Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Ihre OpenAPI-Endpunkte des App-Diensts sichern, wenn sie vom Foundry Agent Service aufgerufen werden. Wenn Sie Ihre App Service-App als OpenAPI-Tool in Microsoft Foundry hinzufügen, können Sie sie so konfigurieren, dass ihre APIs anonym ohne Authentifizierung aufgerufen werden, was für Entwicklung und Tests einfacher ist. Für Produktionsumgebungen sollten Sie jedoch die Microsoft Entra-Authentifizierung mit verwalteter Identität verwenden. In diesem Leitfaden werden Sie durch die Konfiguration der verwalteten Identitätsauthentifizierung geführt, um eine sichere, tokenbasierte Kommunikation zwischen Microsoft Foundry und Ihrer App zu ermöglichen.
Voraussetzungen
Eine App Service-App mit OpenAPI-Endpunkten. Wenn Sie Ihrer App OpenAPI-Funktionen hinzufügen müssen, lesen Sie eines der folgenden Lernprogramme:
- Hinzufügen einer App Service-App als Tool im Foundry Agent Service (.NET)
- Hinzufügen einer App Service-App als Tool im Foundry Agent Service (Java)
- Hinzufügen einer App Service-App als Tool im Foundry Agent Service (Python)
- Hinzufügen einer App Service-App als Tool im Foundry Agent Service (Node.js)
Ein Microsoft Foundry-Projekt, in dem Sie Ihre App als OpenAPI-Tool hinzufügen.
Suchen der verwalteten Identitäts-IDs Ihres Microsoft Foundry-Projekts
Sie benötigen sowohl die Objekt-ID als auch die Anwendungs-ID der verwalteten Identität Ihres Microsoft Foundry-Projekts, um die App Service-Authentifizierung zu konfigurieren. Beim Erstellen wird automatisch eine vom System zugewiesene verwaltete Identität für Ihr Microsoft Foundry-Projekt erstellt. Diese Identität wird vom Foundry Agent Service verwendet, um sich bei Ihrer App zu authentifizieren.
Stellen Sie im Findry-Portal sicher, dass Sie in der oberen rechten Ecke "Neue Gießerei" auswählen. Beachten Sie, dass im klassischen Portal erstellte Agents nicht im neuen Foundry-Portal angezeigt werden.
Wählen Sie im oberen rechten Menü Betreiben>Admin aus. Wählen Sie danach die übergeordnete Ressource Ihres Projekts in der Spalte Übergeordnete Ressource aus.
Wählen Sie auf der Detailseite der übergeordneten Ressource im Azure-Portal "Diese Ressource verwalten" aus.
Hinweis
Bevor Sie fortfahren, stellen Sie sicher, dass Sie sich auf einer Ressourcenseite der Foundry-Ressource befinden, nicht auf einer Ressourcenseite des Foundry-Projekts.
Wählen Sie im linken Menü der Foundry-Ressource die Option "Ressourcenverwaltungsidentität>" aus.
Kopieren Sie unter "System zugewiesen" den Wert der Objekt-ID (Prinzipal-ID) für einen späteren Zeitpunkt.
Suchen Sie im Azure-Portal nach Microsoft Entra-ID, und wählen Sie sie aus.
Suchen Sie im Suchfeld nach der objekt-ID, die Sie kopiert haben, und wählen Sie sie in den Suchergebnissen aus.
Kopieren Sie auf der Seite "Übersicht " den Wert der Anwendungs-ID.
Beachten Sie, dass die Objekt-ID mit der in der vom System zugewiesenen verwalteten Identität identisch ist. Sie benötigen sowohl die Anwendungs-ID als auch die Objekt-ID zum Konfigurieren der App Service-Authentifizierung.
Konfigurieren der Microsoft Entra-Authentifizierung für Ihre App
Navigieren Sie im Azure-Portal zu Ihrer App Service-App.
Wählen Sie im linken Menü Ihrer App Einstellungen>Authentifizierungaus, und wählen Sie dann Identitätsanbieter hinzufügenaus.
Wählen Sie auf der Seite " Identitätsanbieter hinzufügen " Microsoft als Identitätsanbieter aus, um eine neue App-Registrierung zu erstellen.
Wählen Sie unter Zusätzliche Prüfungen bei Anforderungen für die Clientanwendung die Option Anfragen von bestimmten Clientanwendungen zulassen aus.
Wählen Sie das Bleistift-Widget aus, und fügen Sie die Anwendungs-ID hinzu, die Sie in die verwalteten Identitäts-IDs Ihres Microsoft Foundry-Projekts kopiert haben.
Wählen Sie für die Identitätsanforderung"Anforderungen aus bestimmten Identitäten zulassen" aus.
