Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Controle como os seus agentes acessam ferramentas exteriores ao encaminhar o tráfego do Protocolo de Contexto do Modelo (MCP) através de um AI gateway no Microsoft Foundry. Um gateway de IA fornece um ponto de entrada único e governado onde pode aplicar autenticação, limites de taxa, restrições de IP e registo de auditoria sem modificar os seus servidores MCP ou o código do agente.
Esta funcionalidade está em pré-visualização. Apenas novas ferramentas MCP criadas no portal Foundry que não usam OAuth gerido são encaminhadas através de um gateway de IA.
Pré-requisitos
O gateway de IA deve estar ligado ao recurso Microsoft Foundry. Siga os passos em Configurar um gateway de IA nos seus recursos da Foundry.
A governação é ativada ao nível dos recursos do Microsoft Foundry. Toda a funcionalidade de governação depende desta ligação.
Precisas de permissões para gerir políticas de Gestão de APIs: o papel de Contribuidor ou Proprietário do Serviço de Gestão de Gestão de APIs na instância de Gestão de API conectada. Para mais informações, consulte Utilizar controlo de acesso baseado em funções para a Gestão de APIs.
O servidor MCP deve suportar um dos seguintes métodos de autenticação:
- Identidade gerida (Microsoft Entra)
- Baseado em chaves (chave API ou token)
- Passagem de identidade OAuth personalizada
- Não autenticado (se aplicável)
Principais benefícios
- Encaminhamento seguro para todas as novas ferramentas MCP através de um gateway de ponto final.
- Controlo de acesso consistente e aplicação da autenticação
- Observabilidade centralizada do tráfego do gateway (como registos e métricas)
- Políticas unificadas para controlo de fluxo, restrições de IP e encaminhamento
- Reutilização contínua de ferramentas através de catálogos públicos e privados
Governar uma ferramenta
As secções seguintes guiam-no como configurar um gateway de IA como ponto de entrada governado.
Adicionar uma ferramenta
Para adicionar uma ferramenta a ser governada, utilize qualquer um destes métodos no portal Foundry:
- Use o catálogo de ferramentas selecionando Catálogo de Ferramentas>. Depois escolhe um servidor MCP para adicionar.
- Adicione uma ferramenta personalizada selecionando Build>Tools>Custom>Model Context Protocol. Depois cola o endpoint do teu servidor MCP e seleciona um tipo de autenticação.
Depois de adicionar a ferramenta, verifique se o endpoint do servidor MCP na configuração da ferramenta mostra a URL do gateway de IA (por exemplo, https://<your-API-Management-instance>.azure-api.net/mcp/...) em vez da URL direta do servidor MCP.
Para mais informações sobre as ferramentas MCP, veja Como ligar aos servidores do Protocolo de Contexto do Modelo.
Confirmar o encaminhamento
Antes de aplicar políticas, confirme estas definições no portal Foundry:
- Endpoint remoto do servidor MCP: Verifique se aponta para o URL do gateway de IA, e não para o servidor MCP original.
- URL de redirecionamento: Se usar um passthrough de identidade OAuth personalizado, confirme que o URL de redirecionamento corresponde ao registo da sua aplicação OAuth.
- Método de autenticação: Confirme que o método (baseado em chaves ou OAuth) está alinhado com os requisitos do seu servidor MCP.
- Utilização de agentes: Observe quais os agentes que fazem referência a esta ferramenta para que possa testar após aplicar as políticas.
Aplicar políticas
No portal Azure, aceda ao seu recurso. Selecione Gestão de APIs para aplicar políticas de governação.
Deve aplicar políticas através do API Management do Azure. Políticas comuns incluem:
Limitação de taxa: Limite o número de chamadas que um projeto ou utilizador pode fazer num minuto.
<inbound> <base /> <rate-limit-by-key calls="60" renewal-period="60" counter-key="@(context.Request.IpAddress)" /> </inbound>Filtragem IP: Permitir pedidos apenas de redes de confiança.
<inbound> <base /> <ip-filter action="allow"> <address>10.0.0.0/24</address> <!-- internal network --> <address>20.50.123.45</address> <!-- trusted app --> </ip-filter> </inbound>ID de correlação: Adicione um ID de pedido único para que possa rastrear os pedidos mais tarde nos registos.
<inbound> <base /> <set-header name="X-Correlation-Id" exists-action="override"> <value>@(context.RequestId)</value> </set-header> </inbound>Remoção de cabeçalhos sensíveis: Limpar pedidos recebidos para ajudar a proteger credenciais ou dados de sessão.
<inbound> <base /> <set-header name="Cookie" exists-action="delete" /> <set-header name="Referer" exists-action="delete" /> </inbound>Importante
Evite eliminar cabeçalhos de autenticação (como
Authorization) a menos que tenha a certeza de que o servidor MCP não os exige.Controlo simples de roteamento: Se tiver backends diferentes (como para diferentes geografias), pode encaminhar pedidos com base num cabeçalho.
