Este artigo mostra-lhe como ligar o seu servidor Model Context Protocol (MCP) alojado no Funções do Azure ao Microsoft Foundry Agent Service. Depois de completar este guia, o seu agente pode descobrir e invocar as ferramentas expostas pelo seu servidor MCP.
Este artigo segue este processo básico para configurar a ligação ao servidor MCP a partir do Foundry Agent Service:
- Crie e implemente um servidor MCP na sua aplicação de funções no Azure.
- Obtenha o URL do endpoint do servidor MCP.
- Obtenha as credenciais de autenticação (conforme necessário).
- Desative a autenticação baseada em chaves (quando não for necessária).
- Adicione uma ligação à ferramenta de servidor MCP a um agente existente.
Pré-requisitos
Antes de começar, certifique-se de que tem estes recursos disponíveis:
Revise as opções de ligação
Esta tabela resume as opções atualmente suportadas para autenticar a ligação do seu agente a um servidor MCP no Foundry Agent Service:
| Método |
Description |
Caso de uso |
Configuração adicional |
Funções suportam |
|
Baseado em teclas (por defeito) |
O agente autentica-se passando uma chave de acesso à função partilhada no cabeçalho do pedido. Este método é a autenticação padrão para endpoints HTTP em Functions. |
Use durante o desenvolvimento ou quando o servidor MCP não requer autenticação Microsoft Entra. |
Nenhum |
Yes |
|
Microsoft Entra |
O agente autentica-se usando a sua própria identidade (identidade do agente) ou a identidade partilhada do projeto Foundry (identidade gerida pelo projeto). |
Use a identidade do agente para cenários de produção, mas limite a identidade partilhada ao desenvolvimento. |
Ative a autenticação MCP incorporada, que também desativa a autenticação baseada em chaves. |
Identidade gerida por projeto (partilhada) |
|
Passagem de identidade OAuth |
O Agente pede aos utilizadores que iniciem sessão e autorizem o acesso, usando o token fornecido para autenticação. |
Uso na produção quando cada utilizador deve autenticar-se com a sua própria identidade e o contexto do utilizador deve ser preservado. |
Ative a autenticação MCP incorporada, que também desativa a autenticação baseada em chaves. |
Yes |
|
Acesso não autenticado |
O agente faz chamadas não autenticadas. |
Use durante o desenvolvimento ou quando o seu servidor MCP acede apenas a informações públicas. |
Desative a autenticação baseada em chaves. |
Yes |
Para saber mais sobre as opções de autenticação do servidor MCP que o Foundry Agent Service suporta, consulte Configurar autenticação para ferramentas MCP.
Obtenha o endpoint remoto do servidor MCP
Antes de poderes ligar o agente a um servidor MCP hospedado nas Funções, terás de obter o URL do endpoint do serviço. O formato específico da URL depende de como criou e implementou o seu servidor MCP:
https://<FUNCTION_APP_NAME>.azurewebsites.net/runtime/webhooks/mcp
Para mais informações, consulte Servidores MCP remotos em Funções do Azure.
Obter credenciais
As credenciais de que o seu agente precisa para se ligar ao servidor MCP dependem da forma como pretende garantir a ligação. Escolha o separador que indica a opção de autenticação da sua ligação.
Quando usas uma chave de acesso para te ligares ao endpoint do teu servidor MCP, usas uma chave secreta partilhada para dificultar a ligação de agentes aleatórios ao teu servidor.
Importante
Embora as chaves de acesso possam ajudar a prevenir o acesso indesejado a endpoints por defeito, considere usar o Microsoft Entra ID ou a autenticação de identidade OAuth para proporcionar maior segurança aos seus endpoints de servidor MCP em produção.
O nome da chave de acesso de que precisa depende da implementação do seu servidor MCP:
| Tipo de servidor MCP |
Nome da chave |
Tipo de chave |
| Servidor baseado em extensões MCP |
mcp_extension |
Chave do sistema |
| Servidor MCP auto-hospedado |
default |
Chave do anfitrião |
Para obter a chave no portal do Azure:
- Vai ao recurso da tua app de funções no portal Azure.
- Expanda o menu Funções na lista suspensa do menu à esquerda.
- Selecione as teclas da App.
- Copie a
mcp_extension chave (em Chaves do Sistema) ou a default chave (em Chaves do Anfitrião), dependendo do tipo do seu servidor MCP.
Para mais informações, consulte Trabalhar com chaves de acesso em Funções do Azure.
Tanto Agent Identity como Project Managed Identity utilizam autenticação Microsoft Entra. Atualmente, o Functions apenas suporta identidade gerida por projeto, o que exige que o seu servidor utilize autenticação e autorização integradas.
Se a sua aplicação de servidor não tiver uma identidade gerida atribuída pelo utilizador, crie primeiro uma.
Ligue a identidade gerida atribuída pelo utilizador da sua aplicação servidor ao seu projeto Foundry:
No portal Azure, procure por Foundry. No Microsoft Foundry, selecione o seu recurso Foundry entre Todos os recursos.
Na Gestão de Recursos>, Identidade>, Atribuição de Utilizador, selecione + Adicionar. Selecione a identidade gerida atribuída pelo utilizador usada pela sua aplicação servidor e depois selecione Adicionar.
Selecione a identidade recentemente adicionada e copie o valor do ID do Cliente .
Adicione a identidade gerida atribuída pelo utilizador como uma aplicação cliente permitida na sua aplicação servidor:
Vai ao recurso da tua aplicação no portal Azure.
Selecione Configurações>Autenticação no menu esquerdo.
Selecione o ícone Editar para o seu fornecedor de identidade Entra registado.
No seu fornecedor, defina o requisito de aplicação cliente para Permitir pedidos de aplicações cliente específicas e selecione o botão de editar ao lado de Aplicações cliente Permitidas.
Adicione o ID do cliente da sua identidade gerida atribuída pelo utilizador, selecione OK e depois Guardar.
Obtenha o URI do ID da aplicação do registo da aplicação Entra da sua aplicação de servidor, de que necessita para concluir o registo da autenticação Entra no seu agente:
De volta à página de Autenticação da sua aplicação, selecione o nome do fornecedor de identidade Entra registado. Esta seleção leva-o à página de recursos da aplicação Entra.
No menu à esquerda, selecione Gerenciar>exposição de uma API.
Copie o URI do ID da Aplicação no topo da página. Este valor de ID parece api://00001111-aaaa-2222-bbbb-3333cccc4444.
O passthrough de identidade do OAuth convida os utilizadores a iniciar sessão e autorizar o acesso ao seu servidor MCP. Para um servidor MCP alojado em Funções com autenticação incorporada, utilize um OAuth personalizado com um registo de aplicação Microsoft Entra.
Para obter as credenciais necessárias no portal Azure:
Vai ao recurso da tua app de funções no portal Azure.
Selecione Configurações>Autenticação no menu esquerdo.
Selecione o nome da aplicação Entra ao lado da Microsoft. Esta seleção leva-o ao recurso da aplicação Entra.
A partir de Essenciais na página Visão Geral, copie os valores destes campos:
-
ID do aplicativo (cliente)
-
ID da diretoria (tenant)
-
URI da ID do aplicativo
Use o ID do tenant para construir estes URLs OAuth obrigatórios:
| Tipo de URL |
Formato |
|
URL de autenticação |
https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize |
|
Token URL |
https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
|
Atualizar URL |
https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
Substitua <TENANT_ID> pelo valor real do seu ID de inquilino. Guarde estes valores para mais tarde.
Selecione Gerenciar>certificados & segredos. Cria um novo segredo de cliente, caso ainda não exista, e copia o seu valor para usar mais tarde.
Selecione Gerir>Expor uma API e copie o âmbito existente.
Depois de configurar o passthrough de identidade OAuth no portal Foundry, recebe um URL de redirecionamento. Deve regressar ao registo da sua aplicação Entra para adicionar este URL de redirecionamento ao registo da aplicação Microsoft Entra.
Como o acesso não autenticado não requer segredos partilhados nem autenticação, não precisa de recolher quaisquer credenciais. No entanto, deve desativar a autenticação baseada em chaves para que o endpoint do seu servidor permita acesso anónimo.
Importante
Esta opção permite que qualquer cliente ou agente aceda ao endpoint do seu servidor MCP. Utilize-o apenas para ferramentas que devolvam informação pública apenas de leitura ou durante desenvolvimentos privados.
Adicione o seu servidor MCP
O processo para criar a ligação do agente ao servidor MCP depende das opções específicas de autenticação do endpoint.
Quando utiliza autenticação baseada em chaves, o agente autentica-se passando uma chave de acesso à função no cabeçalho do pedido ao seu servidor MCP.
Para se ligar ao endpoint do seu servidor MCP:
Vai ao portal da Foundry (nova Foundry).
Selecione o separador Build no topo da página e selecione um agente para se ligar ao seu servidor MCP.
No separador Playground, expande o menu de Ferramentas e seleciona Adicionar.
No separador Personalizado em Selecionar uma ferramenta, selecione Model Context Protocol (MCP)>Create.
Na ferramenta Add Model Content Protocol, forneça informações desta tabela para configurar uma ligação baseada em chave de acesso:
| Campo |
Description |
Example |
|
Nome |
Um identificador único para o seu servidor MCP. Use o nome da sua aplicação de função como padrão. |
contoso-mcp-tools |
|
Endpoint remoto do servidor MCP |
O endpoint URL do teu servidor MCP. |
https://contoso-mcp-tools.azurewebsites.net/runtime/webhooks/mcp |
|
Authentication |
O método de autenticação a ser usado. |
Key-based |
|
Credential |
O par chave-valor para autenticar com a tua aplicação funcional. |
x-functions-key: aaaaaaaa-0b0b-1c1c-2d2d-333333333333 |
Selecione Ligar para criar uma ligação ao endpoint do seu servidor MCP. Vês o nome do teu servidor listado em Ferramentas.
Selecione Guardar para guardar a configuração da ferramenta MCP no seu agente.
Quando utiliza autenticação Microsoft Entra, o agente autentica-se usando uma identidade gerida para se ligar ao seu servidor MCP.
Para se ligar ao endpoint do seu servidor MCP:
Vai ao portal da Foundry (nova Foundry).
Selecione o separador Build no topo da página e selecione um agente para se ligar ao seu servidor MCP.
No separador Playground, expande o menu de Ferramentas e seleciona Adicionar.
No separador Personalizado em Selecionar uma ferramenta, selecione Model Context Protocol (MCP)>Create.
Na ferramenta Add Model Content Protocol, introduza a informação desta tabela para configurar uma ligação baseada em Microsoft Entra:
| Campo |
Description |
Example |
|
Nome |
Um identificador único para o seu servidor MCP. Podes usar o nome da tua app de funções. |
contoso-mcp-tools |
|
Endpoint remoto do servidor MCP |
O endpoint URL do teu servidor MCP. |
https://contoso-mcp-tools.azurewebsites.net/runtime/webhooks/mcp |
|
Authentication |
O método de autenticação a ser usado. |
Microsoft Entra |
|
Type |
O tipo de identidade que o agente usa para autenticar. |
Project Managed Identity |
|
Audiência |
O ID da aplicação URI do registo Entra da tua aplicação de funções. Este valor indica ao fornecedor de identidade para que aplicação se destina o token. |
api://00001111-aaaa-2222-bbbb-3333cccc4444 |
Selecione Ligar para criar uma ligação ao endpoint do seu servidor MCP. Vês o nome do teu servidor listado em Ferramentas.
Selecione Guardar para guardar a configuração da ferramenta MCP no seu agente.
Quando usa o passthrough de identidade OAuth, o agente pede ao utilizador para iniciar sessão e depois usa o token de acesso devolvido ao ligar-se ao servidor.
Vai ao portal da Foundry (nova Foundry).
Selecione o separador Build no topo da página e selecione um agente para se ligar ao seu servidor MCP.
No separador Playground, expande o menu de Ferramentas e seleciona Adicionar.
No separador Personalizado em Selecionar uma ferramenta, selecione Model Context Protocol (MCP)>Create.