Wählen Sie das Bleistift-Widget aus, und fügen Sie die Objekt-ID hinzu, die Sie aus den verwalteten Identitätskennungen Ihres Microsoft Foundry-Projekts kopiert haben.
Für die Mandantenanforderung akzeptieren Sie den Standardwert. Wenn dies nicht der Fall ist, müssen Sie den Mandanten auswählen, in dem Ihr Microsoft Foundry-Projekt (oder vielmehr dessen Identität) erstellt wird.
Wählen Sie für nicht authentifizierte AnforderungenHTTP 401 Nicht autorisiert aus: empfohlen für APIs.
Wählen Sie "Hinzufügen" aus, um den Identitätsanbieter zu erstellen.
Aktualisieren Sie die Anwendungs-ID-URI der App-Registrierung.
Nach dem Aktivieren der Authentifizierung müssen Sie den Anwendungs-ID-URI der App-Registrierung so aktualisieren, dass er mit der URL Ihrer App-Dienst-App übereinstimmt.
Nachdem die Konfiguration des Microsoft-Anbieters abgeschlossen ist, wählen Sie sie in der Spalte " Identitätsanbieter " aus, um die App-Registrierungsseite zu öffnen.
Wählen Sie im linken Menü die Option "Verwalten>API veröffentlichen" aus.
Wählen Sie neben dem Anwendungs-ID-URI"Bearbeiten" aus.
Ändern Sie den Wert in die URL Ihrer App Service-App im folgenden Format:
https://<suffix>.azurewebsites.net.Sie finden den Hostnamen der App auf der Seite "Übersicht" in der Standarddomäne.
Wählen Sie Speichern aus.
Warnung
Wenn Sie Ihre App Service-App löschen, müssen Sie auch die App-Registrierung löschen und alle Authentifizierungsressourcen bereinigen, die auf den Anwendungs-ID-URI verweisen. Wenn dies nicht möglich ist, wird ein Sicherheitsrisiko verursacht: Wenn eine andere Person eine App mit derselben URL erstellt, könnten sie möglicherweise nicht autorisierten Zugriff auf Ressourcen erhalten, die der verwaisten App-Registrierung vertrauen. Entfernen Sie immer App-Registrierungen und die zugehörigen Berechtigungen, wenn eine App außer Betrieb genommen wird.
Konfigurieren des OpenAPI-Tools in Microsoft Foundry
Hinweis
In diesem Abschnitt wird davon ausgegangen, dass Sie bereits eines der Lernprogramme im Abschnitt "Voraussetzungen" abgeschlossen haben, in dem Sie Ihre App als OpenAPI-Tool in Microsoft Foundry mithilfe der anonymen Authentifizierung hinzugefügt haben. Jetzt aktualisieren Sie das Tool, um die verwaltete Identitätsauthentifizierung zu verwenden.
Wählen Sie wieder im Foundry-Portal Ihren Agenten aus.
Suchen Sie das OpenAPI-Tool, und wählen Sie ...>Bearbeiten.
Das OpenAPI 3.0+-Schemafeld sollte das Schema Ihrer App Service-App enthalten. Wenn nicht, fügen Sie das OpenAPI-Schema ein. Weitere Informationen finden Sie unter Verwenden von OpenAPI mit Foundry Agent Service.
Wählen Sie für die Authentifizierungsmethodeverwaltete Identität aus.
Geben Sie für "Zielgruppe" die URL Ihrer App-Dienst-App ein. Diese URL muss mit dem Anwendungs-ID-URI übereinstimmen, den Sie zuvor konfiguriert haben.
Wählen Sie das Updatetool aus.
Tipp
Der Foundry Agent Service verwendet die vom System zugewiesene verwaltete Identität, um sich bei Ihrer App zu authentifizieren. Da Sie die Client-ID der Identität als zulässige Clientanwendung und eine zulässige Identität in der Konfiguration des Authentifizierungsanbieters Ihrer App hinzugefügt haben, ist der Agentdienst berechtigt, die APIs Ihrer App aufzurufen.
Testen des Agents
Wählen Sie im Foundry-Portal Ihren Agenten aus, und wählen Sie "Testen" im Playground aus.
Chatten Sie mit dem Agent, um Ihre OpenAPI-Endpunkte zu testen. Beispiel:
- Alle Aufgaben anzeigen.
- Erstellen Sie eine Aufgabe namens "Lebensmittel kaufen".
- Aktualisieren Sie diese Aufgabe auf "Lebensmittel kaufen und Abendessen kochen".
Wenn die Authentifizierung ordnungsgemäß konfiguriert ist, ruft der Agent die APIs Ihrer App erfolgreich über das OpenAPI-Tool auf.