Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo mostra-lhe como proteger os endpoints OpenAPI do seu App Service quando são chamados pelo Foundry Agent Service. Quando adiciona a sua aplicação de Serviços de Aplicações como uma ferramenta OpenAPI no Microsoft Foundry, pode configurá-la para chamar as suas APIs anonimamente sem autenticação, o que é mais fácil para desenvolvimento e testes. No entanto, para ambientes de produção, você deve usar a autenticação do Microsoft Entra com identidade gerenciada. Este guia guia-o na configuração da autenticação de identidade gerida para permitir uma comunicação segura baseada em token entre a Microsoft Foundry e a sua aplicação.
Pré-requisitos
Uma aplicação do App Service com endpoints OpenAPI. Se você precisar adicionar a funcionalidade OpenAPI ao seu aplicativo, consulte um dos seguintes tutoriais:
- Adicionar uma aplicação de Serviço de Aplicações como ferramenta no Foundry Agent Service (.NET)
- Adicionar uma aplicação de Serviço de Aplicações como ferramenta no Foundry Agent Service (Java)
- Adicionar uma aplicação de App Service como ferramenta no Foundry Agent Service (Python)
- Adicionar uma aplicação de Serviço de Aplicação como ferramenta no Foundry Agent Service (Node.js)
Um projeto do Microsoft Foundry onde vais adicionar a tua aplicação como uma ferramenta OpenAPI.
Encontre os IDs de identidade gerida do seu projeto Microsoft Foundry
Precisa tanto do ID do objeto como do ID da aplicação da identidade gerida do seu projeto Microsoft Foundry para configurar a autenticação do App Service. Uma identidade gerida atribuída pelo sistema é criada automaticamente para o seu projeto Microsoft Foundry quando a cria. Esta identidade é o que o Foundry Agent Service utiliza para autenticar com a sua aplicação.
No portal da Foundry , certifica-te de que selecionas New Foundry no canto superior direito. Note que o novo portal Foundry não mostra agentes criados no portal clássico.
No menu superior direito, selecione Operar>Administrador. Depois seleciona o recurso pai do teu projeto na coluna do recurso pai .
Na página de detalhes do recurso principal, selecione Gerir este recurso no Portal Azure.
Observação
Antes de avançares, certifica-te de que estás numa página de recursos da Foundry, não numa página de recursos de projetos da Foundry.
No menu esquerdo do recurso Foundry, selecione Gestão de Recursos>Identidade.
Em Sistema atribuído, copie o valor de ID do objeto (principal) para mais tarde.
No portal do Azure, procure e selecione Microsoft Entra ID.
Na caixa de pesquisa, procure o ID do objeto copiado e selecione-o nos resultados da pesquisa.
Na página Visão geral , copie o valor de ID do aplicativo.
Observação A ID do objeto é a mesma mostrada na identidade gerenciada atribuída ao sistema. Você precisa da ID do aplicativo e da ID do objeto para configurar a autenticação do Serviço de Aplicativo.
Configurar a autenticação do Microsoft Entra para seu aplicativo
No portal do Azure, navegue até seu aplicativo do Serviço de Aplicativo.
No menu esquerdo da sua aplicação, selecione Definições>Autenticação, e, em seguida, selecione Adicionar fornecedor de identidade.
Na página Adicionar um provedor de identidade , selecione Microsoft como o provedor de identidade para criar um novo registro de aplicativo.
Em Verificações adicionais, para Requisito de aplicativo cliente, selecione Permitir solicitações de aplicativos cliente específicos.
Selecione o widget lápis e adicione o ID da aplicação que copiou em localize os IDs de identidade geridos do projeto Microsoft Foundry.
Em Requisito de identidade, selecione Permitir solicitações de identidades específicas.
Selecione o widget de lápis e adicione o ID do objeto que copiou em Encontrar os IDs de identidades geridas do seu projeto Microsoft Foundry.
Para Requisito de locatário , aceite o valor padrão. Se não, certifique-se de selecionar o tenant onde o seu projeto Microsoft Foundry (ou melhor, a sua identidade) foi criado.
Para solicitações não autenticadas, selecione HTTP 401 Não autorizado: recomendado para APIs.
Selecione Adicionar para criar o provedor de identidade.
Atualizar o URI do ID do aplicativo de registo
Depois de ativar a autenticação, precisa atualizar o URI da ID da aplicação do registo para corresponder à URL da sua aplicação do App Service.
Após a conclusão da configuração do provedor Microsoft, selecione-a na coluna Provedor de identidade para abrir a página de registro do aplicativo.
No menu à esquerda, selecione Gerenciar>exposição de uma API.
Ao lado de URI da ID do aplicativo, selecione Editar.
Altere o valor para a URL da aplicação do Serviço de Aplicações no seguinte formato:
https://<suffix>.azurewebsites.net.Você pode encontrar o nome de host do aplicativo na página Visão geral em Domínio padrão.
Selecione Guardar.
Advertência
Se você excluir seu aplicativo do Serviço de Aplicativo, também deverá excluir o registro do aplicativo e limpar todos os recursos de autenticação que fazem referência ao URI da ID do Aplicativo. Não fazer isso cria uma vulnerabilidade de segurança: se outra pessoa criar um aplicativo com a mesma URL, ela poderá potencialmente obter acesso não autorizado a recursos que confiam no registro do aplicativo órfão. Sempre remova os registros de aplicativos e suas permissões associadas ao encerrar um aplicativo.
Configure a ferramenta OpenAPI no Microsoft Foundry
Observação
Esta secção assume que já completou um dos tutoriais na secção de Pré-requisitos , onde adicionou a sua aplicação como uma ferramenta OpenAPI no Microsoft Foundry usando autenticação anónima. Agora você atualiza a ferramenta para usar a autenticação de identidade gerenciada.
De volta ao portal da Foundry, selecione o seu agente.
Encontre a ferramenta OpenAPI e selecione ...>Edit.
A caixa de esquema do OpenAPI 3.0+ deve ter o esquema da sua aplicação de Serviços de Aplicações. Se não, cole o seu esquema OpenAPI. Para mais informações, consulte Como utilizar o OpenAPI com o Foundry Agent Service.
Para o método de Autenticação, selecione Identidade Gerida.
Em Público, insira a URL da aplicação do App Service. Essa URL deve corresponder ao URI da ID do Aplicativo que você configurou anteriormente.
Selecione Atualizar a ferramenta.
Sugestão
O Foundry Agent Service utiliza a identidade gerida atribuída ao sistema para autenticar com a sua aplicação. Como adicionou a ID do cliente da identidade como uma aplicação cliente autorizada e uma identidade autorizada na configuração do fornecedor de autenticação da sua aplicação, o serviço do agente está autorizado a aceder às APIs da sua aplicação.
Testar o agente
No portal da Foundry, selecione o seu agente e escolha Experimentar no playground.
Converse com o agente para testar seus endpoints OpenAPI. Por exemplo:
- Mostre-me todas as tarefas.
- Crie uma tarefa chamada "Comprar mantimentos".
- Atualize essa tarefa para "Comprar mantimentos e cozinhar o jantar".
Se a autenticação estiver configurada corretamente, o agente chamará com êxito as APIs do seu aplicativo por meio da ferramenta OpenAPI.