代理使用OAuth 2.0協定,並透過聯邦身份憑證(FIC)啟用專門的令牌交換模式。 所有代理認證流程皆涉及多階段的令牌交換,代理身份藍圖會冒充代理身份以執行操作。 本文說明代理所使用的認證協議與令牌流程。 它涵蓋委派情境、自主作業以及聯邦身份憑證模式。 Microsoft 建議你使用我們的 SDK,例如 Microsoft Entra SDK for Agent ID ,因為實作這些協定步驟並不容易。
所有代理實體都是機密客戶端,也能作為 On-Behalf-Of 情境的 API。 任何代理實體類型都不支援互動式流程,確保所有認證都是透過程式化令牌交換而非使用者互動流程進行。
警告
Microsoft 建議使用核准的 SDK 函式庫,如 Microsoft.Identity.Web 和 Microsoft Agent ID SDK 函式庫來實作這些協定。 手動實施這些協定複雜且容易出錯,使用這些 SDK 有助於確保安全性與最佳實務的合規性。
先決條件
如果你還不熟悉,請參考以下的協議文件。
支援的補助類型
以下是支援代理人申請的補助類型。
客服專員身分藍圖
代理身份藍圖支援 client_credentials 在冒充情境下安全取得令牌。
jwt-bearer授權類型促進了代理人情境中的代幣交換,允許委派模式。
refresh_token 許可使具使用者上下文的背景操作得以運行,支援維持使用者授權的長時間執行程序。
代理程式身分識別
代理身份 client_credentials 用於僅應用程式的自主運行,實現無需使用者上下文即可獨立功能,此外也用於充當使用者代理身份。
jwt-bearer 授權類型支援 客戶端憑證流程 與 代表者 (OBO) 流程 ,提供委派模式的靈活性。
refresh_token 授權促進背景使用者委派作業,讓代理身份能在擴展操作間維持使用者上下文。
無支援流
代理應用模型明確排除某些認證模式以維持安全邊界。 使用 /authorize 該端點的 OBO 流程不支援任何代理實體,確保所有認證皆以程式化方式進行。
公開客戶端功能不可用,所有客服人員都必須以機密客戶身份運作。 不支援重定向網址。
核心協定模式
代理人可主要以三種模式運作:
- 代表一般使用者在 Microsoft Entra ID(互動代理)中運作的代理。 這是正常的代理流程。
- 代理使用者使用為其創建的服務主體,自主進行操作。
- 代理人會自行使用專門為該代理人創建的使用者憑證(例如代理人擁有自己的信箱)。
管理身份整合
受管理身份是首選的憑證類型。 在此配置中,受管理身份憑證作為父代理身份藍圖的憑證,而標準 MSI 協定則適用於憑證取得。 此整合讓代理ID能享有MSI安全與管理的全部優勢,包括自動憑證輪替與安全儲存。
警告
由於安全風險,客戶端秘密不應在生產環境中作為代理身份藍圖的客戶端憑證使用。 相反地,應使用更安全的認證方法,例如 聯邦身份憑證(FIC)搭配管理身份 或用戶端憑證。 這些方法透過消除直接在應用程式配置中儲存敏感秘密的需求,提升安全性。
Oauth 協定
有三種代理 oauth 流程:
