에이전트 ID 청사진을 만든 후 다음 단계는 테넌트에서 AI 에이전트를 나타내는 하나 이상의 에이전트 ID 를 만드는 것입니다. 에이전트 ID 생성은 일반적으로 새 AI 에이전트를 프로비전할 때 수행됩니다.
다음 두 가지 방법으로 에이전트 ID를 만들 수 있습니다.
-
Microsoft Entra 관리 센터 - 관리 센터 마법사를 사용하여 빠르고 개별적인 ID를 만듭니다.
-
Microsoft Graph API — 대규모로 자동화된 프로비저닝에 유용한 에이전트 ID를 프로그래밍 방식으로 만드는 웹 서비스를 빌드합니다.
테스트 목적으로 에이전트 ID를 빠르게 만들려면 Microsoft Entra PowerShell 모듈을 사용하여 에이전트 ID를 만들고 사용하는 것이 좋습니다.
사전 요구 사항
에이전트 ID를 만들려면 다음이 필요합니다.
-
에이전트 신원 청사진입니다. 생성 과정에서 에이전트 ID 설계 앱 ID를 기록합니다.
- 에이전트 ID 생성 논리를 호스트하는 웹 서비스 또는 애플리케이션(로컬로 실행되거나 Azure 배포됨) 이 필수 구성 요소는 에이전트 ID를 프로그래밍 방식으로 만드는 경우에만 적용됩니다.
Microsoft Entra 관리 센터 사용
기존 청사진을 선택하고 소유자 및 스폰서를 할당하여 Microsoft Entra 관리 센터 직접 에이전트 ID를 만들 수 있습니다.
Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>Agents>Agent ID로 찾습니다.
새 에이전트 ID(미리 보기)를 선택합니다.
기본 사항 탭에서 다음을 수행합니다.
소유자 및 스폰서 탭에서 필요에 따라 ID에 대한 소유자 및 스폰서를 추가합니다.
-
소유자 필드 옆에 있는 연필 아이콘을 선택하여 이 에이전트 ID를 관리할 수 있는 사용자를 변경하거나 추가합니다.
-
스폰서 필드 옆에 있는 연필 아이콘을 선택하여 이 에이전트 ID를 후원할 수 있는 사용자를 변경하거나 추가합니다.
메모
스폰서는 사용자, 동적 멤버 자격 그룹 또는 Microsoft 365 그룹일 수 있습니다. 보안 그룹 및 역할 할당 가능 그룹은 스폰서로 지원되지 않습니다.
다음을 선택합니다.
설정을 검토한 다음 만들기를 선택합니다.
완료를 선택하여 마법사를 종료하거나 에이전트 ID로 이동하여 ID의 세부 정보 페이지를 보거나 더 많은 설정을 구성합니다.
다음 단계에서는 Microsoft Graph API 및 Microsoft.Identity.Web을 사용하여 프로그래밍 방식으로 에이전트 ID를 생성하는 방법을 배웁니다. 먼저 액세스 토큰을 가져오고 생성 API를 호출합니다.
에이전트 ID 설계도를 통해 액세스 토큰 가져오기
에이전트 신원 청사진을 사용하여 각 에이전트 신원을 만듭니다. 에이전트 아이덴티티 설계를 사용하여 Microsoft Entra에서 액세스 토큰을 요청하세요.
관리 ID를 자격 증명으로 사용하는 경우 먼저 관리 ID를 사용하여 액세스 토큰을 가져와야 합니다. 관리 ID 토큰은 컴퓨팅 환경에 로컬로 노출되는 IP 주소에서 요청할 수 있습니다.
자세한 내용은 관리 ID 설명서를 참조하세요.
GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True
관리 ID에 대한 토큰을 얻은 후 에이전트 정체성 설계도에 대한 토큰을 요청합니다.
POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials
client_secret 클라이언트 암호가 로컬 개발에서 사용되는 경우 매개 변수 대신 client_assertionclient_assertion_type매개 변수를 사용할 수도 있습니다.
