Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los agentes utilizan reclamaciones especializadas de tokens para identificar diferentes tipos de entidades y sus relaciones durante los flujos de autenticación y autorización. Estas reclamaciones permiten una atribución adecuada, evaluación de políticas y rastreos de auditoría para las operaciones de los agentes. Este artículo describe las reclamaciones de tokens para aplicaciones agente, detallando cómo los tokens identifican a las entidades agente y sus roles en los flujos de autenticación.
Se espera que los clientes que usan identidades de agente traten los tokens de acceso emitidos para usarlos en los servidores de recursos como opacos y no intente analizarlos. Sin embargo, los servidores de recursos que reciben tokens de acceso emitidos a los agentes deben analizar los tokens para validarlos y extraer atributos para fines de autorización.
Tipos de reclamaciones de token central
Los tokens emitidos para las identidades usadas para el acceso a recursos incluyen notificaciones que normalmente esperaría ver en los tokens de acceso que Microsoft Entra problemas. Para más información, consulte la referencia de reclamaciones del token de acceso. El siguiente ejemplo muestra un token de acceso de muestra entregado a un agente que actúa de forma autónoma.
{
"aud": "f2510d34-8dca-4ab8-a0bc-aaec4d3a3e36",
"iss": "https://sts.windows.net/00000001-0000-0ff1-ce00-000000000000/",
"iat": 1753392285,
"nbf": 1753392285,
"exp": 1753421385,
"aio": "Y2JgYGhn1nzmErKqi0vc4Fr6H22/C5/4FP+xZbZYpik8nRkp+gEA",
"appid": "aaaaaaaa-1111-2222-3333-444444444444",
"appidacr": "2",
"idp": "https://sts.windows.net/00000001-0000-0ff1-ce00-000000000000/",
"idtyp": "app",
"oid": "bbbbbbbb-1111-2222-3333-444444444444",
"rh": "1.AAAAAQAAAAAA8Q_OAAAAAAAAADQNUfLKjbhKoLyq7E06PjYAAAAAAA.",
"sub": "cccccccc-1111-2222-3333-444444444444",
"tid": "00000001-0000-0ff1-ce00-000000000000",
"uti": "m5RaaRnoFUyp2TbSCAAAAA",
"ver": "1.0",
"xms_act_fct": "3 9 11",
"xms_ftd": "Z5DrW4HFOkR_Lz0M5qETa260d2-fO6seMZJ_tOwRNuc",
"xms_idrel": "7 10",
"xms_sub_fct": "9 3 11",
"xms_tnt_fct": "3 9",
"xms_par_app_azp": "30cf4c22-9985-4ef7-8756-91cc888176bd"
}
En los tokens v2, ves azp en lugar de appid. Ambos se refieren al ID de la aplicación de la identidad del agente.
Notarías que el token incluye algunas afirmaciones que no se habían visto antes en los tokens de acceso emitidos para las solicitudes. También se admiten las siguientes reivindicaciones opcionales para identificar que los tokens corresponden a las identidades de los agentes. También proporcionan más contexto en el que actúa la identidad del agente.
xms_tnt_fctxms_sub_fctxms_act_fctxms_par_app_azp
| Nombre de reclamación | Descripción |
|---|---|
tid |
ID de inquilino del cliente donde está registrada la identidad del agente. Es el inquilino donde el token es válido. |
sub |
Asunto (el usuario, el principal del servicio o la identidad del agente que se está autenticando) |
oid |
ID del objeto del sujeto. ID de objeto de usuario para escenarios de delegación de usuarios. OID de principal de servicio con ID de agente para escenarios solo de aplicación. OID de cuenta de usuario del agente para escenarios de suplantación de usuario. |
idtyp |
Tipo de entidad es el sujeto. Los valores son user, app. |
tid |
ID de inquilino del cliente donde está registrada la identidad del agente. |
xms_idrel |
Relación entre el sujeto y el inquilino de recursos. Más información. |
aud |
Audiencia (la API a la que el agente intenta acceder) |
azp o appid |
Parte autorizada / actor. El ID de la aplicación de la identidad del agente. Permite una atribución correcta de clientes en los registros de auditoría. |
scp |
Ámbito. Permisos delegados para tokens de contexto de usuario. Solo está presente en escenarios de cuenta de usuario del agente y delegación de usuarios. Vacío o / para escenarios solo de aplicación |
xms_act_fct |
Afirmación de facetas actores. Más información. |
xms_sub_fct |
Afirmación de facetas sujetas. Más información. |
xms_tnt_fct |
Reclamación de facetas del inquilino. Más información. |
xms_par_app_azp |
Solicitud principal de la parte autorizada. Más información. |
xms_idrel
La xms_idrel reclamación indica la relación de identidad entre la entidad para la que se emite el token y el inquilino del recurso.
