Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo proteger los puntos de conexión de OpenAPI de App Service cuando los llama Foundry Agent Service. Al agregar la aplicación de App Service como una herramienta openAPI en Microsoft Foundry, puede configurarla para llamar a las API de forma anónima sin autenticación, lo que es más fácil para el desarrollo y las pruebas. Sin embargo, para entornos de producción, debe usar la autenticación de Microsoft Entra con identidad administrada. Esta guía le guía a través de la configuración de la autenticación de identidad administrada para habilitar la comunicación segura basada en tokens entre Microsoft Foundry y la aplicación.
Prerrequisitos
Una aplicación de App Service con puntos de conexión de OpenAPI. Si necesita agregar funcionalidad de OpenAPI a la aplicación, consulte uno de los siguientes tutoriales:
- Adición de una aplicación de App Service como herramienta en Foundry Agent Service (.NET)
- Adición de una aplicación de App Service como herramienta en Foundry Agent Service (Java)
- Adición de una aplicación de App Service como herramienta en Foundry Agent Service (Python)
- Adición de una aplicación de App Service como herramienta en Foundry Agent Service (Node.js)
Un proyecto de Microsoft Foundry donde vas a agregar tu aplicación como una herramienta OpenAPI.
Encuentra los identificadores de identidad administrada (IDs) de tu proyecto de Microsoft Foundry
Se necesita tanto el identificador de objeto como el identificador de aplicación de la identidad administrada de su proyecto de Microsoft Foundry para configurar la autenticación de App Service. Una identidad administrada asignada por el sistema se crea automáticamente para el proyecto de Microsoft Foundry al crearla. Esta identidad es lo que usa Foundry Agent Service para autenticarse con la aplicación.
En el portal de Foundry, asegúrese de seleccionar New Foundry en la esquina superior derecha. Tenga en cuenta que el nuevo portal de Foundry no muestra los agentes creados en el portal clásico.
En el menú superior derecho, seleccione Operar>administrador. A continuación, seleccione el recurso primario del proyecto en la columna Recurso primario .
En la página de detalles del recurso primario, seleccione Administrar este recurso en Azure Portal.
Nota:
Antes de continuar, asegúrese de que se encuentra en una página de recursos Foundry, no en una página de recursos del proyecto Foundry.
En el menú izquierdo del recurso Foundry, seleccione Gestión de recursos>Identidad.
En Asignado por el sistema, copie el valor de ID de objeto (principal) para su uso posterior.
En Azure Portal, busque y seleccione Microsoft Entra ID.
En el cuadro de búsqueda, busque el identificador de objeto que copió y selecciónelo en los resultados de búsqueda.
En la página Información general , copie el valor de Id. de aplicación.
Tenga en cuenta que el identificador de objeto es el mismo que el que se muestra en la identidad administrada asignada por el sistema. Necesita tanto el identificador de aplicación como el identificador de objeto para configurar la autenticación de App Service.
Configuración de la autenticación de Microsoft Entra para la aplicación
En Azure Portal, vaya a la aplicación de App Service.
En el menú izquierdo de la aplicación, seleccione Configuración>Autenticación y, a continuación, seleccione Agregar proveedor de identidades.
En la página Agregar un proveedor de identidades , seleccione Microsoft como proveedor de identidades para crear un nuevo registro de aplicaciones.
En Comprobaciones adicionales, en Requisitos de aplicación cliente, seleccione Permitir solicitudes de aplicaciones cliente específicas.
Seleccione el widget de lápiz y agregue el identificador de aplicación que copió en Buscar los identificadores de identidad administrada del proyecto de Microsoft Foundry.
En Requisito de identidad, seleccione Permitir solicitudes de identidades específicas.
Seleccione el widget de lápiz y agregue el identificador de objeto que copió en Buscar los identificadores de identidad administrada del proyecto de Microsoft Foundry.
Para el requisito de inquilino , acepte el valor predeterminado. Si no es así, asegúrese de seleccionar la entidad donde se ha creado su proyecto de Microsoft Foundry (o su identidad).
En Solicitudes no autenticadas, seleccione HTTP 401 No autorizado: recomendado para las API.
Seleccione Agregar para crear el proveedor de identidades.
Actualizar el id. de aplicación de registro de la aplicación URI
Después de habilitar la autenticación, debe actualizar el URI del id. de aplicación del registro de la aplicación para que coincida con la URL de su aplicación de App Service.
Una vez completada la configuración del proveedor de Microsoft, selecciónela en la columna Proveedor de identidades para abrir la página de registro de la aplicación.
En el menú de la izquierda, seleccione Administrar>exponer una API.
Junto a URI de id. de aplicación, seleccione Editar.
Cambia el valor a la dirección URL de tu aplicación de App Service con el formato siguiente:
https://<suffix>.azurewebsites.net.Puede encontrar el nombre de host de la aplicación en la página Información general del dominio predeterminado.
Haga clic en Guardar.
Advertencia
Si elimina la aplicación de App Service, también debe eliminar el registro de la aplicación y limpiar los recursos de autenticación que hagan referencia al URI del identificador de aplicación. Si no lo hace, se crea una vulnerabilidad de seguridad: si otra persona crea una aplicación con la misma dirección URL, podría obtener acceso no autorizado a los recursos que confían en el registro de la aplicación huérfana. Quite siempre los registros de aplicaciones y sus permisos asociados al retirar una aplicación.
Configuración de la herramienta OpenAPI en Microsoft Foundry
Nota:
En esta sección se supone que ya ha completado uno de los tutoriales de la sección Requisitos previos , donde agregó la aplicación como una herramienta OpenAPI en Microsoft Foundry mediante la autenticación anónima. Ahora actualiza la herramienta para usar la autenticación de identidad administrada.
De nuevo en el portal de Foundry, seleccione su agente.
Busque la herramienta OpenAPI y seleccione ...>Editar.
La casilla OpenAPI 3.0+ schema debe contener el esquema de su aplicación de App Service. Si no es así, pegue el esquema de OpenAPI. Para obtener más información, consulte Uso de OpenAPI con el servicio Foundry Agent.
En Método de autenticación, seleccione Identidad administrada.
En Audiencia, escriba la dirección URL de la aplicación de App Service. Esta dirección URL debe coincidir con el URI del identificador de aplicación que configuró anteriormente.
Seleccione Actualizar herramienta.
Sugerencia
Foundry Agent Service usa la identidad administrada asignada por el sistema para autenticarse con la aplicación. Debido a que ha agregado el id. de cliente de la identidad como una aplicación cliente permitida y una identidad permitida en la configuración del proveedor de autenticación de su aplicación, el servicio del agente está autorizado para llamar a las API de su aplicación.
Prueba del agente
En el portal de Foundry, seleccione su agente y seleccione Probar en la zona de pruebas.
Chatear con el agente para probar los puntos de conexión de OpenAPI. Por ejemplo:
- Muéstrame todas las tareas.
- Cree una tarea denominada "Comprar comestibles".
- Actualice esa tarea a "Comprar comestibles y cocinar cena".
Si la autenticación está configurada correctamente, el agente llama correctamente a las API de la aplicación a través de la herramienta OpenAPI.