代理人的使用者帳號是一種專門的身份類型,旨在彌合代理人與人類使用者能力之間的差距。 代理人的使用者帳號使 AI 驅動的應用程式能與需要使用者身份的系統與服務互動,同時維持適當的安全邊界與管理控制。 它允許組織使用與管理人類使用者相同的能力來管理代理人員的存取權限。
代理使用者帳號情境範例
有時候,代理代表使用者執行任務或作為自主應用程式是不夠的。 在某些情況下,代理人需要扮演使用者的角色,基本上是數位工作者。 以下是代理使用者帳號適用的範例情境:
- 組織需要長期數位員工,作為團隊成員,擁有信箱、聊天存取權,並能參與人力資源系統。
- 代理需要存取只有使用者身份才能使用的 API 或資源
- 代理人需要以團隊成員的身份參與協作工作流程
基於這些原因,代理人的使用者帳號會被建立。 代理的使用者帳號是可選的,應該只在需要扮演使用者或存取僅限使用者帳號資源的互動時建立。
代理人的使用者帳號
代理的使用者帳號代表 Microsoft Entra 內的一種使用者身份子類型。 這些身份設計目的是讓代理應用程式能在需要使用者身份的情境中執行動作。 與非代理服務主體或應用程式身份不同,代理人的使用者帳戶會接收包含宣告 idtyp=user 的代幣,允許它存取特別需要使用者身份的 API 與服務。 它同時維持非人類身份所需的安全約束。
客服人員的使用者帳號不會自動建立。 它需要一個明確的建立過程,將其與父代理身份連結起來。 這種父子關係對於理解代理的使用者帳號在 Microsoft Entra 中如何運作及安全至關重要。 一旦建立,這種關係是不可改變的,並成為代理使用者帳號安全模型的基石。 這種關係是一對一(1:1)的對應。 每個代理身份最多只能有一個關聯的代理使用者帳號,且每個代理的使用者帳號只連結到一個父代理身份,而父代理身份又連結到一個代理身份藍圖應用程式。
客服人員的使用者帳號:
- 也使用代理人身份藍圖建立。
- 總是與特定代理人身份相關聯,並在建立時指定。
- 擁有獨立於代理身份的獨特識別碼。
- 只能透過出示發給相關代理身份的代幣來進行驗證。
代理的使用者帳號與代理身份關係
代理身份藍圖預設沒有建立代理使用者帳號的權限,因為這項功能是可選的,且不一定需要。 這是必須明確授權給特工身份藍圖的許可。
代理人的使用者帳號是依據代理人身份藍圖建立的。 當獲得適當權限後,代理識別藍圖可以建立代理的用戶帳號,並與特定代理識別建立父子關係。 代理身份被視為代理使用者帳號的父身份。
管理員負責管理代理使用者帳號的生命週期。 管理員使用者可以在功能不再需要時刪除代理的使用者帳號。
認證與安全模型
代理使用者帳號的認證模型與真人使用者帳號有顯著差異:
聯邦身份憑證:認證透過分配給代理人使用者帳號的憑證進行。 在生產系統中,使用聯邦身份憑證(Federated Identity Credentials,FIC)。 這些憑證用於驗證代理身份藍圖與代理身份。 分配給使用者的憑證用於整個代理生態系的認證。
受限憑證模式:代理人的使用者帳號沒有像密碼這樣的一般憑證。 相反地,它只能使用透過父母關係提供的憑證。 這種對憑證的限制,加上對互動式登入的限制,確保客服的使用者帳號無法像標準使用者帳號一樣使用。
模擬機制:相關的代理身份可以冒充其子代理的使用者帳號。 它允許父層的商業邏輯取得權杖,並在需要時以代理的使用者帳戶身分行事。
代理使用者帳號的功能
代理的使用者帳號具備能在 Microsoft 365 及其他環境中有效運作的功能:
代理的使用者帳號可以加入 Microsoft Entra 群組,包括動態群組,並使其能繼承這些群組所獲得的權限。 不過,它不能被加入可分配角色的群組。
代理的使用者帳號可存取資源並利用通常為人類使用者保留的協作功能。
代理人的使用者帳號可以加入管理單位,如同一般使用者。
代理的使用者帳號可以被指派授權,這通常是配置 Microsoft 365 資源所必需的。
安全限制
代理的使用者帳號在特定的安全限制下運作,以確保適當的使用:
憑證限制:代理人的使用者帳號不能有密碼或通行金鑰等憑證。 它唯一支援的憑證類型是代理身份對其父的參考。 所以即使代理程式的使用者帳號表現如同一般使用者,其憑證仍是機密客戶端憑證。
管理角色限制:代理的使用者帳號無法被分配特權管理員角色。 此限制提供了重要的安全邊界,防止權限的潛在提升。
權限模型:代理的使用者帳號通常擁有類似訪客使用者的權限,並具備更多功能來列舉使用者與群組。 代理的使用者帳號無法被指派有特權的管理員角色。 代理使用者帳戶不支援自訂角色指派和可以指派角色的群組。 欲了解更多資訊,請參閱 Microsoft Graph權限參考