Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra SDK för agent-ID är en containerbaserad webbtjänst som hanterar tokenförvärv, validering och säkra underordnade API-anrop. Den körs som en tillhörande container tillsammans med ditt program, så att du kan avlasta identitetslogik till en dedikerad tjänst. Genom att centralisera identitetsåtgärder i Microsoft Entra SDK för agent-ID eliminerar du behovet av att bädda in komplex tokenhanteringslogik i varje tjänst, vilket minskar kodduplicering och potentiella säkerhetsrisker.
Om du skapar med Kubernetes, containerbaserade tjänster med Docker eller moderna mikrotjänster på Azure ger Microsoft Entra SDK för agent-ID ett standardiserat sätt att hantera autentisering och auktorisering i molnbaserade program.
Vad är Microsoft Entra SDK för agent-ID?
Microsoft Entra SDK för agent-ID kommunicerar med ditt program via ett HTTP-API för autentisering och auktorisering, vilket ger konsekventa integrationsmönster oavsett din teknikstack. I stället för att bädda in identitetslogik direkt i programkoden hanterar Microsoft Entra SDK för agent-ID tokenhantering, validering och API-anrop via standard-HTTP-begäranden.
Den här metoden möjliggör arkitekturer för flerspråkiga mikrotjänster där olika tjänster kan skrivas i Python, Node.js, Go, Java och andra samtidigt som konsekventa autentiseringsmönster upprätthålls.
Den typiska arkitekturen är följande:
Client Application → Ditt webb-API → Microsoft Entra SDK för agent-ID → Microsoft Entra ID
De senaste containeravbildnings- och versionstaggar finns i ContainerAvbildning för att komma igång.
Security
Se till att din Microsoft Entra SDK för agent-ID-distribution följer metodtipsen för säker drift. SDK:n måste köras i en containerbaserad miljö med begränsad nätverksåtkomst för att förhindra obehörig åtkomst. Att exponera SDK-API:et offentligt kan leda till säkerhetsproblem, till exempel obehörigt tokenförvärv.
Se Metodtips för säkerhet för att säkerställa bästa praxis för säkerhetsrekommendationer för nätverk, autentiseringsuppgifter och körning.
Försiktighet
SDK-API:et får inte vara offentligt tillgängligt. Den bör endast kunna nås av program inom samma förtroendegräns (t.ex. samma podd eller virtuella nätverk) för att förhindra obehörigt tokenförvärv.
Snabbstart
För att komma igång med Microsoft Entra SDK för agent-ID rekommenderar vi följande steg:
- Välj din distribution – Välj Kubernetes, Docker eller AKS
- Konfigurera inställningar – Konfigurera miljövariabler
- Välj ett scenario – Följ ett guidat exempel
- Distribuera till produktion – Granska metodtips för säkerhet
Viktiga fördelar
Arkitekturen skiljer identitetsproblem från affärslogik, vilket ger följande fördelar:
| Förmån | Description |
|---|---|
| Stöd för flera språk | Anropa via HTTP från Python, Node.js, Go, Java och andra |
| Centraliserad säkerhetskonfiguration | En plats för identitetskonfiguration, tokenhantering och hantering av autentiseringsuppgifter |
| Container-native | Skapad för Kubernetes, Docker, AKS och andra moderna distributioner |
| Nulová dôvera (Zero Trust) klar | Integreras med hanterade identitets- och bevistoken för innehav – håller känsliga data borta från din applikationskod |
När du ska använda Microsoft Entra SDK för agent-ID eller Microsoft. Identity.Web
| Scenario | Använda Microsoft Entra SDK för agent-ID | Använd Microsoft. Identity.Web |
|---|---|---|
| Språkstöd | Flera språk (Python, Node.js, Go, Java osv.) | endast .NET |
| Distributionsmodell | Containrar (Kubernetes, Docker, AKS) | Alla distributionsmodeller |
| Identitetsmönster | Konsekventa mönster för alla tjänster | Djup .NET ramverksintegrering |
| Agentidentitet | Tillgänglig på alla språk som stöds | endast .NET |
| Tokenverifiering | Tillgänglig på alla språk som stöds | endast .NET |
| Säkerhetsmodell | Hemligheter och token som är isolerade från programkod | Integrerad med program |
| Föreställning | Ytterligare nätverkshopp krävs | Direktanrop inom processen |
| Ramverksintegrering | HTTP API-integrering | Inbyggd .NET-integrering |
| Containerisering | Utformad för containerbaserade miljöer | Fungerar med eller utan containrar |
Se Comparison med Microsoft. Identity.Web för detaljerad vägledning om hur du väljer mellan de två metoderna.
