Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема удостоверения агента — это объект в Microsoft Entra ID, который служит шаблоном для создания удостоверений агента. Он устанавливает основу создания, проверки подлинности и управления агентами в организации. Схема идентификации агента является ключевым компонентом платформы удостоверений агента Microsoft, которая обеспечивает безопасную разработку и администрирование агентов ИИ в масштабе.
Схемы удостоверений агента являются мощным компонентом платформы Microsoft Entra ID для агентов. Они содержат критически важные сведения о создании и проверке подлинности удостоверений агентов, и они служат контейнером для управления удостоверениями агентов в масштабе.
Схемы идентификации агента
Чертеж идентичности агента — это больше, чем просто шаблон для удостоверений агента, подобно тому, как чертеж здания — больше, чем просто чертеж. Где архитектурные схемы включают сантехнику, электрические и структурные детали, схемы идентификации агента включают важную информацию о проверке подлинности, разрешениях и журналах действий.
Схемы удостоверений агента можно использовать для развертывания нескольких агентов одного типа. Если несколько агентов создаются из одной схемы удостоверения агента, каждый агент имеет собственное удостоверение, учетные данные и разрешения, но они используют общие характеристики, определенные схемой. Это позволяет организациям создавать согласованную конфигурацию для всех агентов определенного типа, сохраняя гибкость настройки отдельных агентов по мере необходимости.
Схема идентичности агента имеет следующие общие свойства для всех идентичностей агента.
- Описание: краткая сводка по назначению и функциям агента.
- Роли приложения. Определите роли, которые могут быть предоставлены пользователям и другим субъектам при использовании агента.
- Проверенный издатель: организация, создавшая агента.
- Параметры для протоколов проверки подлинности: настройте, какие сведения включены в маркеры доступа, выданные агенту, например OptionalClaims.
Полная схема доступна в справочной документации Microsoft API Graph.
Ключевые характеристики схем идентификации агента
Помимо стандартных свойств, схема удостоверения агента включает ключевые характеристики, которые важно понимать перед созданием удостоверений агента из этой схемы.
Credentials
Учетные данные, используемые для проверки подлинности удостоверения агента, настраиваются в шаблоне удостоверения агента. Если агент ИИ хочет выполнить операцию, учетные данные, настроенные в шаблоне удостоверений агента, используются для запроса токена доступа из Microsoft Entra ID. Разрешения OAuth, предоставленные схеме удостоверения агента, предоставляются всем удостоверениям агента, созданным на основе этой схемы. Существует несколько типов учетных данных, которые можно использовать для удостоверений агента. Дополнительные сведения об этом см. в разделе учетных данных для идентификации агентов. Сведения о протоколах проверки подлинности см. в разделе "Протоколы проверки подлинности идентификатора агента"
Безопасность
Схема предоставляет логический контейнер для удостоверений агента, в котором можно выполнять множество различных операций администрирования удостоверений. Эта возможность помогает администраторам масштабировать усилия по обеспечению безопасности до большого количества агентов ИИ.
Администраторы идентификаций могут применять политики и настройки к шаблонам идентификаций агентов, которые вступают в силу для всех идентификаторов агентов, созданных на основе этих шаблонов. Вы можете применить политики условного доступа к шаблону удостоверения агента, который охватывает все удостоверения агентов, созданные на основе данного шаблона. Отключение схемы удостоверения агента предотвращает проверку подлинности всех удостоверений агента.
Используется для создания идентичностей агента
Схемы не просто хранят информацию. Они также представляют собой специальный тип удостоверения личности в арендаторе Microsoft Entra ID. План может выполнять ровно одну операцию в арендаторе: предоставление или удаление идентификаторов агентов. Все удостоверения агента в клиенте Microsoft Entra ID создаются из шаблона удостоверения агента. Чтобы создать личность агента, необходим план:
- Идентификатор клиента OAuth: уникальный идентификатор, используемый для запроса маркеров доступа из Microsoft Entra ID.
- Учетные данные: используются для запроса токенов доступа из Microsoft Entra ID.
-
AgentIdentity.CreateAsManager: специальное Microsoft Graph разрешение, позволяющее схеме создавать удостоверения агента в клиенте.
Служба использует идентификатор клиента из чертежа, учетные данные и разрешения для отправки запросов на создание удостоверений агента через Microsoft Graph APIs. Идентичности агентов, созданные шаблоном, имеют общие характеристики.
Дополнительные сведения см. в разделе "Создание удостоверений агента".
Наследуемые разрешения и необходимый доступ к ресурсам
Проекты идентификаций агента включают две важные конфигурации, связанные с разрешениями, которые управляют тем, как идентификации агента получают доступ к ресурсам.
- Необходимый доступ к ресурсам объявляет API и разрешения, необходимые агенту для работы. Этот список виден администраторам во время проверки согласия и помогает им оценить, следует ли одобрять агента.
- Наследуемые разрешения определяют, какие приложения ресурсов могут автоматически наследовать свои разрешения через удостоверения агентов, созданные на основе шаблона. Когда администратор предоставляет разрешения на основной элемент схемы из наследуемого приложения ресурсов, все удостоверения агента в этой организации получают эти разрешения автоматически.
Эти конфигурации — это объявления, которые сами по себе не предоставляют авторизацию. Администраторы по-прежнему должны предоставить разрешения на удостоверения субъекта схемы или отдельных агентов.
Дополнительные сведения см. в разделе "Наследуемые разрешения".
Субъекты схемы идентификации агента
Субъект основной схемы идентификации агента — это объект в Microsoft Entra ID для агентов, представляющий наличие шаблонной схемы идентификации агента в определённом арендаторе. Когда приложение схемы идентификации агента добавляется в клиент, Microsoft Entra создает соответствующий основной объект, являющийся субъектом схемы идентификации агента.
Этот принципал выполняет несколько важных ролей:
Выдача токена: Когда используется схема удостоверения агента для получения токенов в рамках арендатора, утверждение полученного токена (идентификатор объекта) ссылается на основной объект схемы удостоверения агента. Это гарантирует, что любая проверка подлинности или авторизация, выполняемая структурой идентификации агента, может быть трассирована до её главного объекта в тенанте.
Ведение журнала аудита. Действия, выполняемые схемой удостоверения агента, например создание удостоверений агента, записываются в журналы аудита как выполняемые субъектом схемы идентификации агента. Она обеспечивает четкую подотчетность и возможность трассировки операций, инициированных схемой идентификации агента.
Схемы удостоверений агента всегда создаются в клиенте Microsoft Entra. Схема идентификации агента часто используется для создания удостоверений агента в том же арендаторе. Эти схемы удостоверений агента называются "однотенантными". Схемы удостоверений агента также можно настроить как мультитенантные и публиковать для потенциальных клиентов с помощью Microsoft каталогов. Затем клиенты могут добавить эти чертежи в свой тенант, чтобы их можно было использовать для создания идентичностей агента.
В любом случае принципал схемы удостоверения агента всегда создается при добавлении параметра в арендатора. Присутствие этого принципала указывает на то, что план существует в арендаторе и может быть использован для создания удостоверений агента. Клиенты могут удалить схему из своего арендатора, удалив основную сущность схемы идентификации агента.