에이전트 사용자는 에이전트와 사용자 기능 간의 격차를 해소하기 위해 설계된 특수 ID 유형입니다. 에이전트 사용자는 적절한 보안 경계 및 관리 제어를 유지하면서 AI 기반 애플리케이션이 사용자 ID가 필요한 시스템 및 서비스와 상호 작용할 수 있도록 합니다. 이를 통해 조직은 사용자와 비슷한 기능을 사용하여 해당 에이전트의 액세스를 관리할 수 있습니다.
에이전트 사용자 시나리오의 예
경우에 따라 에이전트가 사용자를 대신하여 작업을 수행하거나 자율 애플리케이션으로 작동하는 것만으로는 충분하지 않습니다. 특정 시나리오에서 에이전트는 기본적으로 디지털 작업자로 작동하는 사용자 역할을 해야 합니다. 다음은 에이전트 사용자가 적용할 수 있는 예제 시나리오입니다.
- 조직에는 사서함, 채팅 액세스 및 HR 시스템에 포함되는 팀 구성원으로 작동하는 장기 디지털 직원이 필요합니다.
- 에이전트는 사용자 ID에만 사용할 수 있는 API 또는 리소스에 액세스해야 합니다.
- 에이전트는 팀 구성원으로서 공동 작업 워크플로에 참여해야 합니다.
이러한 이유로 에이전트 사용자가 만들어집니다. 에이전트 사용자는 선택 사항이며 에이전트가 사용자 역할을 하거나 사용자 계정으로 제한된 리소스에 액세스해야 하는 상호 작용에 대해서만 만들어야 합니다.
에이전트 사용자
에이전트 사용자는 Microsoft Entra 내에서 사용자 ID의 하위 형식을 나타냅니다. 이러한 ID는 에이전트 애플리케이션이 사용자 ID가 필요한 컨텍스트에서 작업을 수행할 수 있도록 설계되었습니다. 비제전 서비스 주체 또는 애플리케이션 ID와 달리 에이전트 사용자는 클레임 idtyp=user이 있는 토큰을 수신하여 특히 사용자 ID가 필요한 API 및 서비스에 액세스할 수 있습니다. 또한 비인간 ID에 필요한 보안 제약 조건을 유지 관리합니다.
에이전트 사용자는 자동으로 만들어지지 않습니다. 부모 에이전트 ID에 연결하는 명시적 생성 프로세스가 필요합니다. 이 부모-자식 관계는 에이전트 사용자가 어떻게 작동하고 Microsoft Entra에서 보호되는지를 이해하는 데 기본 사항입니다. 일단 설정되면 이 관계는 변경할 수 없으며 에이전트 사용자를 위한 보안 모델의 초석으로 사용됩니다. 관계는 일대일(1:1) 매핑입니다. 각 에이전트 ID에는 최대 하나의 연결된 에이전트 사용자가 있을 수 있으며, 각 에이전트 사용자는 정확히 하나의 부모 에이전트 ID에 연결되며, 그 자체는 정확히 하나의 에이전트 ID 청사진 애플리케이션에 연결됩니다.
에이전트 사용자:
- 또한 에이전트 ID 청사진을 사용하여 생성됩니다.
- 생성 시 지정된 특정 에이전트 ID에 항상 연결됩니다.
- 에이전트 ID와 별개의 고유 식별자를 갖습니다.
- 연결된 에이전트 ID에 발급된 토큰을 제시해야만 인증할 수 있습니다.
에이전트 사용자 및 에이전트 ID 관계
에이전트 ID 청사진에는 기본적으로 에이전트 사용자를 만들 수 있는 권한이 없습니다. 이 기능은 선택 사항이며 항상 필요한 것은 아니기 때문입니다. 에이전트 ID 청사진에 명시적으로 부여해야 하는 권한입니다.
