Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie einen Agent erstellen, stellt Azure automatisch Identitätsressourcen fest. In diesem Artikel wird erläutert, was erstellt wird, warum zwei Identitäten vorhanden sind und wie Connectors diese verwenden.
Informationen darüber, wie Ihr Agent Berechtigungen auf Azure-Ressourcen erhält (RBAC-Rollen, Berechtigungsstufen, On-Behalf-of-Flows), finden Sie unter Agent-Berechtigungen.
Was erstellt wird
Zwei verwaltete Identitäten werden zusammen mit Ihrem Agent erstellt.
| Identität | Was es ist | Was Sie damit tun |
|---|---|---|
| Benutzerseitig zugewiesene verwaltete Identität (UAMI) | Eine eigenständige Identitätsressource in Ihrer Ressourcengruppe | Weisen Sie RBAC-Rollen zu und wählen Sie sie beim Einrichten von Konnektoren aus. Dies ist die Identität, die Sie verwalten. |
| Systemseitig zugewiesene verwaltete Identität | Eine interne Identität, die von der Infrastruktur des Agents verwendet wird | Nichts – diese Identität wird automatisch verwaltet und nur für interne Vorgänge verwendet. |
Das UAMI ist die Identität, mit der Sie arbeiten. Er erscheint in Ihrer Ressourcengruppe, Sie weisen ihm RBAC-Rollen zu und Sie wählen ihn aus, wenn Sie Konnektoren einrichten.
Tipp
Wenn im Portal eine Dropdownliste für verwaltete Identitäten angezeigt wird (für Connectors, Repositorys oder andere Integrationen), wählen Sie die UAMI Ihres Agents aus. Es ist die Identität, die Ihren RBAC-Rollenzuweisungen entspricht.
Wo die UAMI Ihres Agenten verwendet wird
Die UAMI Ihres Agents ist die primäre Identität für die meisten Vorgänge.
| Vorgang | Identität | Hinweise |
|---|---|---|
| Azure-Ressourcenvorgänge (Azure Resource Manager, CLI, Diagnose) | UAMI | Die von Ihnen zugewiesenen RBAC-Rollen bestimmen, worauf der Agent zugreifen kann |
| Kommunikationsanschlüsse (Outlook, Teams) | UAMI + Ihre OAuth-Anmeldeinformationen | Sie melden sich über OAuth an. UAMI vermittelt die Authentifizierung für die Connector-Ressource. |
| Datenkonnektoren (Azure Data Explorer) | UAMI | Erteilen Sie UAMI-Berechtigungen für den Ziel-Kusto-Cluster. |
| Quellcodeconnectors (GitHub, Azure DevOps) | UAMI (für verwaltete Azure DevOps-Identität) | Azure DevOps-Connector verwendet UAMI; GitHub verwendet OAuth |
| MCP-Steckverbinder | Variiert | Sie stellen Endpunkt-URL und Anmeldeinformationen bereit; optional eine verwaltete Identität für nachgeschaltete Azure-Aufrufe zuweisen |
| Interne Infrastruktur | UAMI | Wird automatisch für die internen Vorgänge des Agents verwendet. |
| Schlüsseltresor | UAMI (bevorzugt) oder vom System zugewiesen | Fällt zurück auf vom System zugewiesen, wenn kein UAMI angegeben ist |
Wie Connectors Identität verwenden
Verschiedene Connectortypen verwenden Identität auf unterschiedliche Weise. Der wichtigste Unterschied besteht darin, ob der Connector azure Resource Manager (ARM) durchlaufen muss, um den externen Dienst zu erreichen.
Kommunikationsanschlüsse (Outlook, Teams)
Wenn Sie einen Kommunikationsconnector einrichten, passieren zwei Dinge:
- Sie melden sich mit Ihrem Konto über OAuth an, wodurch der Connector Ihre Benutzeranmeldeinformationen erhält.
- Sie wählen eine UAMI aus dem Identitäts-Dropdown aus, die der Konnektor zur Authentifizierung bei der Konnektor-Ressource verwendet.
Der Connector speichert Ihr OAuth-Token sicher in einer Connectorressource. Die Connectorressource fungiert als sichere Brücke. Die Ressource enthält Ihre Anmeldeinformationen, sodass der Agent keinen direkten Zugriff auf sie benötigt. Es verwendet die UAMI, um die Authentifizierung zu brokern, wenn der Agent eine E-Mail sendet oder eine Teams-Nachricht in Ihrem Auftrag sendet.
Datenanschlüsse (Azure Data Explorer / Kusto)
Für Kusto-Connectors verwendet der Agent das UAMI direkt, um sich bei Ihrem Azure Data Explorer-Cluster zu authentifizieren. Es ist keine OAuth-Anmeldung erforderlich. Erteilen Sie dem UAMI die erforderlichen Berechtigungen, z. B. die Viewer-Rolle , im Kusto-Cluster.
Quellcode-Connectors (GitHub, Azure DevOps)
Je nach Plattform verwenden Quellcode-Konnektoren unterschiedliche Authentifizierungsmethoden.
- Azure DevOps: Verwendet das UAMI für die verwaltete Identitätsauthentifizierung. Wählen Sie das UAMI aus der Identitätsdropdownliste aus, und gewähren Sie ihm Zugriff auf Ihre Azure DevOps-Organisation.
- Github: Verwendet OAuth-Authentifizierung. Melden Sie sich mit Ihrem GitHub-Konto an. Für die GitHub-Verbindung selbst ist keine verwaltete Identität erforderlich.
Benutzerdefinierte MCP-Steckverbinder
MCP-Connectors verwenden endpunktbasierte Authentifizierung. Stellen Sie die MCP-Server-URL zusammen mit Anmeldeinformationen bereit, z. B. einen API-Schlüssel, ein Bearertoken oder OAuth. Optional können Sie dem MCP-Server eine verwaltete Identität zuweisen, die bei nachgeschalteten Azure-API-Aufrufen verwendet werden soll.
Finden Sie die UAMI Ihres Agenten
Sie können die vom Benutzer zugewiesene verwaltete Identität Ihres Agents über das Agentportal, das Azure-Portal oder die Azure CLI suchen.
Aus dem Agentportal:
- Wechseln Sie zu " Azure-Einstellungen>".
- Der Identitätsname wird im Feld "Verwaltete Identität " angezeigt.
- Wählen Sie Zu 'Identität wechseln' aus, um diesen Bereich im Azure-Portal zu öffnen.
Über das Azure-Portal
- Wechseln Sie zur Ressourcengruppe Ihres Agents.
- Suchen Sie die
id-*verwaltete Identität Ressource. - Kopieren Sie die Objekt-ID (Prinzipal-ID). Verwenden Sie diesen Wert für RBAC-Rollenzuweisungen.
Von Azure CLI:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Nächster Schritt
Verwandte Inhalte
- Agentberechtigungen: Erfahren Sie, wie Sie RBAC-Rollen und Berechtigungsstufen für Ihren Agent konfigurieren.
- Connectors: Richten Sie Connectortypen ein, und erfahren Sie, wie sie die Funktionen Ihres Agents erweitern.
- Benutzerrollen und -berechtigungen: Steuern, wer Ihren Agent anzeigen, mit ihnen interagieren und verwalten kann.