Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os agentes utilizam protocolos OAuth 2.0 com padrões especializados de troca de tokens habilitados pelas Credenciais de Identidade Federada (FIC). Todos os fluxos de autenticação do agente envolvem trocas de tokens em múltiplas etapas, onde o blueprint de identidade do agente se faz passar pela identidade do agente para realizar operações. Este artigo explica os protocolos de autenticação e os fluxos de tokens usados pelos agentes. Abrange cenários de delegação, operações autónomas e padrões federados de credencial de identidade. A Microsoft recomenda que utilize os nossos SDKs como o Microsoft Entra SDK para o Agent ID , pois implementar estes passos do protocolo não é fácil.
Todas as entidades agentes são clientes confidenciais que também podem servir como APIs para cenários On-Behalf-Of. Fluxos interativos não são suportados para nenhum tipo de entidade agente, garantindo que toda a autenticação ocorre através de trocas programáticas de tokens em vez de fluxos de interação do utilizador.
Advertência
A Microsoft recomenda o uso dos SDKs aprovados, como as bibliotecas Microsoft.Identity.Web e Microsoft Agent ID SDK, para implementar estes protocolos. A implementação manual destes protocolos é complexa e propensa a erros, e a utilização dos SDKs ajuda a garantir a segurança e a conformidade com as melhores práticas.
Pré-requisitos
Se ainda não estiver familiarizado, consulte a seguinte documentação do protocolo.
- Plataforma de identidade da Microsoft e fluxo On-Behalf-Of OAuth 2.0
- Plataforma de identidade Microsoft e o fluxo de credenciais do cliente OAuth 2.0
Tipos de subsídios apoiados
Seguem-se os tipos de subsídios suportados para candidaturas a agentes.
Modelo de identidade do agente
Os diagramas de identidade do agente permitem client_credentials a aquisição segura de tokens para cenários de imitação. O jwt-bearer tipo de concessão facilita trocas de tokens em cenários On-Behalf Of, permitindo padrões de delegação.
refresh_token As concessões permitem operações em segundo plano com o contexto do utilizador, suportando processos de longa duração que mantêm a autorização do utilizador.
Identidade do agente
As identidades de agentes utilizam client_credentials exclusivamente para operações autónomas de aplicação, permitindo funcionalidades independentes sem o contexto do utilizador, e personificação ao lidar com uma identidade de agente de utilizador. O tipo de concessão jwt-bearer suporta quer o fluxo de credenciais do cliente quer o fluxo On-Behalf Of (OBO), proporcionando flexibilidade nos padrões de delegação.
refresh_token As permissões facilitam operações em segundo plano delegadas pelo utilizador, permitindo que as identidades dos agentes mantenham o contexto do utilizador ao longo de operações prolongadas.
Escoamentos não suportados
O modelo de aplicação do agente exclui explicitamente certos padrões de autenticação para manter os limites de segurança. Os fluxos OBO que usam o /authorize endpoint não são suportados por nenhuma entidade agente, garantindo que toda a autenticação ocorre programaticamente.
As capacidades de clientes públicos não estão disponíveis, exigindo que todos os agentes atuem como clientes confidenciais. URLs de redirecionamento não são suportadas.
Padrões de protocolo central
Os agentes podem operar em três modos principais:
- Agentes que operam em nome de utilizadores regulares no Microsoft Entra ID (agentes interativos). Este é um processo regular.
- Agentes que operam em seu próprio nome usando princípios de serviço criados para agentes (autónomos).
- Agentes a operar por conta própria usando principais de utilizador criados especificamente para esse agente (por exemplo, agentes com a sua própria caixa de correio).
Integração de identidades geridas
Identidades geridas são o tipo de credencial preferido. Nesta configuração, o token de identidade gerida serve como credencial para o modelo de identidade do agente principal, enquanto os protocolos MSI padrão se aplicam à aquisição de credenciais. Esta integração permite que o ID do agente receba todos os benefícios da segurança e gestão da MSI, incluindo rotação automática de credenciais e armazenamento seguro.
Advertência
Segredos de cliente não devem ser usados como credenciais de cliente em ambientes de produção para modelos de identidade de agentes devido a riscos de segurança. Em vez disso, utilize métodos de autenticação mais seguros, como credenciais de identidade federada (FIC) com identidades geridas ou certificados de cliente. Estes métodos proporcionam maior segurança ao eliminar a necessidade de armazenar segredos sensíveis diretamente na configuração da sua aplicação.
Protocolos OAuth
Existem três fluxos de oauth para agentes:
- Agente em nome do fluxo: Agentes que operam em nome de utilizadores regulares (agentes interativos).
- Fluxo autónomo de aplicações: As operações apenas de aplicação permitem que as identidades dos agentes atuem de forma autónoma sem contexto do utilizador.
- Fluxo de utilizadores dos agentes: Agentes que operam em seu próprio nome usando princípios de utilizador criados especificamente para agentes.