Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsqu’un agent IA agit pour le compte d’un utilisateur, il a toujours besoin de deux autorisations :
- Autorisation de l’agent. L’agent lui-même a besoin d’une identité dans Microsoft Entra ID et les informations d’identification pour s’authentifier. Pour configurer cette autorisation pour un agent qui se trouve en dehors de Microsoft Entra ID, consultez Configurer des agents tiers.
- Autorisation de l’utilisateur. L’utilisateur doit donner son consentement à l’agent agissant en son nom, et l’agent doit obtenir un jeton d’utilisateur qu’il peut utiliser pour appeler des API en aval.
Cet article décrit la deuxième autorisation : comment autoriser les utilisateurs qui se connectent via un fournisseur d’identité tiers (IdP) afin qu’un agent basé sur Identifiant d’assistant Microsoft Entra puisse agir en leur nom.
Intégrer avec Agent 365 Observability à l’aide de l’identifiant utilisateur et de l’e-mail
Vous n’avez pas besoin d’une fédération complète pour intégrer un agent tiers à Agent 365 Observability. Un agent peut s’intégrer à Agent 365 Observability en transmettant l’identifiant utilisateur et l’adresse e-mail de l’utilisateur connecté. Cette intégration légère est une option pour les agents dont les utilisateurs s'authentifient auprès d'un fournisseur d'identité tiers, mais n'ont pas besoin d'accéder aux ressources qui nécessitent des jetons de Microsoft Entra ID.
Pour connaître les étapes d’intégration et les formes de requête, consultez l’observabilité de l’agent 365.
Résoudre un ID d’utilisateur avec Microsoft Graph
Si votre agent connaît uniquement l'adresse e-mail de l'utilisateur ou le nom d'utilisateur principal (UPN), utilisez Microsoft Graph pour rechercher l'ID d'objet de l'utilisateur. Les exemples suivants supposent que l’agent appelle Microsoft Graph avec un jeton d’application seul disposant de l’autorisation d’application User.Read.All.
Obtenez l’ID d’objet d’un utilisateur à partir d’une adresse e-mail en filtrant sur la mail propriété :
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
La mail propriété ne correspond pas toujours à l’adresse avec laquelle les utilisateurs se connectent. Si la recherche ne retourne aucun résultat, revenez à la otherMails collection :
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Obtenez l’ID d’objet d’un utilisateur à partir d’un UPN en adressant directement la ressource utilisateur :
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Une réponse réussie retourne l’ID d’objet de l’utilisateur dans la id propriété. Transmettez cette valeur en tant qu’ID utilisateur lorsque vous appelez Agent 365 Observability.
Fédérer Microsoft Entra ID avec l’IdP tiers
De nombreux clients disposant d’un fournisseur d’identité tiers ont des utilisateurs qui utilisent Microsoft 365. Pour ce faire, ils configurent Microsoft Entra ID afin de le fédérer avec le fournisseur d’identité de leur choix. Avec cette configuration, les utilisateurs accèdent Microsoft 365 normalement, mais l’utilisateur s’authentifie auprès du fournisseur d’identité tiers plutôt qu’avec Microsoft Entra ID.
Authentifier votre agent avec Microsoft Entra ID
N’importe quel agent peut utiliser la même approche Microsoft 365 utilise : l’agent authentifie l’utilisateur avec Microsoft Entra ID et Microsoft Entra ID redirige l’utilisateur vers l’IdP de choix lorsque la fédération est configurée. Maintenant que l’agent a authentifié l’utilisateur auprès du fournisseur d’identité (IdP) de son choix et peut accéder à des ressources comme WorkIQ, qui nécessitent des jetons issus de Microsoft Entra ID. Aucune configuration n’est requise au niveau de l’agent pour la fédération.
Une fois que l’agent obtient un jeton utilisateur par le biais de ce flux, il peut utiliser ce jeton pour appeler n’importe quelle fonctionnalité Agent 365 qui nécessite un jeton utilisateur , pas seulement l’observabilité. Le même jeton fonctionne pour l’accès à l’outil Work IQ, les appels On-Behalf-Of (OBO) vers Microsoft Graph et d’autres API en aval, ainsi que pour toute autre fonctionnalité d’Agent 365 qui s’exécute dans le contexte de l’utilisateur.
Microsoft Entra ID prend en charge les protocoles d’authentification et d’autorisation standard que la plupart des agents utilisent déjà :
Tout agent qui authentifie les utilisateurs avec l’un de ces protocoles peut aujourd’hui être migré vers Microsoft Entra ID en repointant ses points de terminaison d’authentification et en testant la compatibilité. Pour obtenir une vue d’ensemble des types d’applications et des flux pris en charge par Microsoft Entra ID, consultez Types d’applications dans la plateforme d’identités Microsoft.