere erişebilir. Ayrıca, insan olmayan kimlikler için gerekli güvenlik kısıtlamalarını da korur.
Aracının kullanıcı hesabı otomatik olarak oluşturulmaz. Bunu üst aracı kimliğine bağlayan açık bir oluşturma işlemi gerektirir. Bu ebeveyn-çocuk ilişkisi, aracının kullanıcı hesabının nasıl çalıştığını ve Microsoft Entra'da nasıl güvenlik altına alındığını anlamak için temeldir. Bu ilişki kurulduktan sonra değiştirilemez ve ajan kullanıcısının hesabı için güvenlik modelinin temel taşı işlevini görür. İlişki, 1'e 1 (1:1) bir eşlemedir. Her acentenin kimliği en fazla bir ilişkili acente kullanıcı hesabına sahip olabilir ve her acente kullanıcı hesabı tam olarak bir üst acente kimliğine, kendisi de tam olarak bir acente kimliği taslak uygulamasına bağlanır.
Ajanın kullanıcı hesabı
- Ayrıca bir aracı kimliği şeması kullanılarak da oluşturulur.
- Her zaman, oluşturma işleminde belirtilen belirli bir aracı kimliğiyle ilişkilendirilir.
- Aracı kimliğinden ayrı benzersiz tanımlayıcıları vardır.
- Yalnızca bağlantılı ajan kimliğine verilen bir belirteci sunarak kimlik doğrulaması yapabilir.
Temsilcinin kullanıcı hesabı ve kimlik ilişkisi
Bu özellik isteğe bağlı olduğundan ve her zaman gerekli olmadığından aracı kimliği şeması varsayılan olarak aracının kullanıcı hesabını oluşturma iznine sahip değildir. Bu, aracı kimliği taslağına açıkça verilmesi gereken bir izindir.
Aracının kullanıcı hesabı, aracı kimliği şeması kullanılarak oluşturulur. Uygun izinler verildiğinde, aracı kimliği şablonu bir aracının kullanıcı hesabını oluşturabilir ve belirli bir aracı kimliğiyle ebeveyn ilişkisi kurabilir. Vekil kimliği, vekilin kullanıcı hesabının üst öğesi olarak kabul edilir.
Yöneticiler bir aracının kullanıcı hesabının yaşam döngüsünü yönetir. Yönetici kullanıcı, işlevselliği artık gerekli olmadığında aracının kullanıcı hesabını silebilir.
Kimlik doğrulaması ve güvenlik modeli
Ajanın kullanıcı hesabı için kimlik doğrulama modeli, insan kullanıcı hesaplarından önemli ölçüde farklıdır.
Federasyon kimlik bilgileri: Kimlik doğrulaması, temsilcinin kullanıcı hesabına atanan kimlik bilgileri aracılığıyla gerçekleşir. Üretim sistemlerinde Federasyon Kimlik Bilgileri (FIC) kullanın. Bu kimlik bilgileri hem aracı kimliği şemasının hem de aracı kimliğinin kimliğini doğrulamak için kullanılır. Kullanıcıya atanan kimlik bilgileri, aracı ekosisteminde kimlik doğrulaması için kullanılır.
Kısıtlı kimlik bilgisi modeli: Ajanın kullanıcı hesabında parolalar gibi normal kimlik bilgileri bulunmaz. Bunun yerine, kendi üst ilişkisi aracılığıyla sağlanan kimlik bilgilerini kullanmakla sınırlandırılmıştır. Kimlik bilgileriyle ilgili bu kısıtlama ve etkileşimli oturum açma kısıtlamaları, aracının kullanıcı hesabının standart bir kullanıcı hesabı gibi kullanılamamasını sağlar.
Kimliğe bürünme mekanizması: İlişkili ajan kimliği, çocuk ajanının kullanıcı hesabının kimliğine bürünebilir. Ana süreç iş mantığının belirteçleri almasını ve gerektiğinde aracının kullanıcı hesabı olarak davranmasını sağlar.
Aracının kullanıcı hesabının yetkinlikleri
Temsilcinin kullanıcı hesabı, Microsoft 365 ve diğer platformlarda etkili bir şekilde çalışabilmesini sağlayan yeteneklere sahiptir.
Bir aracının kullanıcı hesabı dinamik gruplar da dahil olmak üzere Microsoft Entra gruplarına eklenebilir ve bu gruplara verilen izinleri devralmasını sağlar. Ancak rol atanabilir gruplara eklenemez.
Aracının kullanıcı hesabı, kaynaklara erişebilir ve genellikle insan kullanıcılara ayrılan diğer işbirliği özelliklerini kullanabilir.
Temsilcinin kullanıcı hesabı, insan kullanıcılara benzer şekilde yönetici birimlerine eklenebilir.
Aracının kullanıcı hesabına lisans atanabilir ve bu lisanslar genellikle Microsoft 365 kaynakları sağlamak için gereklidir.
Güvenlik kısıtlamaları
Ajanın kullanıcı hesabı, uygun kullanımı sağlamak için belirli güvenlik kısıtlamaları altında çalışır.
Kimlik bilgisi sınırlamaları: Aracının kullanıcı hesabında parolalar veya geçiş anahtarları gibi kimlik doğrulama bilgileri olamaz. Desteklediği tek kimlik bilgisi türü, üst katmana ait aracı kimliği referansıdır. Bu nedenle, aracının kullanıcı hesabı bir kullanıcı olarak davransa bile, kimlik bilgileri gizli müşteri kimlik bilgileridir.
Yönetici rolü kısıtlamaları: Aracının kullanıcı hesabına ayrıcalıklı yönetici rolleri atanamaz. Bu sınırlama, ayrıcalıkların yükseltilmesini önleyen önemli bir güvenlik sınırı sağlar.
İzin modeli: Aracın kullanıcı hesabı genellikle misafir kullanıcılarla benzer izinlere sahiptir, ancak kullanıcılar ve grupları numaralandırmak için daha fazla özellik sağlar. Temsilcinin kullanıcı hesabına ayrıcalıklı yönetici rolleri atanamaz. Özel rol ataması ve rol atanabilir gruplar aracının kullanıcı hesabı tarafından kullanılamaz. Daha fazla bilgi için bkz. Microsoft Graph izin başvurusu