Microsoft.Identity.Web을 설치하려면:
dotnet add package Microsoft.Identity.Web
Microsoft. Identity.Web에는 액세스 토큰을 자동으로 요청하고 아웃바운드 HTTP 요청에 연결하는 인터페이스가 포함되어 있습니다.
Microsoft 사용하는 경우 Identity.Web 다음 단계로 건너뛸 수 있습니다.
에이전트 ID 만들기
이전 단계에서 획득한 액세스 토큰을 사용하여 이제 테넌트에서 에이전트 ID를 만들 수 있습니다. 에이전트 ID 생성은 새 에이전트를 만드는 단추를 선택하는 사용자와 같은 다양한 이벤트 또는 트리거에 대한 응답으로 발생할 수 있습니다. 각 에이전트에 대해 하나의 에이전트 ID를 만드는 것이 좋지만 필요에 따라 다른 방법을 선택할 수 있습니다.
를 사용할 때 항상 OData-Version 헤더를 @odata.type포함합니다.
POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"displayName": "My Agent Identity",
"agentIdentityBlueprintId": "<my-agent-blueprint-id>",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
"https://graph.microsoft.com/v1.0/groups/<group-id>"
],
}
메모
그룹을 스폰서로 할당할 때 지원되는 그룹 유형 만 허용됩니다. 그룹은 소유자로 지원되지 않습니다.
Microsoft.Identity.Web을 사용하여 에이전트 ID를 생성하는 Microsoft Graph API 요청을 실행하려면 다음의 MISE 구성 파일을 추가하세요.
경고
클라이언트 비밀은 보안 위험으로 인해 에이전트 ID 청사진에 대한 프로덕션 환경에서 클라이언트 자격 증명으로 사용해서는 안 됩니다. 대신 관리 ID 또는 클라이언트 인증서와 함께 FIC(페더레이션 ID 자격 증명)와 같은 보다 안전한 인증 방법을 사용합니다. 이러한 메서드는 애플리케이션 구성 내에서 직접 중요한 비밀을 저장할 필요가 없도록 하여 향상된 보안을 제공합니다.
{
"AzureAd": {
"Instance": "https://login.microsoftonline.com/",
"TenantId": "<my-test-tenant>",
"ClientId": "<my-agent-blueprint-id>",
"Scopes": "access_agent",
"ClientCredentials": [
{
"SourceType": "ClientSecret",
"ClientSecret": "your-client-secret"
}
]
},
"DownstreamApis": {
"agent-identity": {
"BaseUrl": "https://graph.microsoft.com",
"RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
"Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
"RequestAppToken": true
}
}
}
ASP.NET Core 앱의 코드(Program.cs)는 다음 예제입니다.
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;
var builder = WebApplication.CreateBuilder(args);
// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
.EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();
app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();
public class AgentIdentity
{
[JsonPropertyName("@odata.type")]
public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";
[JsonPropertyName("displayName")]
public string? displayName { get; set; }
[JsonPropertyName("agentIdentityBlueprintId")]
public string? agentIdentityBlueprintId { get; set; }
[JsonPropertyName("id")]
public string? id { get; set; }
[JsonPropertyName("sponsors@odata.bind")]
public string[]? sponsorsOdataBind { get; set; }
[JsonPropertyName("owners@odata.bind")]
public string[]? ownersOdataBind { get; set; }
}
// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
try
{
// Get the service to call the downstream API (preconfigured in the appsettings.json file)
IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();
// Call the downstream API with a POST request to create an Agent Identity
var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
"agent-identity",
new AgentIdentity {
displayName = "My agent identity",
agentIdentityBlueprintId = "<my-agent-blueprint-id>",
sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
}
);
return jsonResult?.id;
}
catch (Exception ex)
{
return ex.Message;
}
})
app.Run();
에이전트 ID 삭제
에이전트가 할당 취소되거나 제거되면 서비스에서 연결된 에이전트 ID도 삭제해야 합니다.
DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
// Get the service to call the downstream API (preconfigured in the appsettings.json file)
IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();
// Call the downstream API with a DELETE request to remove an Agent Identity
var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
"agent-identity",
null!,
options =>
{
options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
});
return jsonResult;
})
관련 콘텐츠
