Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El SDK de Microsoft Entra para el ID del agente es un servicio web contenedorizado que gestiona la adquisición de tokens, la validación y las llamadas API seguras de nivel inferior. Se ejecuta como un contenedor complementario junto con la aplicación, lo que le permite descargar la lógica de identidad en un servicio dedicado. Al centralizar las operaciones de identidad en el SDK de Microsoft Entra para el identificador del agente, elimina la necesidad de insertar lógica compleja de administración de tokens en cada servicio, lo que reduce la duplicación de código y las posibles vulnerabilidades de seguridad.
Si está construyendo con Kubernetes, servicios en contenedores con Docker o microservicios modernos en Azure, el SDK de Microsoft Entra para la identificación del agente proporciona una manera estandarizada de gestionar la autenticación y autorización en aplicaciones nativas de la nube.
¿Cuál es el SDK de Microsoft Entra para el identificador del agente?
El SDK de Microsoft Entra para el ID de Agente se comunica con su aplicación a través de una API HTTP para la autenticación y autorización, lo que proporciona patrones de integración coherentes independientemente de su pila tecnológica. En lugar de insertar la lógica de identidad directamente en el código de la aplicación, el SDK de Microsoft Entra para id. de agente controla la administración de tokens, la validación y las llamadas API a través de solicitudes HTTP estándar.
Este enfoque permite arquitecturas de microservicios poliglot en las que se pueden escribir distintos servicios en Python, Node.js, Go, Java y otros, a la vez que se mantienen patrones de autenticación coherentes.
La arquitectura típica es la siguiente:
Client Application → Tu Web API → Microsoft Entra SDK para identificación de agente → Microsoft Entra ID
Para ver las etiquetas de versión y imagen de contenedor más recientes, consulte La imagen de contenedor para empezar.
Security
Asegúrese de que el SDK de Microsoft Entra para la implementación del identificador del agente sigue los procedimientos recomendados para la operación segura. El SDK debe ejecutarse en un entorno en contenedores con acceso restringido a la red para evitar el acceso no autorizado. Exponer la API del SDK públicamente puede provocar vulnerabilidades de seguridad, como la adquisición de tokens no autorizada.
Consulte Mejores Prácticas de Seguridad para obtener recomendaciones sobre la seguridad de la red, las credenciales y en tiempo de ejecución.
Precaución
La API del SDK no debe ser accesible públicamente. Solo debe ser accesible por las aplicaciones dentro del mismo límite de confianza (por ejemplo, el mismo pod o red virtual) para evitar la adquisición de tokens no autorizados.
Inicio rápido
Para empezar a trabajar con el SDK de Microsoft Entra para el identificador del agente, se recomiendan los pasos siguientes:
- Elección de la implementación : seleccione Kubernetes, Docker o AKS.
- Configuración de opciones : Configuración de variables de entorno
- Elegir un escenario : siga un ejemplo guiado
- Implementación en producción : revisión de los procedimientos recomendados de seguridad
Ventajas clave
La arquitectura separa los problemas de identidad de la lógica de negocios, lo que proporciona las siguientes ventajas:
| Ventajas | Description |
|---|---|
| Compatibilidad con varios idiomas | Llamada a través de HTTP desde Python, Node.js, Go, Java y otros |
| Configuración de seguridad centralizada | Un lugar para la configuración de identidad, la administración de tokens y la administración de credenciales |
| Contenedor nativo | Compilado para Kubernetes, Docker, AKS y otras implementaciones modernas |
| Confianza cero Ready | Se integra con la identidad administrada y los tokens de prueba de posesión, asegurando que los datos confidenciales permanezcan fuera del código de su aplicación. |
Cuándo usar el SDK de Microsoft Entra para el identificador del agente o Microsoft. Identity.Web
| Scenario | Uso del SDK de Microsoft Entra para el identificador del agente | Use Microsoft.Identity.Web |
|---|---|---|
| Compatibilidad con idiomas | Varios idiomas (Python, Node.js, Go, Java, etc.) | solo .NET |
| Modelo de implementación | Contenedores (Kubernetes, Docker, AKS) | Cualquier modelo de implementación |
| Patrones de identidad | Patrones coherentes en todos los servicios | Integración del marco de .NET profundo |
| Identidad del agente | Disponible en todos los idiomas admitidos | .NET solo |
| Validación de tokens | Disponible en todos los idiomas admitidos | solo .NET |
| Modelo de seguridad | Secretos y tokens aislados del código de aplicación | Integrado con la aplicación |
| Rendimiento | Se requiere salto de red adicional | Llamadas directas en proceso |
| Integración del marco de trabajo | Integración de API HTTP | Integración de .NET nativa |
| Contenedorización | Diseñado para entornos en contenedores | Funciona con o sin contenedores |
Consulte Comparison con Microsoft. Identity.Web para obtener instrucciones detalladas sobre cómo elegir entre los dos enfoques.
Validación de tokens
El SDK de Microsoft Entra para ID de Agente valida los tokens de acceso y los tokens de ID emitidos por Microsoft Entra ID, verificando sus firmas contra las claves públicas de Microsoft Entra ID, comprobando los tiempos de expiración y asegurándose de que los tokens estén diseñados para su aplicación. Una vez validado, puede extraer reclamaciones, roles y alcances de usuario para tomar decisiones de autorización informadas dentro de la lógica de la aplicación.
Adquisición de tokens / creación de encabezados de autorización
- Flujo de On-Behalf-Of OAuth 2.0 - delegación del contexto del usuario a las API descendentes
- Credenciales de cliente : autenticación de aplicación a aplicación
- Managed Identity: autenticación del servicio Azure nativa
- Identidad del agente : patrones de agente autónomos o delegados
Llamadas API descendentes
- Adquiere y adjunta tokens automáticamente
- Invalidaciones de solicitud opcionales (ámbitos, método, encabezados)
- Compatibilidad con solicitudes HTTP firmadas (PoP/SHR)
Escenarios y tutoriales
Las siguientes guías son tutoriales detallados completos con ejemplos de código prácticos que muestran cómo integrar el SDK de Microsoft Entra para el id. de agente en las aplicaciones. Cada escenario proporciona ejemplos completos de solicitud/respuesta, fragmentos de código e patrones de implementación adaptados a diferentes lenguajes de programación y marcos.
| Scenario | Description |
|---|---|
| Validar encabezado de autorización | Extracción de afirmaciones de tokens de portador para el control de acceso y el software intermedio de autorización personalizado |
| Obtener encabezado de autorización | Adquisición de tokens para llamar a las API de bajada de forma segura |
| Llamada a la API descendente | Hacer llamadas HTTP a API protegidas con conexión automática de tokens para microservicios multilingües. |
| Uso de la identidad administrada | Autenticación como servicio de Azure para llamar a Microsoft Graph u otros servicios de Azure |
| Implementar flujo de OBO de larga duración | Gestionar el contexto del usuario a través de operaciones prolongadas con la actualización de tokens y la delegación en nombre de |
| Uso de solicitudes HTTP firmadas | Implementación de la seguridad de prueba de posesión con tokens poP |
| Procesamiento por lotes autónomo del agente | Procesamiento de trabajos por lotes con identidad de agente autónomo |
| Integración desde TypeScript | Uso del SDK de Microsoft Entra para el ID del agente en aplicaciones de Node.js / Express / NestJS |
| Integrar desde Python | Utilizar el SDK de Microsoft Entra para el ID de agente desde aplicaciones Flask/FastAPI/Django. |
Patrones de arquitectura
Un flujo típico en el que el cliente llama a una API web, la API delega las operaciones de identidad al SDK de Microsoft Entra para el identificador del agente a través de puntos de conexión HTTP. El SDK valida los tokens de entrada mediante el /Validate punto de conexión, adquiere tokens mediante /AuthorizationHeader y /AuthorizationHeaderUnauthenticatedy puede invocar directamente las API de bajada mediante /DownstreamApi y /DownstreamApiUnauthenticated.
Interactúa con Microsoft Entra ID para la emisión de tokens y la recuperación de metadatos de Open ID Connect, con la arquitectura que se muestra en el siguiente fragmento de código:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Soporte y recursos
Los siguientes recursos proporcionan instrucciones completas y ayudan a solucionar problemas y respuestas a preguntas comunes.
| Resource | Description |
|---|---|
| Identidades del agente | Más información sobre los patrones de agente autónomos y delegados para escenarios avanzados |
| Referencia de API | Documentación completa del punto de conexión con formatos de solicitud/respuesta, parámetros de consulta y códigos de error |
| Solución de problemas | Problemas comunes y soluciones paso a paso para problemas de implementación y tiempo de ejecución |
| Preguntas más frecuentes | Preguntas más frecuentes sobre los temas de configuración, seguridad e integración |
Para obtener ayuda adicional:
- Notificar problemas en el repositorio Microsoft-identity-web
- Consulte Microsoft Entra ID guías de solución de problemas