Agentidentiteiten maken in agentidentiteitsplatform

Nadat u een blauwdruk voor de agentidentiteit hebt gemaakt, bestaat de volgende stap uit het maken van een of meer agentidentiteiten die AI-agents in uw tenant vertegenwoordigen. Het maken van agentidentiteiten wordt doorgaans uitgevoerd bij het inrichten van een nieuwe AI-agent.

U kunt agentidentiteiten op twee manieren maken:

Microsoft Entra-beheercentrum — Gebruik de wizard van het beheercentrum voor snelle, individuele identiteitscreatie.
Microsoft Graph API — Bouw een webservice waarmee agentidentiteiten programmatisch worden gemaakt. Dit is handig voor geautomatiseerde inrichting op schaal.

Als u snel agentidentiteiten wilt maken voor testdoeleinden, kunt u overwegen om dit Microsoft Entra PowerShell-module te gebruiken voor het maken en gebruiken van agentidentiteiten.

Vereiste voorwaarden

Als u agentidentiteiten wilt maken, hebt u het volgende nodig:

Een blauwdruk voor agentidentiteit. Registreer het app-id van de blauwdruk voor de agentidentiteit tijdens het aanmaakproces.
Een webservice of toepassing (lokaal uitgevoerd of geïmplementeerd in Azure) die als host fungeert voor de logica voor het maken van de agentidentiteit. Deze vereiste is alleen van toepassing als u programmatisch agentidentiteiten maakt.

De Microsoft Entra-beheercentrum gebruiken

U kunt een agentidentiteit rechtstreeks in de Microsoft Entra-beheercentrum maken door een bestaande blauwdruk te selecteren en eigenaren en sponsors toe te wijzen.

Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Agents>Agent-identiteiten.
Selecteer De identiteit van de nieuwe agent (preview).
Op het tabblad Basisbeginselen :
- Selecteer onder Agent-blauwdruk een blauwdruk waaruit u uw agentidentiteit wilt maken.
- Voer een naam in het veld Naam van agent-id in en selecteer Volgende.
Voeg eventueel eigenaars en sponsors toe op het tabblad Eigenaren en Sponsors voor de identiteit:
- Selecteer het potloodpictogram naast het veld Eigenaren om gebruikers te wijzigen of toe te voegen die deze agentidentiteit kunnen beheren.
- Selecteer het potloodpictogram naast het veld Sponsors om gebruikers te wijzigen of toe te voegen die deze agentidentiteit kunnen sponsoren.
Opmerking

Sponsors kunnen gebruikers, dynamische lidmaatschapsgroepen of Microsoft 365 groepen zijn. Beveiligingsgroepen en roltoewijzingsgroepen worden niet ondersteund als sponsors.
Selecteer Volgende.
Controleer uw instellingen en selecteer Aanmaken.
Selecteer Gereed om de wizard af te sluiten of ga naar de agentidentiteit om de detailpagina van de identiteit weer te geven of configureer meer instellingen.

In de volgende stappen leert u hoe u agentidentiteiten programmatisch maakt met behulp van Microsoft Graph API en Microsoft. Identity.Web. Haal eerst een toegangstoken op en roep vervolgens de aanmaak-API aan.

Microsoft Graph API
Microsoft. Identity.Web

Een toegangstoken verkrijgen met behulp van de blauwdruk voor agentidentiteit

U gebruikt de blauwdruk voor agentidentiteit om iedere agentidentiteit te creëren. Een toegangstoken aanvragen vanuit Microsoft Entra met behulp van uw blauwdruk voor de agentidentiteit:

Wanneer u een beheerde identiteit als referentie gebruikt, moet u eerst een toegangstoken verkrijgen met behulp van uw beheerde identiteit. Tokens voor beheerde identiteiten kunnen worden aangevraagd vanaf een IP-adres dat lokaal wordt weergegeven in de rekenomgeving. Raadpleeg de documentatie voor beheerde identiteiten voor meer informatie.

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

Nadat u een token voor de beheerde identiteit hebt verkregen, vraagt u een token aan voor de blauwdruk voor de agentidentiteit:

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

Een client_secret parameter kan ook worden gebruikt in plaats van client_assertion en client_assertion_type, wanneer een clientgeheim wordt gebruikt in lokale ontwikkeling.

Microsoft.Identity.Web installeren:

dotnet add package Microsoft.Identity.Web

Microsoft. Identity.Web bevat een interface waarmee automatisch een toegangstoken wordt aangevraagd en gekoppeld aan uitgaande HTTP-aanvragen. Wanneer u Microsoft gebruikt. Identity.Web kunt u doorgaan naar de volgende stap.

Een agent-id maken

Met behulp van het toegangstoken dat u in de vorige stap hebt verkregen, kunt u nu agentidentiteiten in uw tenant maken. Het maken van een agentidentiteit kan optreden als reactie op veel verschillende gebeurtenissen of triggers, zoals een gebruiker die een knop selecteert om een nieuwe agent te maken. U wordt aangeraden één agentidentiteit te maken voor elke agent, maar u kunt een andere benadering kiezen op basis van uw behoeften.

Microsoft Graph API
Microsoft. Identity.Web

Neem altijd de OData-Version koptekst op wanneer u @odata.type gebruikt.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
	"displayName": "My Agent Identity",
	"agentIdentityBlueprintId": "<my-agent-blueprint-id>",
	"sponsors@odata.bind": [
		"https://graph.microsoft.com/v1.0/users/<id>",
		"https://graph.microsoft.com/v1.0/groups/<group-id>"
	],
}

Opmerking

Wanneer u een groep toewijst als sponsor, worden alleen ondersteunde groepstypen geaccepteerd. Groepen worden niet ondersteund als eigenaren.

Gebruik Microsoft. Identity.Web om de Microsoft Graph API aanvraag uit te voeren om een agentidentiteit te maken, voegt u het volgende MISE-configuratiebestand toe:

Waarschuwing

Cliëntgeheimen mogen niet worden gebruikt als klantreferenties in productieomgevingen voor blauwdrukken van agentidentiteit om beveiligingsrisico's te voorkomen. Gebruik in plaats daarvan veiligere verificatiemethoden, zoals federatieve identiteitsreferenties (FIC) met beheerde identiteiten of clientcertificaten. Deze methoden bieden verbeterde beveiliging door de noodzaak weg te nemen om gevoelige geheimen rechtstreeks in uw toepassingsconfiguratie op te slaan.

{
  "AzureAd": {
	"Instance": "https://login.microsoftonline.com/",
	"TenantId": "<my-test-tenant>",
	"ClientId": "<my-agent-blueprint-id>",
	"Scopes": "access_agent",
	"ClientCredentials": [
		{
			"SourceType": "ClientSecret",
			"ClientSecret": "your-client-secret"
		}
	]
  },

  "DownstreamApis": {
	"agent-identity": {
	  "BaseUrl": "https://graph.microsoft.com",
	  "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
	  "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
	  "RequestAppToken": true
	}
  }
}

De code voor de ASP.NET Core-app (Program.cs) is het volgende voorbeeld:

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
	.EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
				displayName = "My agent identity",
				agentIdentityBlueprintId = "<my-agent-blueprint-id>",
		  sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Een agent-id verwijderen

Wanneer de toewijzing van een agent ongedaan wordt gemaakt of vernietigd, moet uw service ook de bijbehorende agentidentiteit verwijderen:

Microsoft Graph API
Microsoft. Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-01