Konfigurowanie autoryzacji użytkownika dla agentów interakcyjnych

Agenci często muszą podejmować działania w imieniu użytkowników korzystających z agenta. W tym celu agenci interaktywni muszą zażądać delegowanej autoryzacji od użytkownika przy użyciu protokołu OAuth. W tym artykule przedstawiono proces żądania zgody od użytkownika przy użyciu tożsamości agenta. Kroki obejmują:

• Aktualizowanie szablonu tożsamości agenta z URI przekierowania.
• Konstruowanie żądania autoryzacji i przekierowywanie użytkownika do identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Przed zażądaniem autoryzacji użytkownika upewnij się, że masz:

• Tożsamość agenta (create-delete-agent-identities.md)
• Przepływ kodu autoryzacji OAuth 2.0

Zarejestruj identyfikator URI przekierowania

Aby obsługiwać uprawnienia delegowane, plan tożsamości agenta musi być skonfigurowany przy użyciu prawidłowego identyfikatora URI przekierowania. Ten URI jest miejscem, do którego Microsoft Entra ID kieruje użytkowników po udzieleniu lub odmowie zgody Twojego agenta.

PATCH https://graph.microsoft.com/beta/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "web": {
    "redirectUris": [
      "https://myagentapp.com/authorize"
    ]
  }
}

Connect-MgGraph -Scopes "AgentIdentityBlueprint.ReadWrite.All" -TenantId <your-test-tenant>

$applicationId = "<agent-blueprint-id>"
$web = @{
    redirectUris= @(
        "https://myagentapp.com/authorize"
    )
}

$body = @{
    web   =  $web
}

Invoke-MgGraphRequest -Method PATCH `
        -Uri "https://graph.microsoft.com/beta/applications/$applicationId" `
        -Headers @{ "OData-Version" = "4.0" } `
        -Body ($body | ConvertTo-Json)

Konstruowanie adresu URL żądania autoryzacji

Teraz, gdy schemat tożsamości agenta ma prawidłowy identyfikator URI przekierowania, możesz utworzyć adres URL autoryzacji, który jest używany do poproszenia użytkownika o przyznanie delegowanych uprawnień. Adres URL autoryzacji jest zgodny ze standardem przepływu kodu autoryzacji OAuth 2.0.

Pamiętaj, aby używać identyfikatora klienta tożsamości agenta w następującym żądaniu, a nie identyfikatora szablonu tożsamości agenta. Implementacje agenta mogą przekierowywać użytkownika do tego adresu URL na różne sposoby, takie jak dołączenie go do wiadomości wysłanej do użytkownika w oknie czatu.

https://login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?
  client_id=<agent-identity-id>
  &response_type=none
  &redirect_uri=https%3A%2F%2Fmyagentapp.com%2Fauthorize
  &response_mode=query
  &scope=User.Read
  &state=xyz123

Gdy użytkownik zostanie przekierowany do tego adresu URL, zostanie poproszony o zalogowanie się i wyrażenie zgody na uprawnienia określone w parametrze zakresu. Po udzieleniu zgody użytkownik zostanie zwrócony do określonego adresu URI przekierowania.

Kluczowe parametry w adresie URL autoryzacji to:

• client_id: Użyj identyfikatora klienta tożsamości agenta (a nie identyfikatora klienta szablonu tożsamości agenta)
• response_type: ustaw wartość na none dla przepływu kodu autoryzacji
• redirect_uri: Musi być dokładnie zgodny z tym, co zostało skonfigurowane w poprzednim kroku
• scope: Określ wymagane uprawnienia delegowane (na przykład User.Read)
• state: opcjonalny parametr do utrzymania stanu między żądaniem a wywołaniem zwrotnym

Treści powiązane

• Zalogowanie użytkowników dla podstawowego uwierzytelnienia agenta interaktywnego
• Żądanie tokenów użytkownika na potrzeby implementowania przepływu on-Behalf-Of
• Uprawnienia i zgoda na platformie tożsamości firmy Microsoft w celu uzyskania szczegółowych pojęć dotyczących uwierzytelniania OAuth