Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra SDK para Agent ID é um serviço web containerizado que gere a aquisição de tokens, validação e chamadas seguras de API downstream. Ele é executado como um contêiner complementar junto com seu aplicativo, permitindo que você descarregue a lógica de identidade para um serviço dedicado. Ao centralizar as operações de identidade no Microsoft Entra SDK para o ID do Agente, elimina a necessidade de incorporar lógica complexa de gestão de tokens em cada serviço, reduzindo a duplicação de código e potenciais vulnerabilidades de segurança.
Se estiver a construir com Kubernetes, serviços containerizados com Docker ou microserviços modernos no Azure, o SDK Microsoft Entra para Agent ID oferece uma forma padronizada de gerir autenticação e autorização em aplicações cloud-native.
O que é o Microsoft Entra SDK para ID de Agente?
O Microsoft Entra SDK para ID de Agente comunica com a sua aplicação através de uma API HTTP para autenticação e autorização, proporcionando padrões de integração consistentes independentemente da sua pilha tecnológica. Em vez de incorporar a lógica de identidade diretamente no código da sua aplicação, o Microsoft Entra SDK para Agent ID gere tokens, validação e chamadas API através de pedidos HTTP padrão.
Esta abordagem permite arquiteturas de microserviços poliglotas onde diferentes serviços podem ser escritos em Python, Node.js, Go, Java e outros, mantendo padrões de autenticação consistentes.
A arquitetura típica é a seguinte:
Para obter a imagem de contêiner e as tags de versão mais recentes, consulte a Imagem de contêiner para começar.
Segurança
Garanta que o seu SDK Microsoft Entra para implementação do Agent ID segue as melhores práticas para uma operação segura. O SDK deve ser executado em um ambiente conteinerizado com acesso restrito à rede, para impedir o acesso não autorizado. Expor a API do SDK publicamente pode levar a vulnerabilidades de segurança, como aquisição não autorizada de tokens.
Consulte as práticas recomendadas de segurança para garantir as práticas recomendadas para recomendações de segurança de rede, credenciais e tempo de execução.
Atenção
A API do SDK não deve ser acessível publicamente. Ele só deve ser acessível por aplicativos dentro do mesmo limite de confiança (por exemplo, mesmo pod ou rede virtual) para impedir a aquisição não autorizada de tokens.
Início rápido
Para começar com o Microsoft Entra SDK para Agent ID, recomendam-se os seguintes passos:
- Escolha sua implantação - Selecione Kubernetes, Docker ou AKS
- Definir configurações - Configurar variáveis de ambiente
- Escolha um cenário - Siga um exemplo guiado
- Implantar na produção - Revise as práticas recomendadas de segurança
Principais benefícios
A arquitetura separa as preocupações de identidade da lógica de negócios, fornecendo os seguintes benefícios:
| Benefício | Description |
|---|---|
| Suporte a vários idiomas | Ligue via HTTP a partir de Python, Node.js, Go, Java e outros |
| Configuração de segurança centralizada | Um só lugar para configuração de identidade, gerenciamento de token e gerenciamento de credenciais |
| Contêiner nativo | Construído para Kubernetes, Docker, AKS e outras implantações modernas |
| Confiança Zero Pronto | Integra-se com identidade gerenciada e tokens de prova de posse - mantendo dados confidenciais fora do código do seu aplicativo |
Quando usar o Microsoft Entra SDK para ID de Agente ou Microsoft. Identity.Web
| Scenario | Use Microsoft Entra SDK para o ID do Agente | Usa a Microsoft. Identity.Web |
|---|---|---|
| Suporte de idiomas | Várias línguas (Python, Node.js, Go, Java, etc.) | .NET apenas |
| Modelo de Implementação | Contentores (Kubernetes, Docker, AKS) | Qualquer modelo de implantação |
| Padrões de identidade | Padrões consistentes em todos os serviços | Integração profunda de frameworks .NET |
| Identidade do agente | Disponível em todos os idiomas suportados | .NET apenas |
| Validação de Token | Disponível em todos os idiomas suportados | .NET apenas |
| Modelo de Segurança | Segredos e tokens isolados do código da aplicação | Integrado com a aplicação |
| Desempenho | Salto de rede adicional necessário | Chamadas diretas em processo |
| Integração do Framework | Integração com API HTTP | Integração nativa .NET |
| Conteinerização | Projetado para ambientes em contêineres | Funciona com ou sem contentores |
Veja Comparação com Microsoft. Identity.Web para orientações detalhadas sobre a escolha entre as duas abordagens.
