Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando você cria um agente, o Azure provisiona automaticamente recursos de identidade. Este artigo explica o que é criado, por que duas identidades existem e como os conectores as usam.
Para obter informações sobre como seu agente obtém permissões em recursos do Azure (funções RBAC, níveis de permissão, fluxo On-Behalf-Of), consulte Permissões do agente.
O que é criado
Duas identidades gerenciadas são criadas junto com seu agente.
| Identity | O que é | O que você faz com ele |
|---|---|---|
| Identidade gerenciada atribuída pelo usuário (UAMI) | Um recurso de identidade autônomo em seu grupo de recursos | Atribua funções RBAC, selecione-as ao configurar conectores. Essa é a identidade que você gerencia |
| Identidade gerenciada atribuída pelo sistema | Uma identidade interna usada pela infraestrutura do agente | Nada – essa identidade é gerenciada automaticamente e usada apenas para operações internas |
A UAMI é a identidade com a qual você trabalha. Ele aparece em seu grupo de recursos, você atribui funções RBAC a ele e você o seleciona ao configurar conectores.
Dica
Quando você vir um menu suspenso de identidade gerenciada no portal (para conectores, repositórios ou outras integrações), selecione a UAMI (identidade gerenciada atribuída pelo usuário) do seu agente. É a identidade que corresponde às suas atribuições de função RBAC.
Onde a UAMI do seu agente é usada
A UAMI do seu agente é a principal identidade para a maioria das operações.
| Operação | Identity | Observações |
|---|---|---|
| Operações de recursos do Azure (Azure Resource Manager, CLI, diagnóstico) | UAMI | As funções RBAC que você atribui determinam o que o agente pode acessar |
| Conectores de comunicação (Outlook, Teams) | UAMI + suas credenciais do OAuth | Você faz login via OAuth; a UAMI media a autenticação para o recurso do conector. |
| Conectores de dados (Azure Data Explorer) | UAMI | Conceder permissões para a UAMI no cluster Kusto de destino |
| Conectores de código-fonte (GitHub, Azure DevOps) | UAMI (para a identidade gerenciada do Azure DevOps) | O conector do Azure DevOps usa UAMI; O GitHub usa o OAuth |
| Conectores MCP | Variedade | Você fornece o URL do endpoint e as credenciais; opcionalmente, pode atribuir uma identidade gerenciada para chamadas downstream no Azure. |
| Infraestrutura interna | UAMI | Usado automaticamente para operações internas do agente |
| Cofre de chaves | UAMI (preferida) ou atribuída pelo sistema | Reverterá para a atribuição pelo sistema se nenhuma UAMI tiver sido especificada |
Como os conectores usam a identidade
Diferentes tipos de conector usam a identidade de forma diferente. A principal distinção é se o conector precisa passar pelo ARM (Azure Resource Manager) para alcançar o serviço externo.
Conectores de comunicação (Outlook, Teams)
Quando você configura um conector de comunicação, duas coisas acontecem:
- Entre com sua conta por meio do OAuth, que fornece ao conector suas credenciais de usuário.
- Você seleciona uma UAMI (identidade gerenciada atribuída pelo usuário) na lista suspensa de identidade, que o conector usa para autenticar no recurso do conector.
O conector armazena seu token OAuth com segurança em um recurso de conector. O recurso do conector atua como uma ponte segura. O recurso contém suas credenciais para que o agente não precise de acesso direto a elas. Ele usa o UAMI para gerenciar a autenticação quando o agente envia um email ou posta uma mensagem do Teams em seu nome.
Conectores de dados (Azure Data Explorer/Kusto)
Para conectores Kusto, o agente usa a UAMI (identidade gerenciada atribuída pelo usuário) diretamente para autenticar no cluster do Azure Data Explorer. Nenhum login OAuth é necessário. Conceda à UAMI as permissões necessárias, como a função Visualizador, no cluster Kusto.
Conectores de código-fonte (GitHub, Azure DevOps)
Os conectores de código-fonte usam métodos de autenticação diferentes dependendo da plataforma.
- Azure DevOps: Usa o UAMI para autenticação de identidade gerenciada. Selecione a UAMI na lista suspensa de identidade e conceda-lhe acesso à sua organização do Azure DevOps.
- Github: Usa a autenticação OAuth. Entre usando sua conta do GitHub. Nenhuma identidade gerenciada é necessária para a própria conexão do GitHub.
Conectores MCP personalizados
Conectores MCP usam autenticação em endpoints. Forneça a URL do servidor MCP juntamente com credenciais, como uma chave de API, um token de portador ou o OAuth. Opcionalmente, você pode atribuir uma identidade gerenciada para o servidor MCP usar ao fazer chamadas à API do Azure downstream.
Localize o UAMI do seu agente
Você pode localizar a identidade gerenciada atribuída ao usuário do agente no portal do agente, no portal do Azure ou na CLI do Azure.
No portal do agente:
- Vá para configurações> doAzure.
- O nome da identidade aparece no campo Identidade Gerenciada .
- Selecione Ir para Identidade para abri-lo no portal do Azure.
No portal do Azure:
- Vá para o grupo de recursos do agente.
- Localize o
id-*recurso de identidade gerenciada. - Copie a ID do objeto (principal). Utilize esse valor para atribuições de função RBAC.
Da CLI do Azure:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Próxima etapa
Conteúdo relacionado
- Permissões do agente: saiba como configurar funções RBAC e níveis de permissão para seu agente.
- Conectores: configure tipos de conector e saiba como eles estendem os recursos do agente.
- Funções e permissões do usuário: controlar quem pode exibir, interagir e administrar seu agente.