Udostępnij przez

Tożsamości agentów w Microsoft Entra Agent ID

Tożsamość agenta to specjalna jednostka usługi w identyfikatorze Entra firmy Microsoft. Reprezentuje tożsamość utworzoną przez strategię tożsamości agenta i jest autoryzowana do personifikacji. Nie ma własnych poświadczeń. Strategia tożsamości agenta może uzyskiwać tokeny w imieniu tożsamości agenta, pod warunkiem że użytkownik lub administrator dzierżawy wyraził zgodę na tożsamość agenta do odpowiednich zakresów. Agenci autonomiczni uzyskują tokeny aplikacji w imieniu tożsamości agenta. Agenci interakcyjni wywoływani przy użyciu tokenu użytkownika uzyskują tokeny użytkownika w imieniu tożsamości agenta.

Tożsamości agenta mogą służyć do:

  • Żądanie tokenów agenta z identyfikatora Entra firmy Microsoft. Podmiot tokenu dostępu to tożsamość agenta.
  • Odbieranie przychodzących tokenów dostępu wystawionych przez identyfikator firmy Microsoft Entra. Odbiorcą tokenu dostępu jest tożsamość agenta.
  • Żądanie tokenów użytkownika z identyfikatora Entra firmy Microsoft dla uwierzytelnionego użytkownika. Temat tokenu jest użytkownikiem, a aktor jest tożsamością agenta.

Wymagania wstępne

Strategie tożsamości agenta

Anatomia tożsamości agenta

Konto używane przez agenta sztucznej inteligencji jest określane jako tożsamość agenta. Podobnie jak typowe konto użytkownika, tożsamość agenta ma kilka kluczowych składników:

Diagram przedstawiający ilustrację tożsamości agenta.

  • Identyfikator. Każda tożsamość agenta ma wartość (znaną id również jako identyfikator obiektu), taką jak aaaaaaaa-1111-2222-3333-bbbbbbbbbb. Firma Microsoft Entra generuje i id jednoznacznie identyfikuje konto w dzierżawie firmy Microsoft Entra.

  • Poświadczenia. Tożsamości agentów nie mają haseł, ale mają inne formy poświadczeń, których mogą używać do uwierzytelniania.

  • nazwa do wyświetlenia. Nazwa wyświetlana tożsamości agenta jest wyświetlana w wielu środowiskach, takich jak Centrum administracyjne firmy Microsoft Entra, Witryna Azure Portal, Teams, Outlook i inne. Jest to przyjazna dla człowieka nazwa agenta i można ją zmienić.

  • Sponsor. Tożsamości agentów mogą mieć sponsora, który rejestruje użytkownika lub grupę, która jest odpowiedzialny za agenta. Ten sponsor jest używany w różnych celach, takich jak kontaktowanie się z człowiekiem w przypadku zdarzenia bezpieczeństwa.

  • Strategia. Wszystkie tożsamości agentów są tworzone na podstawie szablonu wielokrotnego użytku nazywanego strategią tożsamości agenta. Strategia tożsamości agenta określa rodzaj agenta i rekordy metadanych współużytkowanych we wszystkich tożsamościach agenta wspólnego rodzaju.

  • Użytkownik agenta (opcjonalnie). Niektórzy agenci muszą mieć dostęp do systemów, które wymagają ściśle konta użytkownika Microsoft Entra do uwierzytelniania. W takich przypadkach agent może otrzymać drugie konto nazywane użytkownikiem agenta. Drugie konto to konto użytkownika w dzierżawie firmy Microsoft Entra, które jest ozdobione jako agent sztucznej inteligencji. Różni się id ona od tożsamości agenta, ale relacja 1:1 jest zawsze ustanawiana między tożsamością agenta a jego użytkownikiem agenta.

Są to podstawowe składniki tożsamości agenta, które umożliwiają bezpieczne uwierzytelnianie i autoryzację. Pełny schemat obiektu tożsamości agenta jest dostępny w dokumentacji referencyjnej programu Microsoft Graph.

