Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A plataforma de identidade do agente da Microsoft fornece constructos de identidade especializados projetados especificamente para agentes de IA que operam em ambientes corporativos. Esses constructos de identidade permitem padrões de autenticação e autorização seguros que diferem das identidades tradicionais de usuário e aplicativo, atendendo aos requisitos exclusivos de sistemas de IA autônomos.
Este artigo explica os principais conceitos que formam a base do gerenciamento de identidade do agente: identidades de agente, blueprints de identidade do agente e seus componentes de suporte. Entender esses conceitos é essencial para desenvolvedores que precisam implementar padrões de autenticação seguros e escalonáveis para agentes de IA.
A arquitetura de identidade do agente segue um modelo hierárquico em que os blueprints de identidade do agente servem como modelos para criar várias instâncias de agente, cada uma com identidades e funcionalidades distintas. Essa abordagem permite o gerenciamento centralizado, fornecendo a flexibilidade necessária para diversos cenários de implantação de agente de IA.
Principais conceitos de identidade
Os conceitos a seguir formam a base do sistema de identidade do agente na ID do Microsoft Entra.
Identidade do agente
A identidade do agente é a conta primária usada por um agente de IA para autenticar em vários sistemas. Ele tem identificadores exclusivos - a ID do objeto e a ID do aplicativo, que sempre têm o mesmo valor - que podem ser usados de forma confiável para decisões de autenticação e autorização. As identidades do agente não têm uma senha ou qualquer outra credencial. Em vez disso, as identidades do agente só podem ser autenticadas apresentando um token de acesso emitido para o serviço ou a plataforma na qual o agente é executado. Para obter mais informações, consulte o que é uma ID do agente
Projeto de identidade do agente
Os blueprints de identidade do agente fornecem o modelo e a estrutura de gerenciamento para criar e gerenciar várias identidades de agente. O blueprint de identidade do agente serve como o pai de uma identidade de agente.
Para obter mais informações, consulte o que é um blueprint de identidade do agente?
Principal de esquema de identidade do agente
Quando os blueprints são adicionados aos locatários, eles criam um objeto principal correspondente que gerencia a presença do blueprint dentro desse locatário específico. A entidade de blueprint de identidade do agente é o objeto Microsoft Entra é o registro da adição de um blueprint a um locatário. Para obter mais informações, consulte as entidades de blueprint de identidade do agente
Usuário do agente
Para cenários em que os agentes precisam interagir com sistemas que exigem especificamente objetos de usuário, a plataforma fornece usuários do agente como um tipo de identidade alternativo. Um usuário de agente é uma conta secundária que um agente de IA usa para autenticar em vários sistemas. Essas contas são objetos de usuário em um locatário e têm a maioria das propriedades de outros usuários, como um gerente, UPN e foto. Isso os torna compatíveis com sistemas que têm uma dependência rígida em objetos de usuário e permite que agentes de IA se conectem a esses sistemas. Para obter mais informações, consulte os usuários do agente
Registro do agente
O registro do agente é um repositório centralizado que mantém metadados sobre todos os agentes registrados em uma organização. Ele serve como um mecanismo de descoberta, permitindo que sistemas e serviços localizem e interajam com agentes com base em seus recursos, funções e outros atributos. Para obter mais informações, consulte o registro do agente
Padrões de operação do agente
A plataforma de identidade do agente dá suporte a dois padrões primários de como os agentes operam e se autenticam, cada um atendendo a diferentes casos de uso e requisitos de segurança.
Agentes interativos são agentes que inserem um usuário e tomaram medidas em resposta aos prompts do usuário, muitas vezes por meio de uma interface de chat. Esses agentes atuam em nome do usuário conectado, utilizando a autorização desse usuário para executar ações em vários sistemas. Agentes interativos recebem permissões delegadas do Microsoft Entra que permitem que eles atuem em nome dos usuários. Tokens emitidos para agentes interativos geralmente são chamados de tokens de usuário.
Agentes autônomos são agentes que executam ações usando sua própria identidade; não a identidade de um usuário humano. Esses agentes geralmente são executados em segundo plano e tomam decisões autônomas sobre quais ações tomar. Os tokens emitidos para agentes autônomos geralmente são chamados de tokens de agente quando uma identidade de agente é autenticada. Eles também podem ser chamados de tokens de usuário do agente quando um usuário do agente é autenticado.
Proprietários, patrocinadores e gerentes do agente
A plataforma de identidade do agente apresenta um modelo administrativo que separa a administração técnica da responsabilidade empresarial, garantindo controle operacional e supervisão de conformidade sem permissões excessivas. As funções administrativas do agente incluem proprietários, gerentes e patrocinadores.
- Os proprietários servem como administradores técnicos para agentes, tratando aspectos operacionais e de configuração.
- Os patrocinadores fornecem responsabilidade comercial para os agentes, tomando decisões de ciclo de vida sem acesso administrativo técnico.
- Um gerente é um usuário humano designado como o gerente de contratação ou proprietário operacional de um usuário agente.
Para obter mais informações, consulte Relações administrativas para identidades de agente (proprietários, patrocinadores e gerentes)
SDK do Microsoft Entra para ID do agente
O SDK do Microsoft Entra para AgentID é um serviço Web em contêineres que lida com a aquisição, validação e chamadas de API downstream seguras para agentes registrados na plataforma de identidade da Microsoft. Ele é executado como um contêiner complementar ao lado do aplicativo, permitindo que você descarrege a lógica de identidade para um serviço dedicado. Para obter mais informações, consulte o SDK do Microsoft Entra para iD do agente