Tokenverifiering
Microsoft Entra SDK för agent-ID verifierar både åtkomsttoken och ID-token som utfärdats av Microsoft Entra ID, verifierar deras signaturer mot Microsoft Entra ID offentliga nycklar, kontrollerar förfallotiderna och ser till att token är avsedda för ditt program. När du har verifierat det kan du extrahera användaranspråk, roller och omfång för att fatta välgrundade auktoriseringsbeslut i din programlogik.
Tokenhantering/skapande av auktoriseringshuvud
- På Behalf-Of OAuth 2.0-flöde – Delegera användarkontext till vidarebefordrade API:er
- Klientautentiseringsuppgifter – Program-till-program-autentisering
- Hanterad identitet – Intern Azure tjänstautentisering
- Agentidentitet – Autonoma eller delegerade agentmönster
Underordnade API-anrop
- Hämta och bifoga token automatiskt
- Valfria åsidosättningar av begäran (omfång, metod, rubriker)
- Stöd för signerade HTTP-begäranden (PoP/SHR)
Scenarier och självstudier
Följande guider är omfattande stegvisa självstudier med praktiska kodexempel som visar hur du integrerar Microsoft Entra SDK för agent-ID i dina program. Varje scenario innehåller fullständiga exempel på begäran/svar, kodfragment och implementeringsmönster som är skräddarsydda för olika programmeringsspråk och ramverk.
| Scenario | Description |
|---|---|
| Verifiera auktoriseringshuvud | Extrahera anspråk från ägartoken för åtkomstkontroll och mellanprogram för anpassad auktorisering |
| Hämta auktoriseringshuvud | Hämta token för att anropa underordnade API:er på ett säkert sätt |
| Anropa nedströms-API | Göra HTTP-anrop till skyddade API:er med automatisk tokenbilaga för mikrotjänster på flera språk |
| Använd hanterad identitet | Autentisera som en Azure tjänst för att anropa Microsoft Graph eller andra Azure tjänster |
| Implementera långkörande OBO-flöde | Hantera användarkontext över längre operationer med tokenförnyelse och On-Behalf-Of-delegering |
| Använda signerade HTTP-begäranden | Implementera säkerhetsbevis för innehav med PoP-token |
| Agent autonom batchbearbetning | Bearbeta batchjobb med autonom agentidentitet |
| Integrera från TypeScript | Använd Microsoft Entra SDK för agent-ID från Node.js/Express/NestJS-program |
| Integrera från Python | Använda Microsoft Entra SDK för agent-ID från Flask/FastAPI/Django-program |
Arkitekturmönster
Ett typiskt flöde där klienten anropar ett webb-API, och API:et delegerar identitetsåtgärder till Microsoft Entra SDK för agent-ID via HTTP-slutpunkter. SDK:et validerar inkommande token med hjälp av /Validate slutpunkten, hämtar token med hjälp av /AuthorizationHeader och /AuthorizationHeaderUnauthenticated, och kan direkt anropa underordnade API:er med hjälp av /DownstreamApi och /DownstreamApiUnauthenticated.
Den interagerar med Microsoft Entra ID för tokenutfärding och hämtning av Open ID Connect-metadata, med arkitektur som visas i följande kodfragment:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Support och resurser
Följande resurser ger omfattande vägledning och hjälp med felsökningsproblem och svar på vanliga frågor.
| Resource | Description |
|---|---|
| Agentidentiteter | Lär dig mer om autonoma och delegerade agentmönster för avancerade scenarier |
| API-referens | Fullständig slutpunktsdokumentation med format för begäran/svar, frågeparametrar och felkoder |
| Felsökning | Vanliga problem och stegvisa lösningar för distributions- och körningsproblem |
| FAQ | Vanliga frågor och svar om konfigurations-, säkerhets- och integreringsämnen |
För ytterligare hjälp:
- Rapportera problem på lagringsplatsen Microsoft-identity-web
- Kontrollera felsökningsguiderna Microsoft Entra ID