Validação de token
O Microsoft Entra SDK for Agent ID valida tanto os tokens de acesso como os tokens de ID emitidos pela Microsoft Entra ID, verificando as suas assinaturas contra as chaves públicas do Microsoft Entra ID, verificando os tempos de validade e garantindo que os tokens são destinados à sua aplicação. Depois de validado, você pode extrair declarações, funções e escopos do usuário para tomar decisões de autorização informadas dentro da lógica do aplicativo.
Aquisição de tokens / criação de cabeçalho de autorização
- Fluxo OAuth 2.0 On-Behalf-Of - Delegar contexto do utilizador a APIs a jusante
- Credenciais do cliente - Autenticação de aplicativo para aplicativo
- Managed Identity - Autenticação nativa de serviços Azure
- Identidade do agente - Padrões de agente autônomos ou delegados
Chamadas de API downstream
- Obtenha e anexe tokens automaticamente
- Substituições de solicitação opcionais (escopos, método, cabeçalhos)
- Suporte a solicitações HTTP assinadas (PoP/SHR)
Cenários e tutoriais
Os guias seguintes são tutoriais completos, passo a passo, com exemplos práticos de código que demonstram como integrar o Microsoft Entra SDK for Agent ID nas suas aplicações. Cada cenário fornece exemplos completos de solicitação/resposta, trechos de código e padrões de implementação adaptados para diferentes linguagens de programação e estruturas.
| Scenario | Description |
|---|---|
| Validar cabeçalho de autorização | Extraia declarações de tokens de portador para controle de acesso e middleware de autorização personalizado |
| Obter cabeçalho de autorização | Adquira tokens para chamar APIs downstream com segurança |
| Invocar a Downstream API | Faça chamadas HTTP para APIs protegidas com anexo de token automático para microsserviços multilíngües |
| Usar identidade gerenciada | Autenticate como um serviço Azure para chamar Microsoft Graph ou outros serviços do Azure |
| Implementar o fluxo OBO de Execução Prolongada | Manipule o contexto do utilizador em operações prolongadas com atualização de token e delegação em nome de. |
| Usar solicitações HTTP assinadas | Implemente a segurança de prova de posse com tokens PoP |
| Processamento em lote autónomo do agente | Processar trabalhos em lote com identidade de agente autônomo |
| Integrar a partir do TypeScript | Use o SDK Microsoft Entra para ID de Agente, a partir de aplicações em Node.js/Express/NestJS. |
| Integra a partir de Python | Use o Microsoft Entra SDK para ID de Agente das aplicações Flask/FastAPI/Django |
Padrões de arquitetura
Um fluxo típico em que o seu cliente chama uma Web API, a API delega as operações de identidade ao Microsoft Entra SDK para o Agent ID através de endpoints HTTP. O SDK valida tokens de entrada usando o /Validate ponto de extremidade, adquire tokens usando /AuthorizationHeader e /AuthorizationHeaderUnauthenticatede pode invocar diretamente APIs downstream usando /DownstreamApi e /DownstreamApiUnauthenticated.
Interage com o Microsoft Entra ID para emissão de tokens e recuperação de metadados Open ID Connect, com a arquitetura demonstrada no seguinte excerto:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Apoio e recursos
Os recursos a seguir fornecem orientação abrangente e ajuda com a solução de problemas e respostas a perguntas comuns.
| Resource | Description |
|---|---|
| Identidades do agente | Saiba mais sobre padrões de agentes autônomos e delegados para cenários avançados |
| Referência da API | Documentação completa do endpoint com formatos de solicitação/resposta, parâmetros de consulta e códigos de erro |
| Solução de problemas | Problemas comuns e soluções passo a passo para problemas de implantação e tempo de execução |
| Perguntas Frequentes | Perguntas frequentes sobre tópicos de configuração, segurança e integração |
Para obter ajuda adicional:
- Reporte problemas no repositório web Microsoft-identity
- Consulta Microsoft Entra ID guias de resolução de problemas