Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si crea un agente, Azure effettua automaticamente il provisioning delle risorse di identità. Questo articolo illustra cosa viene creato, perché esistono due identità e come vengono usati dai connettori.
Per informazioni su come l'agente ottiene le autorizzazioni per le risorse di Azure (i ruoli di controllo degli accessi in base al ruolo, i livelli di autorizzazione, flusso On-Behalf-Of, vedere Autorizzazioni dell'agente.
Cosa viene creato
Vengono create due identità gestite insieme all'agente.
| Identità | Che cos'è | Cosa fai con esso |
|---|---|---|
| Identità gestita assegnata dall'utente (UAMI) | Una risorsa di identità autonoma nel gruppo di risorse | Assegnare i ruoli di controllo degli accessi in base al ruolo e selezionarli durante la configurazione di connettori. Questa è l'identità che gestisci |
| Identità gestita assegnata dal sistema | Identità interna usata dall'infrastruttura dell'agente | Niente: questa identità viene gestita automaticamente e usata solo per le operazioni interne |
L'UAMI è l'identità con cui lavori. Appare nel gruppo di risorse, gli vengono assegnati ruoli RBAC e lo si seleziona durante la configurazione dei connettori.
Suggerimento
Quando viene visualizzato un elenco a discesa identità gestita nel portale (per connettori, repository o altre integrazioni), selezionare l'identità gestita assegnata dall'utente (UAMI) dell'agente. Si tratta dell'identità corrispondente alle assegnazioni di ruoli RBAC.
Dove viene usato l'UAMI dell'agente
L'UAMI dell'agente è l'identità primaria per la maggior parte delle operazioni.
| Operation | Identità | Note |
|---|---|---|
| Operazioni sulle risorse di Azure (Azure Resource Manager, interfaccia della riga di comando, diagnostica) | UAMI | I ruoli RBAC che assegni determinano a cosa può accedere l'agente |
| Connettori di comunicazione (Outlook, Teams) | UAMI + le credenziali OAuth | Accedi tramite OAuth; UAMI gestisce l'autenticazione per la risorsa del connettore. |
| Connettori dati (Esplora dati di Azure) | UAMI | Concedere le autorizzazioni UAMI nel cluster Kusto di destinazione |
| Connettori di codice sorgente (GitHub, Azure DevOps) | UAMI (per l'identità gestita di Azure DevOps) | Il connettore Azure DevOps usa UAMI; GitHub usa OAuth |
| Connettori MCP | Variabile | Specificare l'URL dell'endpoint e le credenziali; facoltativamente assegnare un'identità gestita per le chiamate downstream di Azure |
| Infrastruttura interna | UAMI | Usato automaticamente per le operazioni interne dell'agente |
| Archivio di chiavi | UAMI (preferito) o assegnato dal sistema | Esegue il fallback all'assegnazione del sistema se non viene specificato alcuna UAMI |
Come i connettori usano l'identità
Diversi tipi di connettori utilizzano l'identità in maniera diversa. La distinzione principale è se il connettore deve passare attraverso Azure Resource Manager (ARM) per raggiungere il servizio esterno.
Connettori di comunicazione (Outlook, Teams)
Quando si configura un connettore di comunicazione, si verificano due cose:
- Accedi con il tuo account tramite OAuth, che fornisce al connettore le tue credenziali utente.
- Selezionare un'UAMI dall'elenco a discesa identità usato dal connettore per eseguire l'autenticazione nella risorsa connettore.
Il connettore archivia il token OAuth in modo sicuro in una risorsa connettore. La risorsa connettore funge da ponte sicuro. La risorsa contiene le credenziali in modo che l'agente non debba accedervi direttamente. Usa l'UAMI per negoziare l'autenticazione quando l'agente invia un messaggio di posta elettronica o pubblica un messaggio di Teams per conto dell'utente.
Connettori dati (Esplora dati di Azure/Kusto)
Per i connettori Kusto, l'agente usa direttamente l'UAMI per autenticarsi nel cluster di Azure Data Explorer. Non è necessario alcun accesso OAuth. Concedere all'UAMI le autorizzazioni necessarie, ad esempio il ruolo Visualizzatore, sul cluster Kusto.
Connettori di codice sorgente (GitHub, Azure DevOps)
I connettori del codice sorgente usano metodi di autenticazione diversi a seconda della piattaforma.
- Azure DevOps: Usa l'UAMI per l'autenticazione delle identità gestite. Selezionare l'UAMI dall'elenco a discesa identità e concedere a essa l'accesso all'organizzazione Azure DevOps.
- Github: Usa l'autenticazione OAuth. Accedere usando l'account GitHub. Non è necessaria alcuna identità gestita per la connessione GitHub stessa.
Connettori MCP personalizzati
I connettori MCP usano l'autenticazione basata su endpoint. Specificare l'URL del server MCP insieme alle credenziali, ad esempio una chiave API, un token Bearer o OAuth. Facoltativamente, è possibile assegnare un'identità gestita per il server MCP da usare quando si effettuano chiamate API di Azure downstream.
Trovare l'UAMI dell'agente
È possibile individuare l'identità gestita assegnata dall'utente dal portale dell'agente, dal portale di Azure o dall'Azure CLI.
Dal portale dell'agente:
- Passare a Impostazioni di>Azure.
- Il nome dell'identità viene visualizzato nel campo Identità gestita .
- Selezionare Vai a Identità per aprirla nel Portale di Azure.
Dal portale di Azure:
- Vai al gruppo di risorse del tuo agente.
- Trovare la risorsa identità gestita
id-*. - Copiare l'ID oggetto (principale). Usare questo valore per le assegnazioni di ruoli RBAC.
Dall'interfaccia della riga di comando di Azure:
# List user-assigned identities on the agent resource
az resource show \
--resource-group <RESOURCE_GROUP_NAME> \
--name <AGENT_NAME> \
--resource-type Microsoft.App/containerApps \
--query identity.userAssignedIdentities
Passo successivo
Contenuti correlati
- Autorizzazioni agente: Scopri come configurare i ruoli RBAC e i livelli di autorizzazione per il tuo agente.
- Connettori: configurare i tipi di connettore e scoprire come estendono le funzionalità dell'agente.
- Ruoli utente e autorizzazioni: controllare chi può visualizzare, interagire e amministrare l'agente.