Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O SDK do Microsoft Entra para AgentID é um serviço web em contêiner que manipula a aquisição de token, a validação e as chamadas de api downstream seguras. Ele é executado como um contêiner complementar ao lado do aplicativo, permitindo que você descarrege a lógica de identidade para um serviço dedicado. Centralizando as operações de identidade no SDK do Microsoft Entra para AgentID, você elimina a necessidade de inserir uma lógica de gerenciamento de token complexa em cada serviço, reduzindo a duplicação de código e possíveis vulnerabilidades de segurança.
Se você estiver criando com o Kubernetes, serviços em contêineres com o Docker ou microsserviços modernos no Azure, o SDK do Microsoft Entra para AgentID fornecerá uma maneira padronizada de lidar com autenticação e autorização em aplicativos nativos de nuvem.
O que é o SDK do Microsoft Entra para AgentID?
O SDK do Microsoft Entra para AgentID se comunica com seu aplicativo por meio de uma API HTTP para autenticação e autorização, fornecendo padrões de integração consistentes independentemente da pilha de tecnologia. Em vez de inserir a lógica de identidade diretamente no código do aplicativo, o SDK do Microsoft Entra para AgentID manipula o gerenciamento de tokens, a validação e as chamadas à API por meio de solicitações HTTP padrão.
Essa abordagem permite arquiteturas de microsserviços poliglotas em que diferentes serviços podem ser escritos em Python, Node.js, Go, Java e outros, mantendo padrões de autenticação consistentes.
A arquitetura típica é a seguinte:
Aplicativo cliente → sua API Web → Microsoft Entra SDK for AgentID → Microsoft Entra ID
Para obter as marcas de versão e imagem de contêiner mais recentes, consulte a Imagem de Contêiner para começar.
Observação
O SDK do Microsoft Entra para AgentID está atualmente em versão prévia. Verifique as releases do GitHub para as tags mais recentes disponíveis.
Segurança
Verifique se o SDK do Microsoft Entra para implantação do AgentID segue as práticas recomendadas para uma operação segura. O SDK deve ser executado em um ambiente em contêineres com acesso restrito à rede, para impedir o acesso não autorizado. Expor a API do SDK publicamente pode levar a vulnerabilidades de segurança, como aquisição de token não autorizado.
Consulte as Práticas Recomendadas de Segurança para garantir as melhores práticas para recomendações de segurança de rede, credencial e runtime.
Cuidado
A API do SDK não deve ser acessível publicamente. Ele só deve ser acessível por aplicativos dentro do mesmo limite de confiança (por exemplo, mesmo pod ou rede virtual) para impedir a aquisição de token não autorizado.
Início Rápido
Para começar a usar o SDK do Microsoft Entra para AgentID, as seguintes etapas são recomendadas:
- Escolha sua implantação – Selecione Kubernetes, Docker ou AKS
- Definir configurações – Configurar variáveis de ambiente
- Escolher um cenário – Siga um exemplo guiado
- Implantar em produção – Examinar as práticas recomendadas de segurança
Principais benefícios
A arquitetura separa as preocupações de identidade da lógica de negócios, fornecendo os seguintes benefícios:
| Benefício | Description |
|---|---|
| Suporte a vários idiomas | Chamar via HTTP a partir de Python, Node.js, Go, Java e outros |
| Configuração de segurança centralizada | Um local para configuração de identidade, gerenciamento de token e gerenciamento de credenciais |
| Nativo de Contêiner | Criado para Kubernetes, Docker, AKS e outras implantações modernas |
| Zero Trust Pronto | Integra-se com identidade gerenciada e tokens de prova de posse – mantendo dados confidenciais fora do código do aplicativo |
Quando usar o SDK do Microsoft Entra para AgentID ou Microsoft.Identity.Web
| Scenario | Usar o SDK do Microsoft Entra para AgentID | Utilizar Microsoft.Identity.Web |
|---|---|---|
| Suporte ao idioma | Vários idiomas (Python, Node.js, Go, Java etc.) | Somente .NET |
| Modelo de Implantação | Contêineres (Kubernetes, Docker, AKS) | Qualquer modelo de implantação |
| Padrões de identidade | Padrões consistentes em todos os serviços | Integração profunda do .NET Framework |
| Identidade do agente | Disponível em todos os idiomas com suporte | Somente .NET |
| Validação de token | Disponível em todos os idiomas com suporte | Somente .NET |
| Modelo de segurança | Segredos e tokens isolados do código-fonte do aplicativo | Integrado ao aplicativo |
| Desempenho | Salto de rede adicional necessário | Chamadas diretas em processo |
| Integração do Framework | Integração da API HTTP | Integração nativa do .NET |
| Conteinerização | Projetado para ambientes em contêineres | Funciona com ou sem contêineres |
Consulte Comparação com Microsoft.Identity.Web para obter diretrizes detalhadas sobre como escolher entre as duas abordagens.
