Udostępnij przez

Zabezpieczanie punktów końcowych interfejsu OpenAPI dla usługi agenta foundry

W tym artykule pokazano, jak zabezpieczyć punkty końcowe interfejsu OpenAPI usługi App Service, gdy są wywoływane przez usługę Foundry Agent Service. Po dodaniu aplikacji usługi App Service jako narzędzia OpenAPI w rozwiązaniu Microsoft Foundry możesz skonfigurować ją tak, aby wywoływać interfejsy API anonimowo bez uwierzytelniania, co jest łatwiejsze do programowania i testowania. Jednak w środowiskach produkcyjnych należy użyć uwierzytelniania firmy Microsoft Entra z tożsamością zarządzaną. Ten przewodnik przeprowadzi Cię przez proces konfigurowania uwierzytelniania tożsamości zarządzanej w celu umożliwienia bezpiecznej komunikacji opartej na tokenach między usługą Microsoft Foundry i aplikacją.

Wymagania wstępne

Znajdowanie identyfikatorów tożsamości zarządzanych projektu Microsoft Foundry

Potrzebujesz zarówno identyfikatora obiektu, jak i identyfikatora aplikacji tożsamości zarządzanej projektu Microsoft Foundry w celu skonfigurowania uwierzytelniania usługi App Service. Tożsamość zarządzana przypisana przez system jest tworzona automatycznie dla projektu Microsoft Foundry podczas jego tworzenia. Ta tożsamość jest używana przez usługę Agenta Foundry do uwierzytelniania w Twojej aplikacji.

  1. W portalu Foundry upewnij się, że w prawym górnym rogu wybierzesz pozycję Nowa Foundry. Zwróć uwagę, że nowy portal usługi Foundry nie pokazuje agentów utworzonych w portalu klasycznym.

  2. W prawym górnym menu wybierz pozycję Operacje>Administrator. Następnie wybierz zasób nadrzędny projektu w kolumnie Zasób nadrzędny.

  3. Na stronie szczegółów zasobu nadrzędnego wybierz pozycję Zarządzaj tym zasobem w witrynie Azure Portal.

    Uwaga / Notatka

    Przed przejściem upewnij się, że jesteś na stronie zasobu Foundry, a nie na stronie zasobu projektu Foundry.

  4. W menu po lewej stronie zasobu Foundry wybierz pozycję Zarządzanie zasobami>Tożsamość.

  5. W obszarze Przypisany system skopiuj wartość identyfikatora obiektu (podmiotu zabezpieczeń) do późniejszego użycia.

  6. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Entra ID.

  7. W polu wyszukiwania wyszukaj skopiowany identyfikator obiektu i wybierz go w wynikach wyszukiwania.

  8. Na stronie Przegląd skopiuj wartość identyfikatora aplikacji.

    Zanotuj, że identyfikator obiektu jest taki sam jak identyfikator widoczny w tożsamości zarządzanej przypisanej przez system. Potrzebny jest zarówno identyfikator aplikacji, jak i identyfikator obiektu do konfigurowania uwierzytelniania usługi App Service.

Skonfiguruj uwierzytelnianie w usłudze Microsoft Entra dla swojej aplikacji

  1. W witrynie Azure Portal przejdź do aplikacji usługi App Service.

  2. W menu po lewej stronie aplikacji wybierz pozycję Ustawienia>Uwierzytelnianie, a następnie wybierz pozycję Dodaj dostawcę tożsamości.

  3. Na stronie Dodawanie dostawcy tożsamości wybierz pozycję Microsoft jako dostawca tożsamości , aby utworzyć nową rejestrację aplikacji.

  4. W obszarze Dodatkowe kontrole w obszarze Wymaganie aplikacji klienckiej wybierz pozycję Zezwalaj na żądania z określonych aplikacji klienckich.

  5. Wybierz widżet ołówka i dodaj identyfikator aplikacji skopiowany w polu Znajdź identyfikatory tożsamości zarządzanej projektu Microsoft Foundry.

  6. W obszarze Wymaganie dotyczące tożsamości wybierz pozycję Zezwalaj na żądania z określonych tożsamości.

  7. Wybierz widżet ołówka i dodaj identyfikator obiektu, który skopiowałeś w sekcji Znajdowanie identyfikatorów tożsamości zarządzanej projektu Microsoft Foundry.

  8. W przypadku wymagania dzierżawy zaakceptuj wartość domyślną. Jeśli nie, pamiętaj, aby wybrać dzierżawcę, gdzie utworzono projekt Microsoft Foundry (lub właściwie jego tożsamość).