Na ferramenta Add Model Content Protocol, introduza a informação desta tabela para configurar a ligação OAuth Identity Passthrough:
| Campo |
Description |
Example |
|
Nome |
Um identificador único para o seu servidor MCP. Podes usar o nome da tua app de funções. |
contoso-mcp-tools |
|
Endpoint remoto do servidor MCP |
O endpoint URL do teu servidor MCP. |
https://contoso-mcp-tools.azurewebsites.net/runtime/webhooks/mcp |
|
Authentication |
O método de autenticação a ser usado. |
OAuth Identity Passthrough |
|
ID de Cliente |
O ID de cliente da sua aplicação de funções Entra registration |
00001111-aaaa-2222-bbbb-3333cccc4444 |
|
Segredo do cliente |
O segredo do cliente da sua aplicação de funções Entra registration |
abcEFGhijkLMNopqRST |
|
Token URL |
O endpoint que a sua aplicação de servidor chama para trocar um código de autorização ou credencial por um token de acesso. |
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token |
|
URL de autenticação |
O endpoint onde os utilizadores são redirecionados para autenticar e conceder autorização à sua aplicação servidor. |
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/authorize |
|
Atualizar URL |
O endpoint era usado para obter um novo token de acesso quando o atual expirava. |
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/v2.0/token |
|
Escopos |
As permissões específicas ou níveis de acesso a recursos que a sua aplicação de servidor solicita ao servidor de autorização |
api://00001111-aaaa-2222-bbbb-3333cccc4444/user_impersonation |
Selecione Ligar para criar uma ligação ao endpoint do seu servidor MCP.
Depois de criar o seu fornecedor de credenciais, receberá um URL de redirecionamento. Antes de fechares esta janela, certifica-te de copiar o valor da URL. Deve adicionar este URL de redirecionamento ao seu registo na aplicação Entra.
Volte ao registo da sua aplicação Entra e, em Gerir>Autenticação , selecione + Adicionar URI de redirecionamento. Selecione Web, cole o valor do URI Redirect copiado e selecione Configurar.
Volte à janela do agente, selecione Fechar>Guardar para guardar a configuração da ferramenta MCP no seu agente.
Use acesso não autenticado apenas quando o seu servidor MCP não exigir autenticação e acessar apenas informação pública.
Para se ligar ao endpoint do seu servidor MCP:
Vai ao portal da Foundry (nova Foundry).
Selecione o separador Build no topo da página e selecione um agente para se ligar ao seu servidor MCP.
No separador Playground, expande o menu de Ferramentas e seleciona Adicionar.
No separador Personalizado em Selecionar uma ferramenta, selecione Model Context Protocol (MCP)>Create.
Na ferramenta Add Model Content Protocol, forneça informações desta tabela para configurar uma ligação não autenticada:
| Campo |
Description |
Example |
|
Nome |
Um identificador único para o seu servidor MCP. Podes usar o nome da tua app de funções. |
contoso-mcp-tools |
|
Endpoint remoto do servidor MCP |
O endpoint URL do teu servidor MCP. |
https://contoso-mcp-tools.azurewebsites.net/runtime/webhooks/mcp |
|
Authentication |
O método de autenticação a ser usado. |
Unauthenticated |
Selecione Ligar para criar uma ligação não autenticada ao endpoint do seu servidor MCP. Agora deve ver o nome do seu servidor listado em Ferramentas.
Selecione Guardar para guardar a configuração da ferramenta MCP no seu agente.
Depois de ligar o seu servidor MCP ao seu agente, verifique se as ferramentas funcionam corretamente.
- No Construtor de Agentes, encontra a janela de chat em Playground.
- Introduza um prompt que ativa uma das suas ferramentas MCP. Por exemplo, se o seu servidor MCP tiver uma ferramenta de saudação, experimente:
Use the greeting tool to say hello.
- Se estiver a usar o passthrough de identidade do OAuth, selecione Consentimento Aberto e inicie sessão com a sua conta Entra.
- Quando o agente solicitar invocação de uma ferramenta MCP, reveja o nome da ferramenta e os argumentos, e selecione Aprovar para permitir a chamada.
- Verifica se a ferramenta devolve o resultado esperado.
O seu agente pode agora usar as ferramentas expostas pelo seu servidor MCP alojadas no Funções do Azure.
Artigos relacionados
Estes artigos adicionais podem ajudá-lo a desenvolver as capacidades da sua aplicação de agentes e funções.