에이전트를 만들 때 Azure는 ID 리소스를 자동으로 프로비전합니다. 이 문서에서는 생성되는 항목, 두 ID가 존재하는 이유 및 커넥터에서 이를 사용하는 방법을 설명합니다.
에이전트가 Azure 리소스에 대한 사용 권한(RBAC 역할, 권한 수준, 대신 흐름)을 가져오는 방법에 대한 자세한 내용은 에이전트 사용 권한을 참조하세요.
생성되는 항목
에이전트와 함께 두 개의 매니지드 ID가 생성됩니다.
| 정체성 | 그것이 무엇인지 | 그것으로 무엇을 하는지 |
|---|---|---|
| UAMI(사용자가 할당한 관리 ID) | 리소스 그룹의 독립 실행형 ID 리소스 | RBAC 역할을 할당하고 커넥터를 설정할 때 선택합니다. 관리하는 ID입니다. |
| 시스템 할당 관리 ID | 에이전트의 인프라에서 사용하는 내부 ID | Nothing - 이 ID는 자동으로 관리되며 내부 작업에만 사용됩니다. |
UAMI는 귀하가 사용하여 작업하는 신원입니다. 리소스 그룹에 해당 항목이 나타나면, 해당 항목에 RBAC 역할을 할당하고, 커넥터를 설정할 때 선택합니다.
팁 (조언)
포털에 관리 ID 드롭다운(커넥터, 리포지토리 또는 기타 통합용)이 표시되면 에이전트의 UAMI를 선택합니다. RBAC 역할 할당과 일치하는 ID입니다.
에이전트의 UAMI가 사용되는 곳
에이전트의 UAMI는 대부분의 작업의 기본 ID입니다.
| Operation | 정체성 | Notes |
|---|---|---|
| Azure 리소스 작업 (Azure Resource Manager, CLI, 진단) | UAMI | 할당한 RBAC 역할에 따라 에이전트가 액세스할 수 있는 항목이 결정됩니다. |
| 통신 커넥터 (Outlook, Teams) | UAMI + OAuth 자격 증명 | OAuth를 통해 로그인합니다. UAMI는 커넥터 리소스에 대한 인증을 조정합니다. |
| 데이터 커넥터 (Azure Data Explorer) | UAMI | 대상 Kusto 클러스터에 대한 UAMI 권한 부여 |
| 소스 코드 커넥터 (GitHub, Azure DevOps) | UAMI(Azure DevOps 관리 ID의 경우) | Azure DevOps 커넥터는 UAMI를 사용합니다. GitHub에서 OAuth 사용 |
| MCP 커넥터 | 다릅니다 | 엔드포인트 URL 및 자격 증명을 제공합니다. 선택적으로 다운스트림 Azure 호출에 대한 관리 ID 할당 |
| 내부 인프라 | UAMI | 에이전트의 내부 작업에 자동으로 사용됨 |
| Key Vault(키 볼트) | UAMI (선호됨) 또는 시스템 할당 | UAMI가 지정되지 않은 경우 시스템 할당으로 돌아갑니다. |
커넥터에서 ID를 사용하는 방법
다른 커넥터 유형은 ID를 다르게 사용합니다. 주요 차이점은 커넥터가 ARM(Azure Resource Manager)을 통과하여 외부 서비스에 연결해야 하는지 여부입니다.
통신 커넥터(Outlook, Teams)
통신 커넥터를 설정할 때 다음 두 가지가 발생합니다.
- 커넥터에 사용자 자격 증명을 제공하는 OAuth를 통해 계정으로 로그인합니다.
- 커넥터가 커넥터 리소스에 인증하는 데 사용하는 ID 드롭다운에서 UAMI를 선택합니다.
커넥터는 OAuth 토큰을 커넥터 리소스에 안전하게 저장합니다. 커넥터 리소스는 보안 브리지 역할을 합니다. 리소스는 자격 증명을 보유하므로 에이전트가 직접 액세스할 필요가 없습니다. 에이전트가 전자 메일을 보내거나 사용자를 대신하여 Teams 메시지를 게시할 때 UAMI를 사용하여 인증을 조정합니다.
데이터 커넥터(Azure Data Explorer/Kusto)
Kusto 커넥터의 경우 에이전트는 UAMI를 직접 사용하여 Azure Data Explorer 클러스터에 인증합니다. OAuth 로그인이 필요하지 않습니다. Kusto 클러스터에서 뷰어 역할과 같은 필수 권한을 UAMI에 부여합니다.
소스 코드 커넥터(GitHub, Azure DevOps)
소스 코드 커넥터는 플랫폼에 따라 다른 인증 방법을 사용합니다.
- Azure DevOps: 관리 ID 인증에 UAMI를 사용합니다. ID 드롭다운에서 UAMI를 선택하고 Azure DevOps 조직에 대한 액세스 권한을 부여합니다.
- Github: OAuth 인증을 사용합니다. GitHub 계정을 사용하여 로그인합니다. GitHub 연결 자체에는 관리 ID가 필요하지 않습니다.
사용자 지정 MCP 커넥터
MCP 커넥터는 엔드포인트 기반 인증을 사용합니다. API 키, 전달자 토큰 또는 OAuth와 같은 자격 증명과 함께 MCP 서버 URL을 제공합니다. 필요에 따라 다운스트림 Azure API 호출을 수행할 때 사용할 MCP 서버에 대한 관리 ID를 할당할 수 있습니다.
에이전트의 UAMI 찾기
에이전트 포털, Azure Portal 또는 Azure CLI에서 에이전트의 사용자 할당 관리 ID를 찾을 수 있습니다.
에이전트 포털에서:
- 설정>Azure 설정으로 이동합니다.
- ID 이름이 관리 ID 필드에 나타납니다.
- ID로 이동을 선택하여 Azure 포털에서 엽니다.
Azure Portal에서:
- 에이전트의 리소스 그룹으로 이동합니다.
- 관리형 ID 리소스를
id-*찾으세요. - 개체(보안 주체) ID를 복사합니다. RBAC 역할 할당에 이 값을 사용합니다.
Azure CLI에서:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
다음 단계:
관련 콘텐츠
- 에이전트 권한: 에이전트에 대한 RBAC 역할 및 권한 수준을 구성하는 방법을 알아봅니다.
- 커넥터: 커넥터 유형을 설정하고 에이전트의 기능을 확장하는 방법을 알아봅니다.
- 사용자 역할 및 권한: 에이전트를 보고, 상호 작용하고, 관리할 수 있는 사용자를 제어합니다.