Créer des identités d’agent dans la plateforme d’identités d’agent

Après avoir créé un blueprint d’identité d’agent, l’étape suivante consiste à créer une ou plusieurs identités d’agent qui représentent des agents IA dans votre tenant. La création d’identité de l’agent est généralement effectuée lors de l’approvisionnement d’un nouvel agent IA.

Vous pouvez créer des identités d’agent de deux façons :

centre d’administration Microsoft Entra : utilisez l’Assistant Centre d’administration pour créer rapidement des identités individuelles.
Microsoft API Graph : créez un service web qui crée des identités d’agent par programmation, ce qui est utile pour le provisionnement automatisé à grande échelle.

Si vous souhaitez créer rapidement des identités d’agent à des fins de test, envisagez d’utiliser ce module PowerShell Microsoft Entra pour créer et utiliser des identités d’agent.

Prerequisites

Pour créer des identités d’agent, vous avez besoin des éléments suivants :

Un plan directeur d’identité d'agent. Enregistrez l’ID de l’application modèle d’identité de l’agent lors du processus de création.
Un service web ou une application (exécuté localement ou déployé sur Azure) qui héberge la logique de création d’identité de l’agent. Cette condition préalable s’applique uniquement si vous créez des identités d’agent par programme.

Utiliser le centre d’administration Microsoft Entra

Vous pouvez créer une identité d’agent directement dans le centre d’administration Microsoft Entra en sélectionnant un blueprint existant et en affectant des propriétaires et des sponsors.

Connectez-vous au Centre d’administration Microsoft Entra.
Accédez à Entra ID>Agents>Identités d'agent.
Sélectionnez Nouvelle identité de l’agent (aperçu).
Sous l’onglet Informations de base :
- Sous Blueprint Agent, sélectionnez un blueprint à partir duquel créer votre identité d’agent.
- Entrez un nom dans le champ Nom de l’identité de l’agent , puis sélectionnez Suivant.
Sous l’onglet Propriétaires et sponsors, vous pouvez éventuellement ajouter des propriétaires et des sponsors pour l’identité :
- Sélectionnez l’icône de crayon en regard du champ Propriétaires pour modifier ou ajouter des utilisateurs qui peuvent gérer cette identité d’agent.
- Sélectionnez l’icône de crayon en regard du champ Sponsors pour modifier ou ajouter des utilisateurs qui peuvent parrainer cette identité d’agent.
Note

Les sponsors peuvent être des utilisateurs, des groupes d’appartenance dynamiques ou des groupes Microsoft 365. Les groupes de sécurité et les groupes assignables aux rôles ne sont pas pris en charge en tant que parrains.
Sélectionnez Suivant.
Passez en revue vos paramètres, puis sélectionnez Créer.
Sélectionnez Terminé pour quitter l’Assistant ou Accéder à l’identité de l’agent pour voir les détails de l'identité ou configurer des paramètres supplémentaires.

Dans les étapes suivantes, vous allez apprendre à créer des identités d'agent par programmation à l'aide de Microsoft API Graph et de Microsoft. Identity.Web. Obtenez d’abord un jeton d’accès, puis appelez l’API de création.

API Microsoft Graph
Microsoft. Identity.Web

Obtenir un jeton d’accès en utilisant le modèle d’identité de l’agent

Vous utilisez le modèle d'identité de l'agent pour créer chaque identité d'agent. Demandez un jeton d’accès à partir de Microsoft Entra à l’aide de votre blueprint d’identité d’agent :

Lorsque vous utilisez une identité managée comme informations d’identification, vous devez d’abord obtenir un jeton d’accès à l’aide de votre identité managée. Les jetons d’identité managée peuvent être demandés à partir d’une adresse IP exposée localement dans l’environnement de calcul. Pour plus d’informations consultez la documentation relative aux identités managées .

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

Après avoir obtenu un jeton pour l’identité managée, demandez un jeton pour le blueprint d’identité de l’agent :

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

Un client_secret paramètre peut également être utilisé au lieu de client_assertion et client_assertion_type, lorsqu’un secret client est utilisé dans le développement local.

Pour installer Microsoft. Identity.Web :

dotnet add package Microsoft.Identity.Web

Microsoft. Identity.Web inclut une interface qui demande automatiquement un jeton d’accès et l’attache aux requêtes HTTP sortantes. Lors de l’utilisation de Microsoft. Identity.Web, vous pouvez passer à l’étape suivante.

Créer une identité d’agent

À l’aide du jeton d’accès acquis à l’étape précédente, vous pouvez maintenant créer des identités d'agent dans votre tenant. La création d’identité de l’agent peut se produire en réponse à de nombreux événements ou déclencheurs différents, tels qu’un utilisateur sélectionnant un bouton pour créer un agent. Nous vous recommandons de créer une identité d’agent pour chaque agent, mais vous pouvez choisir une approche différente en fonction de vos besoins.

API Microsoft Graph
Microsoft. Identity.Web

Veillez à inclure toujours l’en-tête OData-Version lors de l’utilisation de @odata.type.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
	"displayName": "My Agent Identity",
	"agentIdentityBlueprintId": "<my-agent-blueprint-id>",
	"sponsors@odata.bind": [
		"https://graph.microsoft.com/v1.0/users/<id>",
		"https://graph.microsoft.com/v1.0/groups/<group-id>"
	],
}

Note

Lors de l’attribution d’un groupe en tant que sponsor, seuls les types de groupes pris en charge sont acceptés. Les groupes ne sont pas pris en charge en tant que propriétaires.

Pour utiliser Microsoft. Identity.Web pour exécuter la demande de Microsoft API Graph pour créer une identité d’agent, ajoutez le fichier de configuration MISE suivant :

Avertissement

Les secrets client ne doivent pas être utilisés comme informations d’identification client dans des environnements de production pour les blueprints d’identité de l’agent en raison des risques de sécurité. Utilisez plutôt des méthodes d’authentification plus sécurisées telles que les informations d’identification d’identité fédérée (FIC) avec des identités managées ou des certificats clients. Ces méthodes offrent une sécurité renforcée en éliminant la nécessité de stocker des secrets sensibles directement dans la configuration de votre application.

{
  "AzureAd": {
	"Instance": "https://login.microsoftonline.com/",
	"TenantId": "<my-test-tenant>",
	"ClientId": "<my-agent-blueprint-id>",
	"Scopes": "access_agent",
	"ClientCredentials": [
		{
			"SourceType": "ClientSecret",
			"ClientSecret": "your-client-secret"
		}
	]
  },

  "DownstreamApis": {
	"agent-identity": {
	  "BaseUrl": "https://graph.microsoft.com",
	  "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
	  "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
	  "RequestAppToken": true
	}
  }
}

Le code de l’application ASP.NET Core (Program.cs) est l’exemple suivant :

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
	.EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
				displayName = "My agent identity",
				agentIdentityBlueprintId = "<my-agent-blueprint-id>",
		  sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Supprimer une identité d’agent

Lorsqu’un agent est libéré ou détruit, votre service doit également supprimer l’identité de l’agent associée :

API Microsoft Graph
Microsoft. Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-01