Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il Microsoft Entra SDK per ID agente è un servizio Web containerizzato che gestisce l'acquisizione di token, la convalida e le chiamate API downstream protette. Viene eseguito come contenitore complementare insieme all'applicazione, consentendo di eseguire l'offload della logica di identità in un servizio dedicato. Centralizzando le operazioni di gestione delle identità nel Microsoft Entra SDK per l'ID agente, si elimina la necessità di incorporare una logica di gestione dei token complessa in ogni servizio, riducendo la duplicazione del codice e potenziali vulnerabilità di sicurezza.
Se si esegue la compilazione con Kubernetes, servizi in contenitori con Docker o microservizi moderni in Azure, l'SDK di Microsoft Entra per l'ID agente offre un modo standardizzato per gestire l'autenticazione e l'autorizzazione nelle applicazioni native del cloud.
Che cos'è Microsoft Entra SDK per l'ID agente?
L'SDK di Microsoft Entra per l'ID agente comunica con l'applicazione tramite un'API HTTP per l'autenticazione e l'autorizzazione, fornendo modelli di integrazione coerenti indipendentemente dallo stack di tecnologie. Invece di incorporare la logica dell'identità direttamente nel codice dell'applicazione, l'SDK di Microsoft Entra per l'ID agente gestisce le chiamate di token, convalida e API tramite richieste HTTP standard.
Questo approccio consente architetture di microservizi poliglotta in cui è possibile scrivere servizi diversi in Python, Node.js, Go, Java e altri, mantenendo al contempo modelli di autenticazione coerenti.This approach enables polyglot microservices architectures where different services can be written in Python, Node.js, Go, Java, and others while maintaining consistent authentication patterns.
L'architettura tipica è la seguente:
Applicazione client → API Web → Microsoft Entra SDK per l'ID agente → Microsoft Entra ID
Per i tag di versione e dell'immagine del contenitore più recenti, vedere l'immagine del contenitore per iniziare.
Security
Assicurarsi che l'SDK di Microsoft Entra per la distribuzione dell'ID agente segua le procedure consigliate per l'operazione sicura. L'SDK deve essere eseguito in un ambiente in contenitori con accesso di rete limitato per impedire l'accesso non autorizzato. L'esposizione pubblica dell'API SDK può causare vulnerabilità di sicurezza, ad esempio l'acquisizione di token non autorizzate.
Consultare Procedure consigliate per la sicurezza per garantire le procedure consigliate per le raccomandazioni sulla sicurezza di rete, credenziali e runtime.
Attenzione
L'API SDK non deve essere accessibile pubblicamente. Deve essere raggiungibile solo dalle applicazioni all'interno dello stesso limite di attendibilità (ad esempio, stessa rete pod o virtuale) per impedire l'acquisizione di token non autorizzati.
Avvio rapido
Per iniziare a usare Microsoft Entra SDK per l'ID agente, è consigliabile seguire questa procedura:
- Scegliere la distribuzione : selezionare Kubernetes, Docker o AKS
- Configurare le impostazioni - Configurare le variabili di ambiente
- Selezionare uno scenario : seguire un esempio guidato
- Eseguire la distribuzione nell'ambiente di produzione - Esaminare le procedure consigliate per la sicurezza
Vantaggi principali
L'architettura separa i problemi di identità dalla logica di business, offrendo i vantaggi seguenti:
| Beneficio | Description |
|---|---|
| Supporto per più lingue | Chiamare tramite HTTP da Python, Node.js, Go, Java e altri |
| Configurazione centralizzata della sicurezza | Una posizione per la configurazione delle identità, la gestione dei token e la gestione delle credenziali |
| Container Native | Costruito per Kubernetes, Docker, AKS e altre distribuzioni moderne |
| Zero Trust Ready | Si integra con i token di identità gestiti e di verifica del possesso, mantenendo i dati sensibili al di fuori del codice dell'applicazione |
Quando usare Microsoft Entra SDK per l'ID agente o Microsoft. Identity.Web
| Scenario | Usare Microsoft Entra SDK per l'ID agente | Usare Microsoft.Identity.Web |
|---|---|---|
| Supporto per la lingua | Più lingue (Python, Node.js, Go, Java e così via) | solo .NET |
| Modello di distribuzione | Contenitori (Kubernetes, Docker, AKS) | Qualsiasi modello di distribuzione |
| Modelli di identità | Modelli coerenti in tutti i servizi | Integrazione approfondita del framework .NET |
| Identità agente | Disponibile in tutte le lingue supportate | solo .NET |
| Convalida dei token | Disponibile in tutte le lingue supportate | solo .NET |
| Modello di sicurezza | Segreti e token isolati dal codice dell'applicazione | Integrazione con l'applicazione |
| Prestazioni | Hop di rete aggiuntivo necessario | Chiamate in-process dirette |
| Integrazione del framework | Integrazione dell'API HTTP | Integrazione .NET nativa |
| Containerizzazione | Progettato per ambienti in contenitori | Funziona con o senza contenitori |
Vedere Comparison con Microsoft. Identity.Web per indicazioni dettagliate sulla scelta tra i due approcci.