Validação de token
O SDK Microsoft Entra para AgentID valida tanto tokens de acesso quanto tokens de ID emitidos pelo Microsoft Entra ID, verificando suas assinaturas em relação às chaves públicas do Microsoft Entra ID, checando o tempo de expiração e garantindo que os tokens sejam destinados ao seu aplicativo. Depois de validado, você pode extrair declarações, funções e escopos do usuário para tomar decisões de autorização informadas dentro da lógica do aplicativo.
Criação de cabeçalho de aquisição/autorização de token
- Fluxo On-Behalf-Of OAuth 2.0 – Delegar o contexto do usuário para as APIs de destino
- Credenciais do cliente – autenticação de aplicativo para aplicativo
- Identidade Gerenciada – Autenticação de serviço nativa do Azure
- Identidade do Agente – Padrões de agente autônomos ou delegados
Chamadas à API downstream
- Adquirir e anexar tokens automaticamente
- Sobrescrita de solicitações opcionais (escopos, método, cabeçalhos)
- Suporte a Solicitações HTTP assinadas (PoP/SHR)
Cenários e tutoriais
Os guias a seguir são tutoriais passo a passo abrangentes com exemplos práticos de código que demonstram como integrar o SDK do Microsoft Entra para AgentID em seus aplicativos. Cada cenário fornece exemplos completos de solicitação/resposta, snippets de código e padrões de implementação personalizados para diferentes linguagens e estruturas de programação.
| Scenario | Description |
|---|---|
| Validar cabeçalho de autorização | Extrair declarações de tokens de portador para controle de acesso e middleware de autorização personalizado |
| Obter cabeçalho de autorização | Adquirir tokens para chamar APIs downstream com segurança |
| Chamar API a Jusante | Fazer chamadas HTTP para APIs protegidas com anexação automática de token para microsserviços em diversas linguagens de programação |
| Usar Identidade Gerenciada | Autenticar como um serviço do Azure para chamar o Microsoft Graph ou outros serviços do Azure |
| Implementar fluxo OBO de longa duração | Gerenciar o contexto do usuário em operações estendidas com atualização de token e delegação On-Behalf-Of |
| Usar solicitações HTTP assinadas | Implementar a segurança de prova de posse com tokens PoP |
| Agente de Processamento em Lote Autônomo | Processar trabalhos em lotes com identidade de agente autônomo |
| Integrar com TypeScript | Usar o SDK do Microsoft Entra para AgentID de aplicativos Node.js/Express/NestJS |
| Integrar a partir do Python | Usar o SDK do Microsoft Entra para AgentID de aplicativos Flask/FastAPI/Django |
Padrões de arquitetura
Um fluxo típico em que seu cliente chama uma API Web, a API delega operações de identidade ao SDK do Microsoft Entra para AgentID por meio de pontos de extremidade HTTP. O SDK valida tokens de entrada usando o /Validate ponto de extremidade, adquire tokens usando /AuthorizationHeader e /AuthorizationHeaderUnauthenticated, e pode invocar diretamente APIs downstream usando /DownstreamApi e /DownstreamApiUnauthenticated.
Ele interage com o Microsoft Entra ID para emissão de token e recuperação de metadados do Open ID Connect, com a arquitetura demonstrada no trecho de código a seguir.
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for AgentID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Suporte e recursos
Os recursos a seguir fornecem diretrizes abrangentes e ajudam a solucionar problemas e respostas a perguntas comuns.
| Resource | Description |
|---|---|
| Identidades do agente | Saiba mais sobre padrões de agente autônomo e delegado para cenários avançados |
| Referência de API | Completar a documentação do endpoint com formatos de solicitação e resposta, parâmetros de consulta e códigos de erro |
| Solucionando problemas | Problemas comuns e soluções passo a passo para problemas de implantação e runtime |
| Perguntas Freqüentes | Perguntas frequentes sobre tópicos de configuração, segurança e integração |
Para obter ajuda adicional:
- Relatar problemas no repositório Microsoft-identity-Web
- Confira os guias de solução de problemas do ID Microsoft Entra