  9. W przypadku nieuwierzytelnionych żądań wybierz HTTP 401 Nieautoryzowany: zalecane dla API.

  10. Wybierz Dodaj, aby utworzyć dostawcę tożsamości.

    Zrzut ekranu przedstawiający konfigurację nowego dostawcy uwierzytelniania firmy Microsoft w usłudze App Service.

Aktualizowanie URI identyfikatora aplikacji podczas rejestracji

Po włączeniu uwierzytelniania należy zaktualizować URI identyfikatora aplikacji w rejestracji aplikacji, aby odpowiadał adresowi URL aplikacji w usłudze App Service.

  1. Po zakończeniu konfiguracji dostawcy firmy Microsoft wybierz ją w kolumnie Dostawca tożsamości , aby otworzyć stronę rejestracji aplikacji.

  2. W menu po lewej stronie wybierz pozycję Zarządzaj>uwidaczniaj interfejs API.

  3. Obok URI identyfikatora aplikacji wybierz pozycję Edytuj.

  4. Zmień wartość na adres URL aplikacji usługi App Service w następującym formacie: https://<suffix>.azurewebsites.net.

    Nazwę hosta aplikacji można znaleźć na stronie Przegląd w domenie domyślnej.

  5. Wybierz Zapisz.

Ostrzeżenie

Jeśli usuniesz aplikację usługi App Service, musisz również usunąć rejestrację aplikacji i wyczyścić wszystkie zasoby uwierzytelniania, które odwołują się do URI identyfikatora aplikacji. Niepodejmowanie działań tworzy lukę w zabezpieczeniach: jeśli ktoś inny utworzy aplikację z tym samym adresem URL, może potencjalnie uzyskać nieautoryzowany dostęp do zasobów, które ufają osieroconej rejestracji aplikacji. Zawsze usuwaj rejestracje aplikacji i skojarzone z nimi uprawnienia podczas likwidowania aplikacji.

Konfigurowanie narzędzia OpenAPI w rozwiązaniu Microsoft Foundry

Uwaga / Notatka

W tej sekcji założono, że ukończono już jeden z samouczków w sekcji Wymagania wstępne , w którym dodano aplikację jako narzędzie OpenAPI w usłudze Microsoft Foundry przy użyciu uwierzytelniania anonimowego. Teraz zaktualizujesz narzędzie do korzystania z uwierzytelniania tożsamości zarządzanej.

  1. Po powrocie do portalu Foundry wybierz agenta.

  2. Znajdź narzędzie OpenAPI i wybierz pozycję ...>Edytuj.

  3. Pole schematu OpenAPI 3.0+ powinno mieć schemat z aplikacji usługi App Service. Jeśli nie, wklej schemat OpenAPI. Aby uzyskać więcej informacji, zobacz How to use OpenAPI with Foundry Agent Service (Jak używać interfejsu OpenAPI z usługą agenta rozwiązania Foundry).

  4. W polu Metoda uwierzytelniania wybierz pozycję Tożsamość zarządzana.

  5. W polu Odbiorcy wprowadź adres URL aplikacji App Service. Ten adres URL musi być zgodny ze skonfigurowanym wcześniej URI aplikacji.

  6. Wybierz pozycję Aktualizuj narzędzie.

Wskazówka

Usługa agenta Foundry używa przypisanej przez system tożsamości zarządzanej do uwierzytelniania aplikacji. Ponieważ identyfikator klienta tożsamości został dodany jako dozwolona aplikacja kliencka i dozwolona tożsamość w konfiguracji dostawcy uwierzytelniania aplikacji, usługa agenta jest autoryzowana do wywoływania interfejsów API aplikacji.

Przetestuj agenta

  1. W portalu Foundry wybierz agenta i wybierz pozycję Wypróbuj na placu zabaw.

  2. Porozmawiaj z agentem, aby przetestować punkty końcowe interfejsu OpenAPI. Przykład:

    • Pokaż mi wszystkie zadania.
    • Utwórz zadanie o nazwie "Kup artykuły spożywcze".
    • Zaktualizuj to zadanie, aby "Kupować artykuły spożywcze i gotować kolację".

Jeśli uwierzytelnianie jest poprawnie skonfigurowane, agent pomyślnie wywołuje interfejsy API aplikacji za pośrednictwem narzędzia OpenAPI.

Treści powiązane

  • Last updated on