Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una identidad de agente es un principal de servicio especial en Microsoft Entra ID. Es una identidad que el esquema de identidad del agente creó y está autorizada para ser suplantada. No tiene credenciales propias. El plano técnico de identidad del agente puede adquirir tokens en nombre de la identidad del agente siempre que el usuario o el administrador de inquilinos consienten la identidad del agente en los ámbitos correspondientes. Los agentes autónomos adquieren tokens de aplicación en nombre de la identidad del agente. Los agentes interactivos llamados con un token de usuario adquieren tokens de usuario en nombre de la identidad del agente.
Las identidades del agente se pueden usar para:
- Solicite tokens de agente de Microsoft Entra ID. El asunto del token de acceso es la identidad del agente.
- Recibir tokens de acceso entrantes emitidos por el id. de Microsoft Entra. La audiencia del token de acceso es la identidad del agente.
- Solicite tokens de usuario de Microsoft Entra ID para un usuario autenticado. El asunto del token es un usuario, mientras que el actor es la identidad del agente.
Prerrequisitos
Planos técnicos de identidad del agente
Anatomía de una identidad del agente
Una cuenta usada por un agente de IA se conoce como identidad del agente. Al igual que su cuenta de usuario típica, una identidad del agente tiene algunos componentes clave:
Identificador. Cada identidad del agente tiene un
id(también conocido como identificador de objeto), comoaaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra genera eididentifica de forma única la cuenta dentro de un inquilino de Microsoft Entra.Credenciales. Las identidades del agente no tienen contraseñas, pero tienen otras formas de credenciales que pueden usar para autenticarse.
Nombre para mostrar. El nombre para mostrar de una identidad del agente se muestra en muchas experiencias, como el Centro de administración de Microsoft Entra, Azure Portal, Teams, Outlook, etc. Es el nombre descriptivo de un agente y se puede cambiar.
Patrocinador. Las identidades del agente pueden tener un patrocinador, que registra el usuario o grupo humano responsable de un agente. Este patrocinador se usa para diversos propósitos, como ponerse en contacto con un humano en caso de que se produzca un incidente de seguridad.
Plano técnico. Todas las identidades del agente se crean a partir de una plantilla reutilizable denominada plano técnico de identidad del agente. El plano técnico de identidad del agente establece el tipo de agente y registra los metadatos compartidos en todas las identidades de agente de un tipo común.
Usuario del agente (opcional). Algunos agentes necesitan acceso a sistemas que requieren estrictamente que se use una cuenta de usuario de Microsoft Entra para la autenticación. En estos casos, se puede dar a un agente una segunda cuenta, denominada usuario del agente. Esta segunda cuenta es una cuenta de usuario en el inquilino de Microsoft Entra que está decorada como agente de IA. Tiene un valor diferente
ida la identidad del agente, pero siempre se establece una relación 1:1 entre una identidad del agente y su usuario del agente.
Estos son los componentes básicos de una identidad de agente que habilitan la autenticación y autorización seguras. El esquema de objetos completo de una identidad de agente está disponible en la documentación de referencia de Microsoft Graph.
Credenciales para identidades de agente
La identidad del agente es la cuenta principal que usa un agente de IA para autenticarse en varios sistemas. Tiene identificadores únicos: el identificador de objeto y el identificador de aplicación, que siempre tienen el mismo valor, que se puede usar de forma confiable para las decisiones de autenticación y autorización.
A diferencia de los usuarios humanos, los agentes de IA no usan contraseñas, Short Message Service (SMS), contraseñas o aplicaciones de autenticación para la autenticación. En su lugar, las identidades de agente usan tipos de credenciales que los sistemas de software pueden usar. Estos tipos de credenciales incluyen:
- Identidades administradas, para agentes de inteligencia artificial que se ejecutan en Azure (la mayoría de los seguros).
- Credenciales de identidad federada, para agentes de IA que se ejecutan en Kubernetes u otros proveedores de nube.
- Certificados o claves criptográficas.
- Secretos de cliente.
Las identidades del agente solo se pueden emitir tokens en el inquilino de Microsoft Entra donde se crean. No pueden acceder a recursos ni API en otros inquilinos.
Planos técnicos: seguridad coherente para las identidades del agente
Una característica clave de las identidades de agente es que todas las identidades del agente se crean a partir de una plantilla reutilizable denominada plano técnico de identidad del agente. El plano técnico establece el "tipo" de agente y registra los metadatos compartidos en todas las identidades de agente de un tipo común.
Imagine que una organización usa un agente de IA denominado "Agente del Asistente de ventas". Tanto si el agente se compra como integrado, se agregará un plano técnico de identidad del agente al inquilino de Microsoft Entra de la organización. El plano técnico captura la siguiente información:
- Nombre del plano técnico, como "Agente del Asistente de ventas"
- La organización que publicó el plano técnico, como "Contoso"
- Cualquier rol que el agente pueda ofrecer, como "administrador de ventas" o "representante de ventas"
- Todos los permisos de Microsoft Graph a los que se conceden sus agentes, como "leer el calendario del usuario que ha iniciado sesión"
Muchos equipos de ventas dentro de la organización implementan el agente de IA. Se implementa un agente para las ventas de Norteamérica. Otro se implementa para las ventas de Sudamérica. Una para las ventas empresariales, otra para pequeñas y medianas empresas, y otra para startups. Tras la creación, a cada uno de estos agentes se le asigna una identidad de agente. Cada agente comienza a ejecutarse y realizar tareas mediante su identidad de agente para la autenticación.
Dado que cada identidad del agente se crea con el mismo plano técnico de identidad del agente, todos los agentes aparecen como "Agentes del Asistente de ventas" en el Centro de administración de Microsoft Entra. Esta característica permite al administrador de Microsoft Entra realizar acciones como:
- Aplique una directiva de acceso condicional a todos los agentes del Asistente de ventas.
- Deshabilite todos los agentes del Asistente de ventas.
- Revocar una concesión de permisos para todos los agentes del Asistente de ventas.
Los planos técnicos de identidad del agente proporcionan al administrador de Microsoft Entra la capacidad de proteger las identidades de agente a escala estableciendo reglas y realizando operaciones basadas en el tipo de agente. Esta característica garantiza una seguridad coherente para cada agente de IA que se implementa en la organización.