Convalida dei token
L'SDK di Microsoft Entra per l'ID agente convalida sia i token di accesso che i token ID rilasciati da Microsoft Entra ID, verificando le firme rispetto alle chiavi pubbliche di Microsoft Entra ID, controllando i tempi di scadenza e assicurandosi che i token siano destinati all'applicazione. Dopo la convalida, è possibile estrarre attestazioni, ruoli e ambiti utente per prendere decisioni informate sull'autorizzazione all'interno della logica dell'applicazione.
Creazione dell'intestazione di acquisizione/autorizzazione dei token
- Flusso on-Behalf-Of OAuth 2.0 - Delegare il contesto utente alle API downstream
- Credenziali del client - Autenticazione tra applicazioni
- Managed Identity - Autenticazione del servizio Azure nativa
- Identità agente - Modelli di agenti autonomi o delegati
Chiamate API downstream
- Acquisire e collegare automaticamente i token
- Override delle richieste facoltative (ambiti, metodo, intestazioni)
- Supporto di richieste HTTP firmate (PoP/SHR)
Scenari e esercitazioni
Le guide seguenti sono esercitazioni dettagliate complete con esempi di codice pratici che illustrano come integrare Microsoft Entra SDK per l'ID agente nelle applicazioni. Ogni scenario fornisce esempi completi di richiesta/risposta, frammenti di codice e modelli di implementazione personalizzati per linguaggi e framework di programmazione diversi.
| Scenario | Description |
|---|---|
| Convalida l'intestazione dell'autorizzazione | Estrarre le dichiarazioni dai token portatori per il controllo di accesso e il middleware di autorizzazione personalizzato |
| Ottenere l'intestazione di autorizzazione | Acquisire i token per chiamare le API downstream in modo sicuro |
| Chiamare l'API Downstream | Eseguire chiamate HTTP alle API protette con allegato automatico del token per i microservizi multilingue |
| Usare l'identità gestita | Eseguire l'autenticazione come servizio Azure per chiamare Microsoft Graph o altri servizi di Azure |
| Implementare il flusso OBO a lunga esecuzione | Gestire il contesto utente sulle operazioni estese con l'aggiornamento del token e la delega on-Behalf-Of |
| Usare le richieste HTTP firmate | Implementare la sicurezza verifica del possesso con token PoP (token di verifica) |
| Elaborazione batch autonoma dell'agente | Elaborare attività batch con l'identità di un agente autonomo |
| Integrazione da TypeScript | Usare l'SDK di Microsoft Entra per l'ID agente da applicazioni Node.js, Express o NestJS |
| Integrare da Python | Usare Microsoft Entra SDK per l'ID agente dalle applicazioni Flask/FastAPI/Django |
Modelli di architettura
Un flusso tipico in cui il client chiama un'API Web, l'API delega le operazioni di identità al Microsoft Entra SDK per l'ID agente tramite endpoint HTTP. L'SDK convalida i token in ingresso usando l'endpoint /Validate , acquisisce i token usando /AuthorizationHeader e /AuthorizationHeaderUnauthenticatede può richiamare direttamente le API downstream usando /DownstreamApi e /DownstreamApiUnauthenticated.
Interagisce con Microsoft Entra ID per il rilascio di token e il recupero dei metadati open ID Connect, con l'architettura illustrata nel frammento di codice seguente:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Supporto e risorse
Le risorse seguenti forniscono indicazioni complete e consentono di risolvere i problemi e le risposte alle domande comuni.
| Conto risorse | Description |
|---|---|
| Identità agenti | Informazioni sui modelli di agente autonomo e delegato per scenari avanzati |
| Informazioni di riferimento sulle API | Documentazione completa dell'endpoint con formati di richiesta/risposta, parametri di query e codici di errore |
| Risoluzione dei problemi | Problemi comuni e soluzioni dettagliate per problemi di distribuzione e runtime |
| Domande frequenti | Domande frequenti sulla configurazione, la sicurezza e l'integrazione |
Per altre informazioni:
- Segnalare i problemi relativi al repository Microsoft-identity-web
- Consulta le guide di risoluzione dei problemi di Microsoft Entra ID