Erstellen von Agentidentitäten in der Agent-Identitätsplattform

Nachdem Sie einen Agent-Identitäts-Blueprint erstellt haben, besteht der nächste Schritt darin, eine oder mehrere Agentidentitäten zu erstellen, die KI-Agents in Ihrem Testmandanten darstellen. Die Erstellung der Agentidentität wird in der Regel ausgeführt, wenn ein neuer KI-Agent bereitgestellt wird.

Dieser Artikel führt Sie durch den Prozess der Erstellung eines einfachen Webdiensts, der Agentidentitäten über Microsoft Graph-APIs erstellt.

Wenn Sie Agentidentitäten schnell zu Testzwecken erstellen möchten, sollten Sie dieses PowerShell-Modul zum Erstellen und Verwenden von Agentidentitäten verwenden.

Voraussetzungen

Stellen Sie vor dem Erstellen von Agentidentitäten folgendes sicher:

Grundlegendes zu Agentidentitäten
Ein konfigurierter Agent-Identitäts-Blueprint (siehe Erstellen eines Agent-Blueprints). Protokollieren Sie die App-ID des Blueprints der Agentenidentität beim Erstellungsprozess
Ein Webdienst oder eine Anwendung (lokal ausgeführt oder in Azure bereitgestellt), die die Agentidentitätserstellungslogik hosten

Abrufen eines Zugriffstokens mithilfe des Agenten-Identitäts-Blueprints

Sie verwenden den Agentidentitäts-Blueprint, um jede Agentidentität zu erstellen. Anfordern eines Zugriffstokens von Microsoft Entra mithilfe Ihres Agent-Identitäts-Blueprints:

Microsoft Graph-API
Microsoft.Identity.Web

Wenn Sie eine verwaltete Identität als Anmeldeinformationen verwenden, müssen Sie zunächst ein Zugriffstoken mit Ihrer verwalteten Identität abrufen. Verwaltete Identitätstoken können von einer IP-Adresse angefordert werden, die lokal in der Computeumgebung verfügbar gemacht wird. Ausführliche Informationen finden Sie in der Dokumentation zur verwalteten Identität.

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

Nachdem Sie ein Token für die verwaltete Identität abgerufen haben, fordern Sie ein Token für das Blueprint der Agentenidentität an.

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

Ein client_secret Parameter kann auch anstelle von client_assertion und client_assertion_type, wenn ein geheimer Clientschlüssel in der lokalen Entwicklung verwendet wird, verwendet werden.

So installieren Sie Microsoft.Identity.Web:

dotnet add package Microsoft.Identity.Web

Microsoft.Identity.Web enthält eine Schnittstelle, die automatisch ein Zugriffstoken anfordert und sie an ausgehende HTTP-Anforderungen anfügt. Wenn Sie Microsoft.Identity.Web verwenden, können Sie mit dem nächsten Schritt fortfahren.

Erstellen einer Agentidentität

Mithilfe des im vorherigen Schritt erworbenen Zugriffstokens können Sie jetzt Agentidentitäten in Ihrem Testmandanten erstellen. Die Erstellung der Agentidentität kann als Reaktion auf viele verschiedene Ereignisse oder Trigger auftreten, z. B. wenn ein Benutzer eine Schaltfläche auswählt, um einen neuen Agent zu erstellen.

Es wird empfohlen, für jeden Agent eine Agent-Identität zu erstellen. Sie können jedoch je nach Ihren Anforderungen einen anderen Ansatz auswählen.

Microsoft Graph-API
Microsoft.Identity.Web

Fügen Sie bei Verwendung von @odata.type immer die OData-Version in die Kopfzeile ein.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
    "displayName": "My Agent Identity",
    "agentIdentityBlueprintId": "<my-agent-blueprint-id>",
    "sponsors@odata.bind": [
        "https://graph.microsoft.com/v1.0/users/<id>",
        "https://graph.microsoft.com/v1.0/groups/<id>"
    ],
}

Um microsoft.Identity.Web zum Ausführen der Microsoft Graph-API-Anforderung zum Erstellen einer Agentidentität zu verwenden, fügen Sie die folgende MISE-Konfigurationsdatei hinzu:

Warnung

Geheime Clientschlüssel sollten aufgrund von Sicherheitsrisiken nicht als Clientanmeldeinformationen in Produktionsumgebungen für Agentidentitäts-Blueprints verwendet werden. Verwenden Sie stattdessen sicherere Authentifizierungsmethoden wie Verbundidentitätsanmeldeinformationen (FIC) mit verwalteten Identitäten oder Clientzertifikaten. Diese Methoden bieten eine verbesserte Sicherheit, da vertrauliche geheime Schlüssel nicht direkt in Ihrer Anwendungskonfiguration gespeichert werden müssen.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "<my-test-tenant>",
    "ClientId": "<my-agent-blueprint-id>",
    "Scopes": "access_agent",
    "ClientCredentials": [
        {
            "SourceType": "ClientSecret",
            "ClientSecret": "your-client-secret"
        }
    ]
  },

  "DownstreamApis": {
    "agent-identity": {
      "BaseUrl": "https://graph.microsoft.com",
      "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
      "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
      "RequestAppToken": true
    }
  }
}

Der Code für die ASP.NET Core-App (Program.cs) ist das folgende Beispiel:

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
    .EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
			    displayName = "My agent identity",
			    agentIdentityBlueprintId = "<my-agent-blueprint-id>",
          sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Löschen einer Agentidentität

Wenn ein Agent zugeordnet oder zerstört wird, sollte Ihr Dienst auch die zugeordnete Agent-Identität löschen:

Microsoft Graph-API
Microsoft.Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Feedback

War diese Seite hilfreich?

Last updated on 2025-11-19