에이전트 사용자는 에이전트 ID 청사진을 사용하여 만들어집니다. 적절한 권한이 부여되면 에이전트 ID 청사진은 에이전트 사용자를 만들고 특정 에이전트 ID와 부모 관계를 설정할 수 있습니다. 에이전트 ID는 에이전트 사용자의 부모로 간주됩니다.
관리자는 에이전트 사용자의 수명 주기를 관리합니다. 에이전트 사용자 기능이 더 이상 필요하지 않은 경우 관리자 사용자는 에이전트 사용자를 삭제할 수 있습니다.
인증 및 보안 모델
에이전트 사용자에 대한 인증 모델은 사용자-사용자 계정과 크게 다릅니다.
페더레이션 ID 자격 증명: 인증은 에이전트 사용자에게 할당된 자격 증명을 통해 수행됩니다. 프로덕션 시스템에서 FIC(페더레이션 ID 자격 증명)를 사용합니다. 이러한 자격 증명은 에이전트 ID 청사진과 에이전트 ID를 모두 인증하는 데 사용됩니다. 사용자에게 할당된 자격 증명은 에이전트 에코시스템 전체에서 인증하는 데 사용됩니다.
제한된 자격 증명 모델: 에이전트 사용자에게는 암호와 같은 일반 자격 증명이 없습니다. 대신 부모 관계를 통해 제공된 자격 증명을 사용하도록 제한됩니다. 자격 증명에 대한 이러한 제한과 대화형 로그인에 대한 제한은 에이전트 사용자를 표준 사용자 계정처럼 사용할 수 없도록 합니다.
가장 메커니즘: 연결된 에이전트 ID는 자식 에이전트 사용자를 가장할 수 있습니다. 이를 통해 부모의 비즈니스 논리가 토큰을 가져오고 필요할 때 에이전트 사용자 역할을 할 수 있습니다.
에이전트 사용자의 기능
에이전트 사용자는 Microsoft 365 및 기타 환경 내에서 효과적으로 작동할 수 있는 기능을 보유하고 있습니다.
에이전트 사용자를 동적 그룹을 포함하여 Microsoft Entra 그룹에 추가하여 해당 그룹에 부여된 권한을 상속할 수 있습니다. 그러나 역할 할당 가능 그룹에 추가할 수는 없습니다.
에이전트 사용자는 리소스에 액세스하고 일반적으로 사용자용으로 예약된 다른 공동 작업 기능을 활용할 수 있습니다.
에이전트 사용자는 사용자와 비슷하게 관리 단위에 추가할 수 있습니다.
에이전트 사용자에게 라이선스를 할당할 수 있으며, Microsoft 365 리소스를 프로비전하는 데 필요한 경우가 많습니다.
보안 제약 조건
에이전트 사용자는 적절한 사용을 보장하기 위해 특정 보안 제약 조건에 따라 작동합니다.
자격 증명 제한 사항: 에이전트 사용자는 암호 또는 암호와 같은 자격 증명을 가질 수 없습니다. 지원하는 유일한 자격 증명 유형은 부모에 대한 에이전트 ID 참조입니다. 따라서 에이전트 사용자가 사용자로 동작하더라도 해당 자격 증명은 기밀 클라이언트 자격 증명입니다.
관리 역할 제한: 에이전트 사용자에게 권한 있는 관리자 역할을 할당할 수 없습니다. 이 제한은 중요한 보안 경계를 제공하여 잠재적인 권한 상승을 방지합니다.
사용 권한 모델: 에이전트 사용자에게는 일반적으로 게스트 사용자와 유사한 사용 권한이 있으며 사용자 및 그룹을 열거하는 데 더 많은 기능이 있습니다. 에이전트 사용자에게 권한 있는 관리자 역할을 할당할 수 없습니다. 에이전트 사용자는 사용자 지정 역할 할당 및 역할 할당 가능 그룹을 사용할 수 없습니다. 자세한 내용은 Microsoft Graph 권한 참조를 참조하세요.