Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando crias um agente, o Azure fornece automaticamente recursos de identidade. Este artigo explica o que é criado, porque existem duas identidades e como os conectores as utilizam.
Para informações sobre como o seu agente obtém permissões nos recursos Azure (funções RBAC, níveis de permissões, fluxo em nome do agente), veja permissões do Agente.
O que é criado
São criadas duas identidades geridas juntamente com o seu agente.
| Identidade | O que é | O que fazes com ela |
|---|---|---|
| Identidade gerida atribuída pelo utilizador (UAMI). | Um recurso de identidade autónomo no seu grupo de recursos | Atribui funções RBAC, seleciona-as ao configurar os conectores. Esta é a identidade que geres |
| Identidade gerenciada atribuída ao sistema | Uma identidade interna usada pela infraestrutura do agente | Nada — esta identidade é gerida automaticamente e usada apenas para operações internas |
A UAMI é a identidade com a qual o utilizador trabalha. Aparece no teu grupo de recursos, atribuis-lhe papéis RBAC e selecionas-o ao configurar conectores.
Sugestão
Quando vir um menu suspenso de identidade gerida no portal (para conectores, repositórios ou outras integrações), selecione o UAMI do seu agente. É a identidade que corresponde às tuas atribuições de funções RBAC.
Onde é usado o UAMI do seu agente
O UAMI do seu agente é a identidade principal para a maioria das operações.
| Funcionamento | Identidade | Notes |
|---|---|---|
| Azure resource operations (Azure Resource Manager, CLI, diagnostics) | UAMI | Os papéis RBAC que atribuis determinam o que o agente pode aceder |
| Conectores de comunicação (Outlook, Teams) | UAMI + as tuas credenciais OAuth | Inicia sessão via OAuth; o UAMI intermedia a autenticação para o recurso do conector |
| Data connectors (Azure Data Explorer) | UAMI | Conceder permissões ao UAMI no cluster Kusto alvo |
| Conectores de código-fonte (GitHub, Azure DevOps) | UAMI (for Azure DevOps managed identity) | Azure DevOps conector usa UAMI; GitHub usa OAuth |
| Conectores MCP | Varia | Você fornece o URL e as credenciais do endpoint; opcionalmente, atribui uma identidade gerida para chamadas subsequentes no Azure. |
| Infraestrutura interna | UAMI | Usado automaticamente para as operações internas do agente |
| Cofre da Chave | UAMI (preferido) ou atribuído pelo sistema | Volta a ser atribuído pelo sistema se não for especificado nenhum UAMI |
Como os conectores usam a identidade
Diferentes tipos de conectores usam a identidade de forma diferente. A distinção chave é se o conector precisa de passar pelo Azure Resource Manager (ARM) para chegar ao serviço externo.
Conectores de comunicação (Outlook, Teams)
Quando configuras um conector de comunicação, acontecem duas coisas:
- Inicias sessão com a tua conta via OAuth, que dá ao conector as tuas credenciais de utilizador.
- Selecionas um UAMI no menu suspenso de identidade, que o conector usa para autenticar no recurso do conector.
O conector armazena o seu token OAuth de forma segura num recurso do conector. O recurso conector atua como uma ponte segura. O recurso guarda as tuas credenciais, por isso o agente não precisa de acesso direto a elas. Utiliza o UAMI para intermediar a autenticação quando o agente envia um email ou publica uma mensagem no Teams em teu nome.
Conectores de dados (Azure Data Explorer / Kusto)
Para conectores Kusto, o agente usa diretamente o UAMI para autenticar no seu cluster Azure Data Explorer. Não é necessário iniciar sessão OAuth. Conceda ao UAMI as permissões necessárias, como a função Visualizador, no cluster Kusto.
Conectores para código-fonte (GitHub, Azure DevOps)
Os conectores de código-fonte usam métodos de autenticação diferentes dependendo da plataforma.
- Azure DevOps: Utiliza o UAMI para autenticação de identidade gerida. Selecione o UAMI no menu suspenso de identidade e conceda-lhe acesso à sua organização Azure DevOps.
- GitHub: Usa autenticação OAuth. Inicie sessão usando a sua conta no GitHub. Não é necessária uma identidade gerida para a ligação ao GitHub em si.
Conectores MCP personalizados
Os conectores MCP utilizam autenticação baseada em endpoints. Forneça a URL do servidor MCP juntamente com credenciais, como uma chave API, token portador ou OAuth. Pode, opcionalmente, atribuir uma identidade gerida ao servidor MCP para usar ao fazer chamadas downstream da API Azure.
Encontre o UAMI do agente
Pode localizar a identidade gerida atribuída a um utilizador pelo agente no portal do agente, no portal do Azure ou na CLI do Azure.
Do portal do agente:
- Vá para Definições>Definições do Azure.
- O nome de identidade aparece no campo Identidade Gerida .
- Selecione Ir para a Identidade para abrir no portal do Azure.
No portal do Azure:
- Vai ao grupo de recursos do teu agente.
- Encontre o recurso de identidade gerida
id-*. - Copie o ID do Objeto (principal). Use este valor para atribuições de funções RBAC.
A partir de Azure CLI:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Próximo passo
Conteúdo relacionado
- Permissões de agente: Aprenda a configurar os papéis RBAC e os níveis de permissões para o seu agente.
- Conectores: Configure os tipos de conectores e aprenda como eles ampliam as capacidades do seu agente.
- Papéis e permissões do utilizador: Controle quem pode ver, interagir e administrar o seu agente.