Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando un agente di intelligenza artificiale agisce per conto di un utente, richiede sempre due autorizzazioni:
- Autorizzazione dell'agente. L'agente stesso necessita di un'identità in Microsoft Entra ID e le credenziali per l'autenticazione. Per configurare questa autorizzazione per un agente che si trova all'esterno di Microsoft Entra ID, vedere Configurare gli agenti di terze parti.
- Autorizzazione utente. L'utente deve fornire il consenso all'agente che agisce per suo conto e l'agente deve ottenere un token utente che può usare per chiamare le API downstream.
Questo articolo descrive la seconda autorizzazione: come autorizzare gli utenti che accedono tramite un provider di identità (IdP) di terze parti in modo che un agente basato su Microsoft Entra Agent ID possa agire per loro conto.
Eseguire l'integrazione con Agent 365 Observability usando l'ID utente e la posta elettronica
Non è necessaria la federazione completa per integrare un agente di terze parti con Agent 365 Observability. Un agente può integrarsi con Agent 365 Observability passando l'ID utente e l'indirizzo di posta elettronica dell'utente connesso. Questa integrazione leggera è un'opzione per gli agenti i cui utenti eseguono l'autenticazione con un IdP di terze parti, ma non richiedono l'accesso alle risorse che richiedono token da Microsoft Entra ID.
Per i passaggi di integrazione e le forme di richiesta, vedere Osservabilità di Agent 365.
Risolvere un ID utente con Microsoft Graph
Se l'agente conosce solo l'indirizzo di posta elettronica dell'utente o lo User Principal Name (UPN), usa Microsoft Graph per individuare l'ID dell'oggetto dell'utente. Gli esempi seguenti presuppongono che l'agente effettui chiamate a Microsoft Graph con un token solo app che dispone dell'autorizzazione applicazione User.Read.All.
Ottieni l'ID dell'oggetto di un utente da un indirizzo email filtrando in base alla proprietà mail:
GET https://graph.microsoft.com/v1.0/users?$filter=mail eq 'user@contoso.com'&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
La mail proprietà non corrisponde sempre all'indirizzo con cui gli utenti accedono. Se la ricerca non restituisce risultati, eseguire il fallback alla otherMails raccolta:
GET https://graph.microsoft.com/v1.0/users?$filter=otherMails/any(o:o eq 'user@contoso.com')&$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Ottenere l'ID oggetto di un utente da un UPN indirizzando direttamente la risorsa utente:
GET https://graph.microsoft.com/v1.0/users/user@contoso.onmicrosoft.com?$select=id,mail,userPrincipalName
Authorization: Bearer {app-only-token}
Una risposta con esito positivo restituisce l'ID oggetto dell'utente nella id proprietà . Passare tale valore come ID utente quando si chiama Agent 365 Observability.
Federare Microsoft Entra ID con l'IdP di terze parti
Molti clienti con un IdP di terze parti hanno utenti che usano Microsoft 365. Per abilitare questo, configurano Microsoft Entra ID per federarsi con il provider di identità scelto. Con questa configurazione, gli utenti accedono Microsoft 365 normalmente, ma l'utente esegue l'autenticazione con il provider di identità di terze parti anziché con Microsoft Entra ID.
Autenticare l'agente con Microsoft Entra ID
Qualsiasi agente può usare lo stesso approccio Microsoft 365 usato: l'agente autentica l'utente con Microsoft Entra ID e Microsoft Entra ID reindirizza l'utente al provider di identità scelto quando la federazione è configurata. Ora che l'agente ha autenticato l'utente con l'IdP scelto e può accedere a risorse come WorkIQ, che richiedono token di Microsoft Entra ID. Non è necessaria alcuna configurazione nell'agente per la federazione.
Dopo che l'agente ottiene un token utente tramite questo flusso, può usare tale token per chiamare qualsiasi funzionalità di Agent 365 che richiede un token utente, non solo Observability. Lo stesso token può essere usato per l'accesso allo strumento Work IQ, per le chiamate On-Behalf-Of (OBO) a Microsoft Graph e ad altre API downstream e per qualsiasi altra funzionalità di Agent 365 che opera nel contesto dell'utente.
Microsoft Entra ID supporta i protocolli di autenticazione e autorizzazione standard che la maggior parte degli agenti usa già:
Qualsiasi agente che autentica gli utenti con uno di questi protocolli può oggi essere migrato a Microsoft Entra ID ripointando gli endpoint di autenticazione e verificando la compatibilità. Per una panoramica dei tipi di app e dei flussi supportati da Microsoft Entra ID, vedere Tipi di applicazione nel Microsoft Identity Platform.