Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При создании агента Azure автоматически подготавливает ресурсы удостоверений. В этой статье объясняется о том, что создается, почему существуют два идентификатора и как соединители используют их.
Сведения о том, как агент получает разрешения на ресурсы Azure (роли RBAC, уровни разрешений, от имени потока), см. в разделе "Разрешения агента".
Что создается
Наряду с вашим агентом создаются два управляемых удостоверения.
| Идентичность | Что это такое | Что вы делаете с этим |
|---|---|---|
| Пользовательское управляемое удостоверение (UAMI) | Идентификационный автономный ресурс в группе ресурсов | Назначьте роли RBAC, выберите его при настройке соединителей. Это учетная запись, которой вы управляете |
| Системно назначенная управляемая идентичность | Внутренний идентификатор, используемый инфраструктурой агента | Ничего— это удостоверение управляется автоматически и используется только для внутренних операций. |
UAMI — это идентификатор, с которым вы работаете. Он отображается в группе ресурсов, вы назначаете ему роли RBAC, и выбираете его при настройке соединителей.
Подсказка
При появлении раскрывающегося списка управляемой идентичности на портале (для соединителей, репозиториев или других интеграций) выберите агента UAMI. Это идентификатор, который сопоставляется с вашими назначениями ролей RBAC.
Где применяется UAMI вашего агента
UAMI агента — это основная идентификация для большинства операций.
| Операция | Идентичность | Примечания |
|---|---|---|
| Операции ресурсов Azure (Azure Resource Manager, CLI, диагностика) | UAMI | Назначенные роли RBAC определяют, к чему может получить доступ агент. |
| Соединители связи (Outlook, Teams) | UAMI + учетные данные OAuth | Вы входите через OAuth; брокеры UAMI выполняют проверку подлинности подключаемому ресурсу |
| Соединители данных (Azure Data Explorer) | UAMI | Предоставление разрешений UAMI в целевом кластере Kusto |
| Соединители исходного кода (GitHub, Azure DevOps) | UAMI (для управляемой идентичности Azure DevOps) | Соединитель Azure DevOps использует UAMI; GitHub использует OAuth |
| Соединители MCP | Меняется | Вы предоставляете URL-адрес конечной точки и учетные данные; При необходимости назначьте управляемое удостоверение для подчиненных вызовов Azure |
| Внутренняя инфраструктура | UAMI | Используется автоматически для внутренних операций агента |
| Хранилище ключей | UAMI (предпочитаемый) или назначаемый системой | Возвращается к назначаемой системой, если не указан UAMI |
Как коннекторы используют идентификацию
Разные типы соединителей используют идентификацию по-разному. Ключевое различие заключается в том, должен ли соединитель пройти через Azure Resource Manager (ARM) для доступа к внешней службе.
Соединители связи (Outlook, Teams)
При настройке соединителя связи происходит два действия.
- Вы входите в систему с помощью учетной записи через OAuth, который предоставляет коннектору ваши учетные данные.
- Вы выбираете UAMI из раскрывающегося списка удостоверений, который соединитель использует для аутентификации в ресурсе.
Соединитель безопасно хранит токен OAuth в ресурсе соединителя. Ресурс соединителя действует как безопасный мост. Ресурс содержит учетные данные, поэтому агенту не нужен прямой доступ к ним. Он использует UAMI для обеспечения проверки подлинности, когда агент отправляет электронное письмо или сообщение в Teams от вашего имени.
Соединители данных (Azure Data Explorer или Kusto)
Для коннекторов Kusto агент напрямую использует UAMI для аутентификации в кластере Azure Data Explorer. Вход OAuth не требуется. Предоставьте UAMI необходимые разрешения, такие как роль Просмотра в кластере Kusto.
Соединители исходного кода (GitHub, Azure DevOps)
Соединители исходного кода используют различные методы проверки подлинности в зависимости от платформы.
- Azure DevOps: Использует UAMI для проверки подлинности управляемого удостоверения. Выберите UAMI из раскрывающегося списка удостоверений и предоставьте ему доступ к вашей организации в Azure DevOps.
- Github: Использует проверку подлинности OAuth. Войдите с помощью учетной записи GitHub. Для самого подключения GitHub не требуется управляемое удостоверение.
Индивидуальные соединители MCP
Соединители MCP используют аутентификацию на основе конечных точек. Укажите URL-адрес сервера MCP вместе с учетными данными, такими как ключ API, маркер носителя или OAuth. При необходимости можно опционально назначить управляемую идентичность для сервера MCP, используемую при выполнении вызовов API Azure для нижестоящих систем.
Найдите UAMI вашего агента
Вы можете найти назначенную пользователем управляемую идентичность на портале агента, портале Azure или в Azure CLI.
На портале агента:
- Перейдите в раздел "Параметры>Azure".
- Имя удостоверения отображается в поле "Управляемое удостоверение".
- Выберите Перейти к Identity, чтобы открыть его на портале Azure.
Из портала Azure:
- Перейдите в группу ресурсов агента.
- Найдите ресурс управляемого
id-*удостоверения. - Скопируйте идентификатор объекта (основного). Используйте это значение для назначений ролей RBAC.
Из Azure CLI:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Следующий шаг
Связанный контент
- Разрешения агента. Узнайте, как настроить роли RBAC и уровни разрешений для агента.
- Соединители: настройте типы соединителей и узнайте, как они расширяют возможности агента.
- Роли пользователей и разрешения: контроль того, кто может просматривать, взаимодействовать с агентом и администрировать его.