Créer des identités d’agent dans la plateforme d’identités d’agent

Après avoir créé un plan directeur d'identité d'agent, l’étape suivante consiste à créer une ou plusieurs identités d’agents qui représentent des agents IA dans votre instance de test. La création d’identité de l’agent est généralement effectuée lors de l’approvisionnement d’un nouvel agent IA.

Cet article vous guide tout au long du processus de création d’un service web simple qui crée des identités d’agent via les API Microsoft Graph.

Si vous souhaitez créer rapidement des identités d’agent à des fins de test, envisagez d’utiliser ce module PowerShell pour créer et utiliser des identités d’agent.

Prerequisites

Avant de créer des identités d’agent, vérifiez que vous disposez des points suivants :

Comprendre les identités d’agent
Un blueprint d’identité d’agent configuré (voir Créer un blueprint d’agent). Enregistrer l'ID de l'application modèle d'identité de l'agent à partir du processus de création
Un service web ou une application (exécuté localement ou déployé sur Azure) qui héberge la logique de création d’identité de l’agent

Obtenir un jeton d’accès en utilisant le modèle d’identité de l’agent

Vous utilisez le modèle d'identité de l'agent pour créer chaque identité d'agent. Demandez un jeton d’accès auprès de Microsoft Entra à l’aide du blueprint d’identité de votre agent :

API Microsoft Graph
Microsoft.Identity.Web

Lorsque vous utilisez une identité managée comme informations d’identification, vous devez d’abord obtenir un jeton d’accès à l’aide de votre identité managée. Les jetons d’identité managée peuvent être demandés à partir d’une adresse IP exposée localement dans l’environnement de calcul. Pour des détails, reportez-vous à la documentation sur l’identité managée.

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

Après avoir obtenu un jeton pour l’identité managée, demandez un jeton pour le blueprint d’identité de l’agent :

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

Un client_secret paramètre peut également être utilisé au lieu de client_assertion et client_assertion_type, lorsqu’un secret client est utilisé dans le développement local.

Pour installer Microsoft.Identity.Web :

dotnet add package Microsoft.Identity.Web

Microsoft.Identity.Web inclut une interface qui demande automatiquement un jeton d’accès et l’attache aux requêtes HTTP sortantes. Lorsque vous utilisez Microsoft.Identity.Web, vous pouvez passer à l’étape suivante.

Créer une identité d’agent

À l’aide du jeton d’accès acquis à l’étape précédente, vous pouvez maintenant créer des identités d’agent dans votre tenant de test. La création d’identité de l’agent peut se produire en réponse à de nombreux événements ou déclencheurs différents, tels qu’un utilisateur sélectionnant un bouton pour créer un agent.

Nous vous recommandons de créer une identité d’agent pour chaque agent, mais vous pouvez choisir une approche différente en fonction de vos besoins.

API Microsoft Graph
Microsoft.Identity.Web

Veillez à inclure toujours l’en-tête OData-Version lors de l’utilisation de @odata.type.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
    "displayName": "My Agent Identity",
    "agentIdentityBlueprintId": "<my-agent-blueprint-id>",
    "sponsors@odata.bind": [
        "https://graph.microsoft.com/v1.0/users/<id>",
        "https://graph.microsoft.com/v1.0/groups/<id>"
    ],
}

Pour utiliser Microsoft.Identity.Web pour exécuter la demande d’API Microsoft Graph pour créer une identité d’agent, ajoutez le fichier de configuration MISE suivant :

Avertissement

Les secrets client ne doivent pas être utilisés comme informations d’identification client dans des environnements de production pour les blueprints d’identité de l’agent en raison des risques de sécurité. Utilisez plutôt des méthodes d’authentification plus sécurisées telles que les informations d’identification d’identité fédérée (FIC) avec des identités managées ou des certificats clients. Ces méthodes offrent une sécurité renforcée en éliminant la nécessité de stocker des secrets sensibles directement dans la configuration de votre application.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "<my-test-tenant>",
    "ClientId": "<my-agent-blueprint-id>",
    "Scopes": "access_agent",
    "ClientCredentials": [
        {
            "SourceType": "ClientSecret",
            "ClientSecret": "your-client-secret"
        }
    ]
  },

  "DownstreamApis": {
    "agent-identity": {
      "BaseUrl": "https://graph.microsoft.com",
      "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
      "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
      "RequestAppToken": true
    }
  }
}

Le code de l’application ASP.NET Core (Program.cs) est l’exemple suivant :

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
    .EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
			    displayName = "My agent identity",
			    agentIdentityBlueprintId = "<my-agent-blueprint-id>",
          sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Supprimer une identité d’agent

Lorsqu’un agent est libéré ou détruit, votre service doit également supprimer l’identité de l’agent associée :

API Microsoft Graph
Microsoft.Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-11-19