Udostępnij przez

Tworzenie strategii tożsamości agenta

Szablon tożsamości agenta służy do tworzenia tożsamości agentów i składania żądań tokenów z użyciem tych tożsamości agentów. Ten przewodnik przeprowadzi Cię przez proces tworzenia strategii tożsamości agenta przy użyciu interfejsu API REST programu Microsoft Graph i programu Microsoft Graph PowerShell.

Wymagania wstępne

Przed utworzeniem strategii tożsamości agenta upewnij się, że masz:

  • zrozumieć plany tożsamości agenta
  • Administrator ról uprzywilejowanych wymagany do udzielania uprawnień
  • Jedna z następujących ról jest wymagana do utworzenia szablonu: Developer identyfikatora agenta lub Administrator identyfikatora agenta. Preferuj rolę Administratora Identyfikatora Agenta.

Autoryzowanie klienta do tworzenia strategii tożsamości agenta

W tym artykule użyjesz programu Microsoft Graph PowerShell lub innego klienta do utworzenia strategii tożsamości agenta. Musisz udzielić autoryzacji temu klientowi do utworzenia szkicu tożsamości agenta. Klient wymaga jednego z następujących uprawnień programu Microsoft Graph:

  • AgentIdentityBlueprint.Create (uprawnienie delegowane)
  • AgentIdentityBlueprint.Create (uprawnienie aplikacji)

Tylko administrator globalny lub administrator ról uprzywilejowanych może udzielić tych uprawnień klientowi. Aby przyznać te uprawnienia, administrator może:

  • Użyj polecenia Connect-MgGraph.
  • Uruchom skrypt, aby utworzyć oAuth2PermissionGrant lub appRoleAssignment w dzierżawie.

Tworzenie strategii tożsamości agenta

Utworzenie schematu tożsamości agenta funkcjonalnego w Twojej dzierżawie wymaga dwóch kroków:

  1. Utwórz element AgentIdentityBlueprint w kliencie.
  2. Utwórz element AgentIdentityBlueprintPrincipal w kliencie.

Główny podmiot utworzony w tym przypadku różni się od tożsamości agenta używanej przez agenta.

Najpierw uzyskaj token dostępu z uprawnieniem AgentIdentityBlueprint.Create. Po utworzeniu tokenu dostępu wykonaj następujące żądanie.

Wskazówka

Zawsze dołączaj nagłówek OData-Version podczas korzystania z @odata.type.

POST https://graph.microsoft.com/beta/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
  "displayName": "My Agent Identity Blueprint",
  "sponsors@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<id>",
  ],
	"owners@odata.bind": [
	  "https://graph.microsoft.com/v1.0/users/<id>"
	]
}

Po utworzeniu szablonu tożsamości agenta, zapisz jego appId w kolejnych krokach w przewodniku. Następnie utwórz główną usługę dla szablonu tożsamości agenta:

Aby utworzyć jednostkę usługi, należy najpierw uzyskać token dostępu z uprawnieniem AgentIdentityBlueprint.Create. Po utworzeniu tokenu dostępu wykonaj następujące żądanie:

Wskazówka

Zawsze dołączaj nagłówek OData-Version podczas korzystania z @odata.type.

POST https://graph.microsoft.com/beta/serviceprincipals/graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "appId": "<agent-blueprint-app-id>"
}

Konfigurowanie poświadczeń dla szablonu tożsamości agenta

Aby zażądać tokenów dostępu przy użyciu szablonu tożsamości agenta, należy dodać poświadczenia klienta. Zalecamy używanie tożsamości zarządzanej jako poświadczenia tożsamości federacyjnej na potrzeby wdrożeń produkcyjnych. W przypadku lokalnego rozwoju i testowania użyj tajemnicę klienta.

Dodaj tożsamość zarządzaną jako poświadczenie za pomocą następującego żądania:

Aby wysłać to żądanie, należy najpierw uzyskać token dostępu z uprawnieniem AgentIdentityBlueprint.AddRemoveCreds.All.

POST https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "name": "my-msi",
    "issuer": "https://login.microsoftonline.com/<my-test-tenant-id>/v2.0",
    "subject": "<msi-principal-id>",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

W niektórych dzierżawach obsługiwane są również inne rodzaje poświadczeń aplikacji, w tym keyCredentials, passwordCredentials i trustedSubjectNameAndIssuers. Tego rodzaju poświadczenia nie są zalecane w środowisku produkcyjnym, ale mogą być wygodne w przypadku lokalnego programowania i testowania. Aby dodać poświadczenie hasła:

Aby wysłać to żądanie, najpierw musisz uzyskać token dostępu z delegowanym uprawnieniem AgentIdentityBlueprint.AddRemoveCreds.All

POST https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>

{
  "passwordCredential": {
    "displayName": "My Secret",
    "endDateTime": "2026-08-05T23:59:59Z"
  }
}

Pamiętaj, aby bezpiecznie przechowywać wygenerowaną wartość passwordCredential. Nie można go wyświetlić po początkowym utworzeniu. Certyfikaty klienta można również używać jako poświadczenia; zobacz Dodaj poświadczenie certyfikatu.

Konfiguracja identyfikatora URI i zakresu

Aby odbierać żądania przychodzące od użytkowników i innych agentów, należy zdefiniować identyfikator URI i zakres OAuth dla strategii tożsamości agenta:

Aby wysłać to żądanie, należy najpierw uzyskać token dostępu z uprawnieniem AgentIdentityBlueprint.ReadWrite.All.

PATCH https://graph.microsoft.com/beta/applications/<agent-blueprint-object-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "identifierUris": ["api://<agent-blueprint-id>"],
    "api": {
      "oauth2PermissionScopes": [
        {
          "adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
          "adminConsentDisplayName": "Access agent",
          "id": "<generate-a-guid>",
          "isEnabled": true,
          "type": "User",
          "value": "access_agent"
        }
      ]
  }
}

Treści powiązane

Tworzenie i usuwanie tożsamości agentów

  • Last updated on