Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os agentes usam protocolos OAuth 2.0 com padrões de troca de token especializados habilitados pelas Credenciais de Identidade Federadas (FIC). Todos os fluxos de autenticação de agente envolvem trocas de token em múltiplos estágios, onde o modelo de identidade do agente imita a identidade do agente para realizar operações. Este artigo explica os protocolos de autenticação e os fluxos de token usados pelos agentes. Ele abrange cenários de delegação, operações autônomas e padrões de credencial de identidade federada. A Microsoft recomenda que você use nossos SDKs, como o Microsoft Entra SDK for Agent ID , já que implementar essas etapas de protocolo não é fácil.
Todas as entidades de agente são clientes confidenciais que também podem servir como APIs para cenários on-Behalf-Of. Não há suporte para fluxos interativos para qualquer tipo de entidade de agente, garantindo que toda a autenticação ocorra por meio de trocas de token programáticas em vez de fluxos de interação do usuário.
Aviso
A Microsoft recomenda usar os SDKs aprovados, como as bibliotecas do SDK do Microsoft.Identity.Web e do Microsoft Agent ID para implementar esses protocolos. A implementação manual desses protocolos é complexa e propensa a erros e usar os SDKs ajuda a garantir a segurança e a conformidade com as práticas recomendadas.
Pré-requisitos
Se você ainda não estiver familiarizado, examine os documentos de protocolo a seguir.
- Plataforma de identidade da Microsoft e o fluxo On-Behalf-Of de OAuth 2.0
- plataforma de identidade da Microsoft e o fluxo de credenciais de cliente OAuth 2.0
Tipos de concessão com suporte
Veja a seguir os tipos de concessão com suporte para aplicativos de agente.
Projeto de identidade do agente
Os modelos de identidade do agente suportam a client_credentials habilitação da aquisição segura de token para cenários de representação. O jwt-bearer tipo de concessão facilita trocas de tokens em cenários em nome de, permitindo padrões de delegação.
refresh_token permite habilitar operações em segundo plano no contexto do usuário, suportando processos de longa duração que mantêm a autorização do usuário.
Identidade do agente
As identidades de agente usam client_credentials para operações autônomas de aplicativo, permitindo funcionalidade independente sem o contexto do usuário, e a imitação para uma identidade de agente do usuário. O jwt-bearer tipo de concessão dá suporte ao fluxo de credenciais do cliente e ao fluxo OBO (On-Behalf Of) proporcionando flexibilidade nos padrões de delegação.
refresh_token as permissões facilitam operações delegadas de usuário em segundo plano, permitindo que as identidades do agente preservem o contexto do usuário durante operações estendidas.
Fluxos sem suporte
O modelo de aplicativo do agente exclui explicitamente determinados padrões de autenticação para manter os limites de segurança. Não há suporte para fluxos de OBO usando o endpoint /authorize para qualquer entidade de agente, garantindo que toda a autenticação ocorra programaticamente.
Os recursos do cliente público não estão disponíveis, exigindo que todos os agentes operem como clientes confidenciais. Não há suporte para URLs de redirecionamento.
Padrões de protocolo principais
Os agentes podem operar em três modos primários:
- Agentes que operam em nome de usuários regulares na ID do Microsoft Entra (agentes interativos). Esse é um fluxo regular em nome do usuário.
- Agentes que operam em seu próprio nome usando entidades de serviço criadas para agentes (autônomos).
- Agentes operando em seu próprio nome com credenciais de usuário criadas especificamente para eles (por exemplo, agentes que têm sua própria caixa de correio).
Integração de identidades gerenciadas
As identidades gerenciadas são o tipo de credencial preferencial. Nessa configuração, o token de identidade gerida serve como a credencial para o modelo de identidade do agente pai, enquanto os protocolos MSI padrão aplicam-se à aquisição de credenciais. Essa integração permite que a ID do agente receba os benefícios completos da segurança e do gerenciamento da MSI, incluindo rotação automática de credenciais e armazenamento seguro.
Aviso
Segredos do cliente não devem ser usados como credenciais de cliente em ambientes de produção para planos de identidade do agente devido a riscos de segurança. Em vez disso, use métodos de autenticação mais seguros, como fic (credenciais de identidade federadas) com identidades gerenciadas ou certificados de cliente. Esses métodos fornecem segurança aprimorada eliminando a necessidade de armazenar segredos confidenciais diretamente na configuração do aplicativo.
Protocolos OAuth
Há três fluxos de OAuth de agente:
- Agente em nome do fluxo: agentes que operam em nome de usuários regulares (agentes interativos).
- Fluxo de aplicativo autônomo: as operações somente de aplicativo permitem que as identidades do agente ajam de forma autônoma sem o contexto do usuário.
- Fluxo de usuário do agente: Agentes que operam em seu próprio nome usando principais de usuário criados especificamente para agentes.