Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du skapar en agent etablerar Azure automatiskt identitetsresurser. Den här artikeln förklarar vad som skapas, varför det finns två identiteter och hur anslutningsappar använder dem.
Information om hur din agent får behörigheter för Azure-resurser (RBAC-roller, behörighetsnivåer, ombudsfunktion) finns i Agentens behörigheter.
Vad som skapas
Två hanterade identiteter skapas bredvid din agent.
| Identitet | Vad det är | Vad du gör med det |
|---|---|---|
| Användartilldelad hanterad identitet (UAMI). | En fristående identitetsresurs i resursgruppen | Tilldela RBAC-roller och välj detta när du konfigurerar anslutningsverktyg. Det här är den identitet som du hanterar |
| Systemtilldelad hanterad identitet | En intern identitet som används av agentens infrastruktur | Ingenting – den här identiteten hanteras automatiskt och används endast för interna åtgärder |
UAMI är den digitala identitet du arbetar med. Den visas i din resursgrupp, du tilldelar den RBAC-roller och du väljer den när du konfigurerar kopplingar.
Tips/Råd
När du ser en listruta för hanterad identitet i portalen (för anslutningar, arkiv eller andra integrationer) väljer du din agents UAMI. Det är identiteten som matchar dina RBAC-rolltilldelningar.
Där agentens UAMI används
Din agents UAMI är den primära identiteten för de flesta operationer.
| Verksamhet | Identitet | Notes |
|---|---|---|
| Åtgärder för Azure-resurser (Azure Resource Manager, CLI, diagnostik) | UAMI | De RBAC-roller som du tilldelar avgör vad agenten kan komma åt |
| Anslutningar för kommunikation (Outlook, Teams) | UAMI + dina OAuth-autentiseringsuppgifter | Du loggar in via OAuth; UAMI hanterar autentisering för anslutningsresursen |
| Datakopplingar (Azure Data Explorer) | UAMI | Bevilja UAMI-behörigheter på målkustoklustret |
| Källkodskopplingar (GitHub, Azure DevOps) | UAMI (för Azure DevOps-hanterad identitet) | Azure DevOps-anslutningsappen använder UAMI; GitHub använder OAuth |
| MCP-kontakter | Varierar | Du anger slutpunkts-URL och autentiseringsuppgifter. om du vill tilldela en hanterad identitet för nedströms Azure-anrop |
| Intern infrastruktur | UAMI | Används automatiskt för agentens interna åtgärder |
| 密钥保管�� | UAMI (föredragen) eller systemtilldelad | Återgår till systemtilldelade värden om inget UAMI har angetts |
Så här använder anslutningsappar identitet
Olika anslutningstyper använder identitet på olika sätt. Den viktigaste skillnaden är om anslutningsappen behöver gå igenom Azure Resource Manager (ARM) för att nå den externa tjänsten.
Kommunikationsanslutningar (Outlook, Teams)
När du konfigurerar en kommunikationsanslutning sker två saker:
- Du loggar in med ditt konto via OAuth, vilket ger anslutningsappen dina användarautentiseringsuppgifter.
- Du väljer en UAMI i listrutan identitet, som anslutningsappen använder för att autentisera till anslutningsresursen.
Anslutningsappen lagrar din OAuth-token på ett säkert sätt i en anslutningsresurs. Anslutningsresursen fungerar som en säker brygga. Resursen innehåller dina autentiseringsuppgifter så att agenten inte behöver direkt åtkomst till dem. Den använder UAMI för att tillhandahålla autentiseringen när agenten skickar ett e-postmeddelande eller publicerar ett Teams-meddelande för din räkning.
Dataanslutningsprogram (Azure Data Explorer/Kusto)
För Kusto-kopplingar använder agenten UAMI direkt för att autentisera mot ditt kluster i Azure Data Explorer. Ingen OAuth-inloggning krävs. Ge UAMI de nödvändiga behörigheterna, till exempel Viewer-rollen, i Kusto-klustret.
Källkodsanslutningsprogram (GitHub, Azure DevOps)
Källkodsanslutningar använder olika autentiseringsmetoder beroende på plattform.
- Azure DevOps: Använder UAMI för hanterad identitetsautentisering. Välj UAMI i listrutan identitet och ge den åtkomst till din Azure DevOps-organisation.
- Github: Använder OAuth-autentisering. Logga in med ditt GitHub-konto. Ingen hanterad identitet krävs för själva GitHub-anslutningen.
Anpassade MCP-kontakter
MCP-anslutningsappar använder slutpunktsbaserad autentisering. Ange MCP-serverns URL tillsammans med autentiseringsuppgifter, till exempel en API-nyckel, ägartoken eller OAuth. Du kan också tilldela en hanterad identitet som MCP-servern ska använda när du gör nedströms Azure API-anrop.
Hitta agentens UAMI
Du kan hitta agentens användartilldelade hanterade identitet från agentportalen, Azure-portalen eller Azure CLI.
Från agentportalen:
- Gå till Inställningar Azure-inställningar>.
- Identitetsnamnet visas i fältet Hanterad identitet .
- Välj Gå till Identitet för att öppna den i Azure-portalen.
Från Azure Portal:
- Gå till agentens resursgrupp.
- Hitta den hanterade identitetsresursen
id-*. - Kopiera objekt-ID:t (huvudnamn). Använd det här värdet för RBAC-rolltilldelningar.
Från Azure CLI:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Nästa steg
Relaterat innehåll
- Agentbehörigheter: Lär dig hur du konfigurerar RBAC-roller och behörighetsnivåer för din agent.
- Anslutningsappar: Konfigurera anslutningstyper och lär dig hur de utökar agentens funktioner.
- Användarroller och behörigheter: Kontrollera vem som kan visa, interagera med och administrera din agent.