Aquí están los posibles valores para la xms_idrel reclamación. Es una afirmación multivalorada, lo que significa que puede tener múltiples valores, separados por espacios. Los valores se representan como enteros. Los valores válidos son siempre los impares que empiezan en 1.
| Valor de reclamación | Descripción |
|---|---|
1 |
Usuario miembro |
3 |
Usuario miembro de la MSA |
5 |
Usuario invitado |
7 |
Entidad principal de servicio |
9 |
Principio del dispositivo |
11 |
Usuario de GDAP |
13 |
Aplicación SPLess |
15 |
Acceso directo |
17 |
Usuario con identidad nativa y perfil |
19 |
Usuario de identidad nativo |
21 |
Participantes de la reunión de equipos de identidad nativa |
23 |
Participante de la reunión de Teams autenticado por paso |
25 |
Usuario nativo de compartición de contenido con identidad |
27 |
Miembro de MTO totalmente sincronizado |
29 |
Usuario débil de MTO |
31 |
Usuario DAP |
33 |
Identidad gestionada federada |
xms_tnt_fct, xms_sub_fct y xms_act_fct reclamaciones
La xms_tnt_fct reclamación describe al inquilino (identificado por la reclamación tid ). Las xms_sub_fct afirmaciones y xms_act_fct se utilizan para describir hechos sobre el sujeto (sub) y el actor (azp o appid) del token, respectivamente. Estas afirmaciones aportan más contexto sobre la identidad del agente y las acciones que está realizando.
Aquí están los valores relevantes para estas afirmaciones. Estas afirmaciones son multivaloradas, es decir, pueden tener múltiples valores, separados por espacios. Los valores válidos son siempre los impares que empiezan en 1.
| Valor de reclamación | Descripción |
|---|---|
11 |
AgentIdentity |
13 |
AgentIDUser |
Deberías ignorar cualquier valor que no sea relevante para tu escenario o lógica de validación. Ignora los valores que no son relevantes para tu solicitud. No asumas ningún orden de valores en estas afirmaciones.
xms_par_app_azp
La xms_par_app_azp reclamación se utiliza para identificar la solicitud principal de la parte autorizada (azp o appid). Es una GUID, cuando está incluida. Puedes usar la reclamación para determinar al progenitor
Registra el ID de la aplicación principal para fines de auditoría. Microsoft Entra ID registros de inicio de sesión siempre incluye el identificador primario si está disponible, por lo que el servidor de recursos debe hacer lo mismo. No se recomienda usar el ID de la aplicación principal para las decisiones de autorización, ya que resultaría en un acceso generalizado para muchos agentes.
Ejemplos escenarios
La siguiente sección describe algunos escenarios de autenticación y las reclamaciones relevantes para cada uno de ellos.
Identidad del agente actuando en nombre de un usuario humano
En este escenario, la identidad del agente actúa en nombre de un usuario humano. El token de acceso incluye las siguientes afirmaciones:
| Nombre de reclamación | Descripción |
|---|---|
tid |
ID de inquilino del cliente |
idtyp |
user (indicando que el sujeto es un usuario) |
xms_idrel |
1 (indicando un usuario miembro; otros también posibles) |
azp / appid |
ID de aplicación de la identidad del agente |
scp |
Permisos delegados otorgados a la identidad del agente |
oid |
ID de objeto del usuario |
aud |
Audiencia de recursos para el token |
xms_act_fct |
11 (Identidad del agente) |
Identidad del agente actuando de forma autónoma
En este escenario, la identidad del agente actúa usando su propia identidad. El token de acceso incluye las siguientes afirmaciones:
| Nombre de reclamación | Descripción |
|---|---|
tid |
ID de inquilino del cliente |
idtyp |
app (indicando que el sujeto es una solicitud) |
xms_idrel |
7 (indicando un principal de servicio) |
azp / appid |
ID de aplicación de la identidad del agente |
roles |
Permisos concedidos a la identidad del agente |
oid |
ID de objeto de la identidad del agente |
xms_act_fct |
11 (Identidad del agente) |
xms_sub_fct |
11 (Identidad del agente) |
aud |
Audiencia de recursos para el token |
scp |
Vacío o / (sin microscopio). |
La identidad del agente actúa de forma autónoma a través de la cuenta de usuario del agente
En este escenario, el agente obtiene un token mediante la cuenta de usuario del agente asociada a su identidad del agente. El token de acceso incluye las siguientes afirmaciones:
| Nombre de reclamación | Descripción |
|---|---|
tid |
ID de inquilino del cliente |
idtyp |
user (indicando que el sujeto es un usuario) |
xms_idrel |
1 (indicando un usuario miembro; otros también posibles) |
azp / appid |
ID de aplicación de la identidad del agente |
scp |
Permisos delegados otorgados a la identidad del agente |
oid |
Id. de objeto de la cuenta de usuario del agente |
xms_act_fct |
11 (Identidad del agente) |
xms_sub_fct |
13 (Cuenta de usuario del agente) |
aud |
Audiencia de recursos para el token |