Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ensina como proteger os endpoints OpenAPI do App Service quando eles são chamados pelo Foundry Agent Service. Ao adicionar seu aplicativo do Serviço de Aplicativo como uma ferramenta OpenAPI no Microsoft Foundry, você pode configurá-lo para chamar suas APIs anonimamente sem autenticação, o que é mais fácil para desenvolvimento e teste. No entanto, para ambientes de produção, você deve usar a autenticação do Microsoft Entra com identidade gerenciada. Este guia explica como configurar a autenticação de identidade gerenciada para habilitar a comunicação segura baseada em token entre o Microsoft Foundry e seu aplicativo.
Pré-requisitos
Um aplicativo do Serviço de Aplicativo com pontos de extremidade do OpenAPI. Se você precisar adicionar a funcionalidade OpenAPI ao seu aplicativo, confira um dos seguintes tutoriais:
- Adicionar um aplicativo do Serviço de Aplicativo como uma ferramenta no Serviço de Agente da Fábrica (.NET)
- Adicionar um aplicativo do Serviço de Aplicativo como uma ferramenta no Serviço de Agente da Fábrica (Java)
- Adicionar um aplicativo do Serviço de Aplicativo como uma ferramenta no Serviço de Agente da Fábrica (Python)
- Adicionar um aplicativo do Azure App Service como uma ferramenta no Serviço do Foundry Agent (Node.js)
Um projeto do Microsoft Foundry em que você adicionará seu aplicativo como uma ferramenta OpenAPI.
Localizar IDs de identidade gerenciada do projeto Microsoft Foundry
Você precisa do ID do objeto e do ID da aplicação da Identidade Gerenciada do projeto Microsoft Foundry para configurar a autenticação do App Service. Uma identidade gerenciada atribuída pelo sistema é criada automaticamente para seu projeto do Microsoft Foundry quando você a cria. Essa identidade é o que o Serviço do Foundry Agent usa para autenticar com seu aplicativo.
No portal Foundry, selecione New Foundry no canto superior direito. Observe que o novo portal do Foundry não mostra agentes criados no portal clássico.
No menu superior direito, selecione Operar>Admin. Em seguida, selecione o recurso pai do projeto na coluna Recurso pai.
Na página de detalhes do recurso pai, selecione Gerenciar esse recurso no Portal do Azure.
Observação
Antes de seguir em frente, verifique se você está em uma página de recursos do Foundry, não em uma página de recursos do projeto foundry.
No menu esquerdo do recurso Foundry, selecione Gerenciamento de Recursos>Identidade.
Em Sistema atribuído, copie o valor da ID do objeto (principal) para mais tarde.
No portal do Azure, pesquise e selecione a ID do Microsoft Entra.
Na caixa de pesquisa, pesquise a ID do objeto copiada e selecione-a nos resultados da pesquisa.
Na página Visão geral , copie o valor da ID do aplicativo.
Observe que a ID do objeto é a mesma mostrada na identidade gerenciada atribuída pelo sistema. Você precisa da ID do aplicativo e da ID do objeto para configurar a autenticação do Serviço de Aplicativo.
Configurar a autenticação do Microsoft Entra para seu aplicativo
No portal do Azure, navegue até seu aplicativo do Serviço de Aplicativo.
No menu à esquerda do aplicativo, selecione Configurações>Autenticação e escolha Adicionar o provedor de identidade.
Na página Adicionar um provedor de identidade , selecione a Microsoft como o provedor de identidade para criar um novo registro de aplicativo.
Em verificações adicionais, para o requisito de aplicativo cliente, selecione Permitir solicitações de aplicativos cliente específicos.
Selecione o widget de lápis e adicione a ID do aplicativo que você copiou em Encontre as IDs de identidade gerenciada do projeto Microsoft Foundry.
Para o requisito de identidade, selecione Permitir solicitações de identidades específicas.
Selecione o widget de lápis e adicione a ID do objeto que você copiou em Encontre as IDs de identidade gerenciada do projeto Microsoft Foundry.
Para requisitos de locatário , aceite o valor padrão. Caso contrário, selecione o locatário em que seu projeto do Microsoft Foundry (ou melhor, sua identidade) é criado.
Para solicitações não autenticadas, selecione HTTP 401 Não autorizado: recomendado para APIs.
Selecione Adicionar para criar o provedor de identidade.
Atualizar o URI do ID de registro do aplicativo
Depois de habilitar a autenticação, você precisa atualizar o URI da ID do Aplicativo do registro do aplicativo para que ela corresponda à URL do aplicativo do Serviço de Aplicativo.
Depois que a configuração do provedor da Microsoft for concluída, selecione-a na coluna Provedor de identidade para abrir a página de registro do aplicativo.
No menu à esquerda, selecione Gerenciar>Expor uma API.
Ao lado do URI da ID do Aplicativo, selecione Editar.
Altere o valor para o URL do aplicativo do Serviço de Aplicativo do Azure no seguinte formato:
https://<suffix>.azurewebsites.net.Você pode encontrar o nome do host do aplicativo na página Visão geral no domínio Padrão.
Clique em Salvar.
Aviso
Se você excluir seu aplicativo do Serviço de Aplicativo, também deverá excluir o registro do aplicativo e limpar todos os recursos de autenticação que referenciam o URI da ID do Aplicativo. Não fazer isso cria uma vulnerabilidade de segurança: se outra pessoa criar um aplicativo com a mesma URL, poderá obter acesso não autorizado a recursos que confiam no registro de aplicativo órfão. Sempre remova registros de aplicativo e suas permissões associadas ao desativar um aplicativo.
Configurar a ferramenta OpenAPI no Microsoft Foundry
Observação
Esta seção pressupõe que você já concluiu um dos tutoriais na seção Pré-requisitos , em que você adicionou seu aplicativo como uma ferramenta OpenAPI no Microsoft Foundry usando autenticação anônima. Agora você atualiza a ferramenta para usar a autenticação de identidade gerenciada.
De volta ao portal do Foundry, selecione seu agente.
Localize a ferramenta OpenAPI e selecione ...>Editar.
A caixa de esquema OpenAPI 3.0+ deve ter o esquema do aplicativo da App Service. Caso contrário, cole no seu esquema OpenAPI. Para obter mais informações, consulte Como usar o OpenAPI com o Serviço do Foundry Agent.
Para o método autenticação, selecione Identidade gerenciada.
Para Audiência, insira a URL do aplicativo do App Service. Essa URL deve corresponder ao URI da ID do Aplicativo que você configurou anteriormente.
Selecione a ferramenta Atualizar.
Dica
O Serviço do Foundry Agent usa a identidade gerenciada atribuída pelo sistema para autenticar com seu aplicativo. Como você adicionou a ID do cliente da identidade como um aplicativo cliente permitido e uma identidade permitida na configuração do provedor de autenticação do aplicativo, o serviço de agente está autorizado a chamar as APIs do aplicativo.
Testar o agente
No portal da Fábrica, selecione seu agente e selecione Experimentar no playground.
Fale com o agente para testar seus endpoints OpenAPI. Por exemplo:
- Mostre-me todas as tarefas.
- Crie uma tarefa chamada "Comprar mantimentos".
- Atualize essa tarefa para "Comprar mantimentos e cozinhar o jantar".
Se a autenticação estiver configurada corretamente, o agente chamará com êxito as APIs do aplicativo por meio da ferramenta OpenAPI.