代理标识蓝图是Microsoft Entra ID 中的对象,用作创建代理标识的模板。 它为在组织中创建、身份验证和管理代理的方式奠定了基础。
定义代理标识蓝图
Microsoft Entra ID 租户中的所有代理标识都是从代理标识蓝图创建的。 代理标识蓝图是Microsoft代理标识平台的关键组件,可大规模安全开发和管理 AI 代理。 代理标识蓝图有四个用途。
蓝图是代理标识的模板。
组织可以部署 AI 代理的许多实例。 每个实例追求不同的目标,需要不同的访问级别。 每个实例使用不同的代理标识进行身份验证和访问。 但是,使用的许多代理标识共享某些特征。 代理标识蓝图记录这些常见特征,以便使用蓝图创建的所有代理标识都具有一致的配置。
代理标识蓝图具有以下属性,可在其所有代理标识之间共享:
-
description:代理用途和功能的简要摘要。 -
appRoles:定义在使用代理时可以提供给用户和其他主体的角色。 -
verifiedPublisher:生成代理的组织。 - 身份验证协议的设置,例如
optionalClaims:配置颁发给代理的访问令牌中包含的信息。
这些设置在蓝图上配置,以便它们与使用蓝图创建的所有代理标识保持一致。
Microsoft图形 API 参考文档中提供了完整的架构。
-
蓝图创建代理标识。
蓝图不仅仅是承载信息。 它们也是 Microsoft Entra ID 租户中的一种特殊标识类型。 蓝图可在租户中执行一项操作:预配或取消预配代理身份。 若要创建代理标识,蓝图具有:
- OAuth 客户端 ID:用于从 Microsoft Entra ID 请求访问令牌的唯一 ID。
- 凭据:用于请求从 Microsoft Entra ID 获取访问令牌。
-
AgentIdentity.CreateAsManager:一种特殊的 Microsoft Graph 权限,使蓝图能够在租户中创建代理标识。
服务使用蓝图的客户端 ID、凭据和权限通过 Microsoft Graph API 发送代理标识创建请求。 蓝图创建的代理标识共享常见特征。
有关详细信息,请参阅 创建代理标识。
蓝图保存代理身份的凭据。
每个代理标识都没有其自己的凭据。 相反,蓝图中配置了用于验证代理身份的凭据。 当 AI 代理想要执行操作时,配置在蓝图上的凭据用于从 Microsoft Entra ID 请求访问令牌。
有关身份验证协议,请参阅 代理 ID 身份验证协议
蓝图是代理标识的容器。
标识管理员可以将策略和设置应用于代理标识蓝图,这些蓝图对使用蓝图创建的所有代理标识生效。 示例包括:
- 应用于蓝图的条件访问策略对其所有代理标识生效。
- 向蓝图授予的 OAuth 权限都会应用于其所有代理标识。
- 禁用蓝图会阻止其所有代理标识进行身份验证。
该蓝图为代理标识提供了一个逻辑容器,可在其中执行许多不同的标识管理作。 这有助于管理员将其安全工作扩展到大量 AI 代理。
代理标识蓝图原则
在 Microsoft Entra 代理 ID 中,代理标识蓝图主体是一个对象,表示该蓝图在特定租户中的存在。 将代理标识蓝图应用程序添加到租户时,Microsoft Entra 创建相应的主体对象,该对象是代理标识蓝图主体。
该负责人承担几个重要角色:
令牌发行:当代理身份蓝图用于获取租户内的令牌时,生成的令牌的
oid(对象 ID)声明引用代理身份蓝图主体。 它可确保代理标识蓝图执行的任何身份验证或授权都可追溯到租户中的主体对象。审核日志记录:代理标识蓝图执行的作(例如创建代理标识)记录在审核日志中,由代理标识蓝图主体执行。 它为由代理标识蓝图启动的操作提供了明确的责任追究和可追踪性。
代理身份蓝图始终在 Microsoft Entra 租户中创建。 代理标识蓝图通常用于在同一租户中创建代理标识。 这些代理身份蓝图称为“单租户”。代理身份蓝图还可以配置为“多租户”,并通过 Microsoft 产品目录发布给潜在客户。 然后,客户可以将这些蓝图添加到他们的租户中,从而用于创建代理身份。
在任一情况下,当将蓝图添加到租户时,始终会创建代理身份蓝图主体。 租户中存在此主体表明有一个蓝图可用于创建代理身份。 客户可以通过删除代理身份蓝图主体将蓝图从其租户中移除。
创建代理标识蓝图
可通过多种方式在 Microsoft Entra 代理 ID 中创建代理标识蓝图。 有关详细信息,请参阅 代理标识蓝图。
代理身份的凭据
有多种凭据类型可用于代理标识。 有关这些内容的详细信息,请参阅 代理身份凭据。