Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Agent Identity Platform bietet spezielle Identitätskonstrukte, die speziell für KI-Agenten entwickelt wurden, die in Unternehmensumgebungen arbeiten. Diese Identitätskonstrukte ermöglichen sichere Authentifizierungs- und Autorisierungsmuster, die sich von herkömmlichen Benutzer- und Anwendungsidentitäten unterscheiden und die eindeutigen Anforderungen autonomer KI-Systeme erfüllen.
In diesem Artikel werden die Kernkonzepte erläutert, die die Grundlage für die Agentidentitätsverwaltung bilden: Agentidentitäten, Agentidentitäts-Blueprints und ihre unterstützenden Komponenten. Das Verständnis dieser Konzepte ist für Entwickler unerlässlich, die sichere, skalierbare Authentifizierungsmuster für KI-Agents implementieren müssen.
Die Agentidentitätsarchitektur folgt einem hierarchischen Modell, bei dem Agentidentitäts-Blueprints als Vorlagen zum Erstellen mehrerer Agentinstanzen dienen, die jeweils mit unterschiedlichen Identitäten und Funktionen verwendet werden. Dieser Ansatz ermöglicht die zentrale Verwaltung und bietet gleichzeitig die Flexibilität, die für verschiedene KI-Agent-Bereitstellungsszenarien erforderlich ist.
Kernidentitätskonzepte
Die folgenden Konzepte bilden die Grundlage des Agent-Identitätssystems in microsoft Entra ID.
Agent-Identität
Die Agentidentität ist das primäre Konto, das von einem KI-Agent zur Authentifizierung bei verschiedenen Systemen verwendet wird. Es verfügt über eindeutige Bezeichner – die Objekt-ID und die App-ID, die immer denselben Wert aufweisen - die zuverlässig für Authentifizierungs- und Autorisierungsentscheidungen verwendet werden können. Agentidentitäten verfügen nicht über ein Kennwort oder andere Anmeldeinformationen. Stattdessen können Agentidentitäten nur authentifiziert werden, indem ein Zugriffstoken angezeigt wird, das an den Dienst oder die Plattform ausgestellt wurde, auf dem der Agent ausgeführt wird. Weitere Informationen finden Sie unter "Was ist eine Agent-ID".
Agentidentitäts-Blueprint
Agentidentitäts-Blueprints stellen die Vorlagen- und Verwaltungsstruktur zum Erstellen und Verwalten mehrerer Agentidentitäten bereit. Der Identitätsentwurf eines Agenten dient als übergeordnete Instanz der Agentenidentität.
Weitere Informationen finden Sie unter Was ist ein Agentidentitäts-Blueprint?
Blaupausenprinzipal der Agent-Identität
Wenn Blueprints Mandanten hinzugefügt werden, erstellen diese ein entsprechendes Prinzipalobjekt, das die Präsenz des Blueprints innerhalb dieses bestimmten Mandanten verwaltet. "Der Agent Identity Blueprint Principal ist das Microsoft Entra-Objekt und stellt den Datensatz der Hinzufügung eines Blueprints zu einem Mandanten dar." Weitere Informationen finden Sie unter Agent-Identitäts-Blueprint-Prinzipale
Agent-Benutzer
Für Szenarien, in denen Agents mit Systemen interagieren müssen, die speziell Benutzerobjekte erfordern, stellt die Plattform Agentbenutzer als alternativen Identitätstyp bereit. Ein Agentbenutzer ist ein sekundäres Konto, das ein KI-Agent zur Authentifizierung bei verschiedenen Systemen verwendet. Bei diesen Konten handelt es sich um Benutzerobjekte in einem Mandanten und verfügen über die meisten Eigenschaften anderer Benutzer, z. B. einen Vorgesetzten, einen UPN und ein Foto. Es macht sie kompatibel mit Systemen, die eine harte Abhängigkeit von Benutzerobjekten haben, und ermöglichen KI-Agents, eine Verbindung mit diesen Systemen herzustellen. Weitere Informationen finden Sie unter Agent-Benutzer
Agent-Registrierung
Die Agentregistrierung ist ein zentrales Repository, das Metadaten zu allen registrierten Agents innerhalb einer Organisation verwaltet. Es dient als Ermittlungsmechanismus, der es Systemen und Diensten ermöglicht, Agents basierend auf ihren Funktionen, Rollen und anderen Attributen zu suchen und mit ihnen zu interagieren. Weitere Informationen finden Sie in der Agentregistrierung
Agent-Vorgangsmuster
Die Agent-Identitätsplattform unterstützt zwei primäre Muster für die Funktionsweise und Authentifizierung von Agents, die jeweils unterschiedliche Anwendungsfälle und Sicherheitsanforderungen erfüllen.
Interaktive Agenten sind Agenten, die einen Benutzer anmelden und auf Benutzeraufforderungen hin Aktionen ausführen, häufig über eine Chat-Benutzeroberfläche. Diese Agents handeln im Namen des angemeldeten Benutzers und verwenden die Autorisierung dieses Benutzers, um Aktionen in verschiedenen Systemen auszuführen. Interaktive Agents erhalten delegierte Microsoft Entra-Berechtigungen, mit denen sie im Auftrag von Benutzern handeln können. Token, die für interaktive Agents ausgegeben werden, werden häufig als Benutzertoken bezeichnet.
Autonome Agenten sind Agenten, die Aktionen mit ihrer eigenen Identität ausführen; nicht die Identität eines menschlichen Benutzers. Diese Agents laufen häufig im Hintergrund und treffen autonome Entscheidungen darüber, welche Maßnahmen ergriffen werden sollen. Token, die für autonome Agents ausgegeben werden, werden häufig als Agenttoken bezeichnet, wenn eine Agentidentität authentifiziert wird. Sie können auch als Agent-Benutzertoken bezeichnet werden, wenn ein Agent-Benutzer authentifiziert wird.
Agentenbesitzer, Sponsoren und Manager
Die Agent-Identitätsplattform führt ein Administratives Modell ein, das die technische Verwaltung von der Verantwortlichkeit des Unternehmens trennt, die Betriebskontrolle und Compliance-Aufsicht ohne übermäßige Berechtigungen gewährleistet. Zu den Administratorrollen des Agents gehören Besitzer, Manager und Sponsoren.
- Besitzer dienen als technische Administratoren für Agenten, behandeln betriebs- und konfigurationsaspekte.
- Sponsoren bieten Geschäftsverantwortung für Agenten und treffen Lebenszyklusentscheidungen ohne technischen administrativen Zugriff.
- Ein Vorgesetzter ist ein menschlicher Benutzer, der als Personalmanager oder betrieblichen Verantwortlicher für einen Agent-Benutzer festgelegt ist.
Weitere Informationen finden Sie unter Administrative Beziehungen für Agentidentitäten (Besitzer, Sponsoren und Manager)
Microsoft Entra SDK für Agenten-ID
Das Microsoft Entra SDK für AgentID ist ein containerisierter Webdienst, der Tokenerwerbs-, Validierungs- und sichere downstream-API-Aufrufe für Agents verarbeitet, die in der Microsoft Identity Platform registriert sind. Sie wird zusammen mit Ihrer Anwendung als Begleitcontainer ausgeführt, sodass Sie identitätslogik in einen dedizierten Dienst entladen können. Weitere Informationen finden Sie unter Microsoft Entra SDK für agent-ID