에이전트 ID 청사진은 에이전트 ID를 만들고 해당 에이전트 ID를 사용하여 토큰을 요청하는 데 사용됩니다. 이 가이드에서는 Microsoft Graph REST API 및 Microsoft Graph PowerShell을 사용하여 에이전트 ID 청사진을 만드는 방법을 안내합니다.
필수 조건
에이전트 ID 청사진을 만들기 전에 다음이 있는지 확인합니다.
- 에이전트 신원 청사진 이해
- 권한을 부여하는 데 필요한 권한 있는 역할 관리자
- 청사진을 만드는 데 필요한 역할 중 하나는 에이전트 ID 개발자 또는 에이전트 ID 관리자입니다. 에이전트 ID 관리자 역할을 선호합니다.
에이전트 ID 청사진을 만들도록 클라이언트에 권한 부여
이 문서에서는 Microsoft Graph PowerShell 또는 다른 클라이언트를 사용하여 에이전트 ID 청사진을 만듭니다. 에이전트 ID 청사진을 만들려면 이 클라이언트에 권한을 부여해야 합니다. 클라이언트에는 다음 Microsoft Graph 권한 중 하나가 필요합니다.
-
AgentIdentityBlueprint.Create(위임된 권한) -
AgentIdentityBlueprint.Create(애플리케이션 권한)
전역 관리자 또는 권한 있는 역할 관리자만 클라이언트에 이러한 권한을 부여할 수 있습니다. 관리자가 이러한 권한을 부여하려면 다음을 수행할 수 있습니다.
-
Connect-MgGraph명령 사용 - 스크립트를 실행하여 테넌트에
oAuth2PermissionGrant또는appRoleAssignment을 만듭니다.
에이전트 정체성 청사진 만들기
테넌트에서 기능 에이전트 ID 청사진을 만들려면 다음 두 단계가 필요합니다.
- 테넌트에서
AgentIdentityBlueprint를 생성합니다. - 테넌트에서
AgentIdentityBlueprintPrincipal를 생성하십시오.
이 경우 생성된 주체는 에이전트에서 사용하는 에이전트 ID와 다릅니다.
먼저 권한이 AgentIdentityBlueprint.Create있는 액세스 토큰을 가져옵니다. 액세스 토큰이 있으면 다음 요청을 수행합니다.
팁 (조언)
를 사용할 때 항상 OData-Version 헤더를 @odata.type포함합니다.
POST https://graph.microsoft.com/beta/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
]
}
에이전트 ID 청사진을 만든 후, appId 를 가이드의 향후 단계에서 사용할 수 있도록 기록합니다. 다음으로 에이전트 ID 청사진에 대한 서비스 주체를 만듭니다.
서비스 주체를 만들려면 먼저 권한이 AgentIdentityBlueprint.Create있는 액세스 토큰을 가져와야 합니다. 액세스 토큰이 있으면 다음 요청을 수행합니다.
팁 (조언)
를 사용할 때 항상 OData-Version 헤더를 @odata.type포함합니다.
POST https://graph.microsoft.com/beta/serviceprincipals/graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
에이전트 아이덴티티 청사진에 대한 자격 증명 구성
에이전트 ID 청사진을 사용하여 액세스 토큰을 요청하려면 클라이언트 자격 증명을 추가해야 합니다. 프로덕션 배포를 위해 관리 ID를 페더레이션 ID 자격 증명으로 사용하는 것이 좋습니다. 로컬 개발 및 테스트의 경우 클라이언트 비밀을 사용합니다.
다음 요청을 사용하여 관리 ID를 자격 증명으로 추가합니다.
이 요청을 보내려면 먼저 권한이 AgentIdentityBlueprint.AddRemoveCreds.All있는 액세스 토큰을 가져와야 합니다.
POST https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-msi",
"issuer": "https://login.microsoftonline.com/<my-test-tenant-id>/v2.0",
"subject": "<msi-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
일부 테넌트에서는 을 비롯한 keyCredentialspasswordCredentialstrustedSubjectNameAndIssuers 다른 종류의 앱 자격 증명도 지원됩니다. 이러한 종류의 자격 증명은 프로덕션에 권장되지 않지만 로컬 개발 및 테스트에 편리할 수 있습니다. 암호 자격 증명을 추가하려면 다음을 수행합니다.
이 요청을 보내려면 먼저 위임된 권한으로 액세스 토큰을 가져와야 합니다. AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
생성된 passwordCredential 값을 안전하게 저장해야 합니다. 초기 생성 후에는 볼 수 없습니다. 클라이언트 인증서를 자격 증명으로 사용할 수도 있습니다. 인증서 자격 증명 추가를 참조하세요.
식별자 URI 및 범위 구성
사용자 및 기타 에이전트로부터 들어오는 요청을 받으려면 에이전트 ID 청사진에 대한 식별자 URI 및 OAuth 범위를 정의해야 합니다.
이 요청을 보내려면 먼저 권한이 AgentIdentityBlueprint.ReadWrite.All있는 액세스 토큰을 가져와야 합니다.
PATCH https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}