<inbound> <base /> <choose> <when condition="@(context.Request.Headers.GetValueOrDefault('X-Region','us') == 'eu')"> <set-backend-service base-url="https://europe-api.contoso-mcp.net" /> </when> <otherwise> <set-backend-service base-url="https://us-api.contoso-mcp.net" /> </otherwise> </choose> </inbound>
Para mais exemplos de XML de políticas, consulte o repositório de políticas de gestão API no GitHub.
Teste com um agente
Depois de configurar o seu servidor MCP, pode testá-lo no portal Foundry:
Abra o portal da Foundry e vá ao seu projeto.
Crie um novo agente ou abra um existente, e configure uma ferramenta MCP. Para mais detalhes, veja Conectar-se a servidores de protocolo de contexto de modelo.
Na interface de chat do agente, envie uma mensagem que acione a ferramenta (por exemplo, "Listar os meus repositórios" para o servidor MCP do GitHub). Verifique se a resposta foi retornada com sucesso.
Verifique se a governação está a funcionar
Use estes passos para confirmar que o tráfego é encaminhado através do gateway de IA e que as políticas são aplicadas:
No portal Foundry, abra a configuração da sua ferramenta MCP. Confirma que o endpoint da ferramenta aponta para o gateway de IA (não diretamente para o teu servidor MCP).
No portal Azure, abra a instância de Gestão de API ligada ao seu recurso Foundry. Revise métricas e registos para confirmar que os pedidos aparecem quando o seu agente liga à ferramenta.
Quando está a rever as métricas de Gestão de API:
- Procure pedidos cujo nome da instância de Gestão de API corresponda à sua ferramenta MCP.
- Verifique os códigos de resposta para chamadas bem-sucedidas (2xx) e chamadas bloqueadas por políticas (429 para limites de taxa, 403 para filtros IP).
- Se aplicou limite de taxa, verifique se o cabeçalho X-RateLimit-Remaining diminui a cada chamada.
- Para detalhes ao nível do log, ative Diagnostic settings na sua instância de API Management e consulte Azure Monitor Logs.
Considerações de segurança
- Trate chaves de API, tokens e segredos de clientes OAuth como informações confidenciais. Armazene credenciais partilhadas numa ligação ao projeto e limite o acesso ao projeto a utilizadores autorizados.
- Aplique o princípio do menor privilégio para identidade gerida e acesso Microsoft Entra.
- Revise quais os cabeçalhos que encaminha para os backends. Remova apenas os cabeçalhos que não precisa e evite remover os cabeçalhos de autenticação necessários.
Para opções de autenticação MCP, consulte Configurar autenticação para ferramentas do Protocolo de Contexto de Modelo (MCP) (pré-visualização).
Resolução de problemas
| Problema | Causa | Resolução |
|---|---|---|
| A ferramenta continua a chamar diretamente o servidor MCP. | A ferramenta foi criada antes do gateway de IA estar ligado ou a ferramenta não é elegível para o encaminhamento pelo gateway (por exemplo, utiliza OAuth gerido). | Recrie a ferramenta depois de o gateway de IA estar ligado. Confirma que a ferramenta é uma ferramenta MCP que não usa OAuth gerido. |
| As chamadas de ferramenta falham depois de adicionares políticas de Gestão de APIs. | Uma política bloqueia o tráfego (limites de taxa, filtragem IP) ou modifica cabeçalhos que o servidor MCP necessita. | Desative temporariamente as políticas para isolar a causa e depois aperfeiçoe as condições da política. Evite eliminar os cabeçalhos de autenticação obrigatórios. |
| O início de sessão OAuth falha na passagem de identidade OAuth personalizada. | URL de redirecionamento ou configuração da aplicação OAuth está incorreta. | Verifique novamente o URL de redirecionamento no registo da sua aplicação OAuth e confirme as definições necessárias do OAuth. Para opções e terminologia, consulte Configurar autenticação para ferramentas do Model Context Protocol (MCP) (pré-visualização). |
| Não encontras registos de pedidos no gateway de IA. | O gateway de IA não regista rastos de ferramentas. | Utilize os registos e métricas da Gestão de API para o tráfego do gateway. Utilize os registos do seu servidor MCP para obter detalhes específicos da ferramenta. |
Limitações
- Gateways de IA suportam apenas ferramentas MCP. Ferramentas baseadas em Foundry, como SharePoint, ferramentas MCP orientadas por código, ferramentas com OAuth gerido ou ferramentas OpenAPI não são suportadas.
- Gateways de IA não registam rastreios de ferramentas.
- O encaminhamento de gateway é aplicado apenas na criação da ferramenta. As ferramentas existentes não são automaticamente mediadas por gateways de IA.
- Os gateways de API suportam a aplicação de políticas de Gestão de APIs apenas no portal Azure, não no portal Foundry.
Para uma lista mais abrangente do suporte a ferramentas do Foundry Agent Service ao trabalhar com gateways, consulte Leve o seu próprio gateway de IA para o Azure AI Agent Service (versão prévia).