Poświadczenia dla tożsamości agenta

Tożsamość agenta to konto podstawowe używane przez agenta sztucznej inteligencji do uwierzytelniania w różnych systemach. Ma unikatowe identyfikatory — identyfikator obiektu i identyfikator aplikacji, które zawsze mają tę samą wartość — które mogą być niezawodnie używane do podejmowania decyzji dotyczących uwierzytelniania i autoryzacji.

W przeciwieństwie do użytkowników ludzkich agenci sztucznej inteligencji nie używają haseł, krótkiej usługi wiadomości (SMS), kluczy dostępu ani aplikacji uwierzytelniania do uwierzytelniania. Zamiast tego tożsamości agentów używają typów poświadczeń, które mogą być używane przez systemy oprogramowania. Te typy poświadczeń obejmują:

  • Tożsamości zarządzane dla agentów sztucznej inteligencji uruchamianych na platformie Azure (najbezpieczniejsze).
  • Poświadczenia tożsamości federacyjnej dla agentów sztucznej inteligencji uruchamianych na platformie Kubernetes lub innych dostawców usług w chmurze.
  • Certyfikaty/klucze kryptograficzne.
  • Wpisy tajne klienta.

Tożsamości agenta mogą być wystawiane tylko w dzierżawie firmy Microsoft Entra, w której są tworzone. Nie mogą uzyskiwać dostępu do zasobów ani interfejsów API w innych dzierżawach.

Strategie: spójne zabezpieczenia tożsamości agentów

Kluczową cechą tożsamości agenta jest to, że wszystkie tożsamości agentów są tworzone na podstawie szablonu wielokrotnego użytku nazywanego strategią tożsamości agenta. Strategia określa "rodzaj" agenta i rejestruje metadane współużytkowane we wszystkich tożsamościach agentów wspólnego rodzaju.

Diagram przedstawiający relację między tożsamością agenta a strategią tożsamości agenta.

Załóżmy, że organizacja używa agenta sztucznej inteligencji o nazwie "Agent asystenta sprzedaży". Niezależnie od tego, czy agent jest kupowany, czy wbudowany, strategia tożsamości agenta zostanie dodana do dzierżawy firmy Microsoft Entra w organizacji. Strategia przechwytuje następujące informacje:

  • Nazwa strategii, taka jak "Agent asystenta sprzedaży"
  • Organizacja, która opublikowała strategię, taką jak "Contoso"
  • Wszystkie role, które agent może oferować, takie jak "menedżer sprzedaży" lub "przedstawiciel ds. sprzedaży"
  • Wszelkie uprawnienia programu Microsoft Graph przyznane przez jego agentów, takie jak "odczyt kalendarza zalogowanego użytkownika"

Wiele zespołów sprzedaży w organizacji wdraża agenta sztucznej inteligencji. Agent jest wdrażany na potrzeby sprzedaży w Ameryce Północnej. Kolejna jest wdrażana dla sprzedaży w Ameryce Południowej. Jedna dla sprzedaży przedsiębiorstwa, jedna dla małych/średnich firm, a druga dla startupów. Po utworzeniu każdy z tych agentów otrzymuje tożsamość agenta. Każdy agent rozpoczyna uruchamianie i wykonywanie zadań przy użyciu tożsamości agenta na potrzeby uwierzytelniania.

Ponieważ każda tożsamość agenta jest tworzona przy użyciu tej samej strategii tożsamości agenta, wszyscy agenci są wyświetlani jako "Agenci asystenta sprzedaży" w centrum administracyjnym firmy Microsoft Entra. Ta funkcja umożliwia administratorowi firmy Microsoft Entra wykonywanie działań, takich jak:

  • Zastosuj zasady dostępu warunkowego do wszystkich agentów asystenta sprzedaży.
  • Wyłącz wszystkich agentów asystenta sprzedaży.
  • Odwoływanie udzielenia uprawnień dla wszystkich agentów asystenta sprzedaży.

Strategie tożsamości agenta zapewniają administratorowi firmy Microsoft Entra możliwość zabezpieczania tożsamości agentów na dużą skalę przez ustawianie reguł i wykonywanie operacji na podstawie rodzaju agenta. Ta funkcja zapewnia spójne zabezpieczenia dla każdego agenta sztucznej inteligencji wdrożonego w organizacji.

Treści powiązane

  • Last updated on