Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn ein KI-Agent im Namen eines Benutzers agiert, benötigt er immer zwei Autorisierungen:
- Autorisierung des Agenten. Der Agent selbst benötigt eine Identität in Microsoft Entra ID und Anmeldeinformationen, um sich zu authentifizieren. Informationen zum Konfigurieren dieser Autorisierung für einen Agent, der sich außerhalb Microsoft Entra ID befindet, finden Sie unter Configure third-party agents.
- Benutzerautorisierung. Der Benutzer muss dem Agent zustimmen, der in ihrem Namen handelt, und der Agent muss ein Benutzertoken abrufen, das er verwenden kann, um nachgeschaltete APIs aufzurufen.
In diesem Artikel wird die zweite Autorisierung beschrieben: Wie Sie Benutzer autorisieren, die sich über einen Identitätsanbieter eines Drittanbieters (IdP) anmelden, damit ein agent, der auf Microsoft Entra-Agent-ID basiert, in ihrem Auftrag handeln kann.
Integration mit Agent 365 Observability mithilfe von Benutzer-ID und E-Mail
Sie benötigen keinen vollständigen Partnerverbund, um einen Drittanbieter-Agent in Agent 365 Observability zu integrieren. Ein Agent kann in Agent 365 Observability integriert werden, indem er die Benutzer-ID und E-Mail-Adresse des angemeldeten Benutzers übergibt. Diese einfache Integration ist eine Option für Agents, deren Benutzer sich bei einem IdP eines Drittanbieters authentifizieren, aber keinen Zugriff auf Ressourcen benötigen, die Token von Microsoft Entra ID erfordern.
Die Integrationsschritte und Anforderungs-Shapes finden Sie unter Agent 365 Observability.
Auflösen einer Benutzer-ID mit Microsoft Graph
Wenn Ihr Agent nur die E-Mail-Adresse des Benutzers oder den Benutzerprinzipalnamen (UPN) kennt, verwenden Sie Microsoft Graph, um die Objekt-ID des Benutzers nachzuschlagen. In den folgenden Beispielen wird davon ausgegangen, dass der Agent Microsoft Graph mit einem Nur-App-Token aufruft, das über die Anwendungsberechtigung User.Read.All verfügt.
Rufen Sie die Objekt-ID eines Benutzers aus einer E-Mail-Adresse ab, indem Sie nach der mail Eigenschaft filtern:
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Die Eigenschaft mail stimmt nicht immer mit der Adresse überein, mit der sich Benutzer anmelden. Wenn der Nachschlagevorgang keine Ergebnisse zurückgibt, greifen Sie auf die otherMails Auflistung zurück:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Rufen Sie die Objekt-ID eines Benutzers aus einem UPN ab, indem Sie die Benutzerressource direkt adressieren:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Eine erfolgreiche Antwort gibt die Objekt-ID des Benutzers in der id Eigenschaft zurück. Übergeben Sie diesen Wert als Benutzer-ID, wenn Sie Agent 365 Observability aufrufen.
Microsoft Entra ID mit dem IdP eines Drittanbieters föderieren
Viele Kunden mit einem Drittanbieter-IDP verwenden ihre Benutzer Microsoft 365. Um dies zu aktivieren, konfigurieren sie Microsoft Entra ID für federate mit dem IdP ihrer Wahl. Bei dieser Konfiguration greifen Benutzer normal auf Microsoft 365 zu, aber der Benutzer authentifiziert sich mit dem IdP des Drittanbieters und nicht mit Microsoft Entra ID.
Authentifizieren Ihres Agents mit Microsoft Entra ID
Jeder Agent kann denselben Ansatz verwenden wie Microsoft 365: Der Agent authentifiziert den Benutzer mit Microsoft Entra ID, und Microsoft Entra ID leitet den Benutzer an den IdP seiner Wahl um, wenn ein Verbund konfiguriert ist. Nachdem der Agent den Benutzer mit dem IDP der Wahl authentifiziert hat und der Agent auf Ressourcen zugreifen kann, z. B. WorkIQ, die Token von Microsoft Entra ID erfordern. Im Agent ist für den Verbund keine Konfiguration erforderlich.
Sobald der Agent ein Benutzertoken über diesen Fluss abruft, kann er dieses Token verwenden, um eine beliebige Agent 365-Funktion aufzurufen, die ein Benutzertoken erfordert – nicht nur Observability. Dasselbe Token funktioniert für den Zugriff auf Work IQ-Tools, On-Behalf-Of (OBO)-Aufrufe an Microsoft Graph und andere downstream-APIs und alle anderen Agent 365-Features, die im Kontext des Benutzers agieren.
Microsoft Entra ID unterstützt die Standardauthentifizierungs- und Autorisierungsprotokolle, die die meisten Agents bereits verwenden:
Jeder Agent, der Benutzer mit einem dieser Protokolle authentifiziert, kann heute zu Microsoft Entra ID migriert werden, indem er seine Authentifizierungsendpunkte erneut angibt und auf Kompatibilität überprüft. Eine Übersicht über die Anwendungstypen und Abläufe, die Microsoft Entra ID unterstützt, finden Sie unter Anwendungstypen auf der Microsoft Identity Platform.