Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El SDK de Microsoft Entra para AgentID es un servicio web contenedorizado que gestiona la adquisición, validación de tokens y las llamadas seguras a la API de downstream. Se ejecuta como un contenedor complementario junto con la aplicación, lo que le permite descargar la lógica de identidad en un servicio dedicado. Al centralizar las operaciones de identidad en el SDK de Microsoft Entra para AgentID, elimina la necesidad de insertar lógica compleja de administración de tokens en cada servicio, lo que reduce la duplicación de código y las posibles vulnerabilidades de seguridad.
Si va a compilar con Kubernetes, servicios en contenedores con Docker o microservicios modernos en Azure, el SDK de Microsoft Entra para AgentID proporciona una manera estandarizada de controlar la autenticación y la autorización en aplicaciones nativas de la nube.
¿Qué es microsoft Entra SDK para AgentID?
El SDK de Microsoft Entra para AgentID se comunica con la aplicación a través de una API HTTP para la autenticación y autorización, lo que proporciona patrones de integración coherentes independientemente de la pila de tecnología. En lugar de insertar la lógica de identidad directamente en el código de la aplicación, el SDK de Microsoft Entra para AgentID controla la administración de tokens, la validación y las llamadas API a través de solicitudes HTTP estándar.
Este enfoque permite arquitecturas de microservicios poliglot en las que se pueden escribir distintos servicios en Python, Node.js, Go, Java y otros, a la vez que se mantienen patrones de autenticación coherentes.
La arquitectura típica es la siguiente:
Aplicación cliente → Your Web API → Microsoft Entra SDK para AgentID → Microsoft Entra ID
Para ver las etiquetas de versión y imagen de contenedor más recientes, consulte La imagen de contenedor para empezar.
Nota:
El SDK de Microsoft Entra para AgentID está actualmente en versión preliminar. Compruebe las versiones de GitHub para ver las etiquetas disponibles más recientes.
Security
Asegúrese de que la implementación del SDK de Microsoft Entra para AgentID sigue los procedimientos recomendados para una operación segura. El SDK debe ejecutarse en un entorno en contenedores con acceso restringido a la red para evitar el acceso no autorizado. Exponer la API del SDK públicamente puede provocar vulnerabilidades de seguridad, como la adquisición de tokens no autorizada.
Consulte Mejores Prácticas de Seguridad para obtener recomendaciones sobre la seguridad de la red, las credenciales y en tiempo de ejecución.
Precaución
La API del SDK no debe ser accesible públicamente. Solo debe ser accesible por las aplicaciones dentro del mismo límite de confianza (por ejemplo, el mismo pod o red virtual) para evitar la adquisición de tokens no autorizados.
Quick Start
Para empezar a trabajar con Microsoft Entra SDK para AgentID, se recomiendan los pasos siguientes:
- Elección de la implementación : seleccione Kubernetes, Docker o AKS.
- Configuración de opciones : Configuración de variables de entorno
- Elegir un escenario : siga un ejemplo guiado
- Implementación en producción : revisión de los procedimientos recomendados de seguridad
Ventajas clave
La arquitectura separa los problemas de identidad de la lógica de negocios, lo que proporciona las siguientes ventajas:
| Ventajas | Description |
|---|---|
| Compatibilidad con varios idiomas | Llamada a través de HTTP desde Python, Node.js, Go, Java y otros |
| Configuración de seguridad centralizada | Un lugar para la configuración de identidad, la administración de tokens y la administración de credenciales |
| Contenedor nativo | Compilado para Kubernetes, Docker, AKS y otras implementaciones modernas |
| Preparado para Zero Trust | Se integra con la identidad administrada y los tokens de prueba de posesión, asegurando que los datos confidenciales permanezcan fuera del código de su aplicación. |
Cuándo usar el SDK de Microsoft Entra para AgentID o Microsoft.Identity.Web
| Scenario | Uso del SDK de Microsoft Entra para AgentID | Uso de Microsoft.Identity.Web |
|---|---|---|
| Compatibilidad con idiomas | Varios lenguajes (Python, Node.js, Go, Java, etc.) | Solo .NET |
| Modelo de implementación | Contenedores (Kubernetes, Docker, AKS) | Cualquier modelo de implementación |
| Patrones de identidad | Patrones coherentes en todos los servicios | Integración de .NET Framework en profundidad |
| Identidad del agente | Disponible en todos los idiomas admitidos | Solo .NET |
| Validación de tokens | Disponible en todos los idiomas admitidos | Solo .NET |
| Modelo de seguridad | Secretos y tokens aislados del código de aplicación | Integrado con la aplicación |
| Rendimiento | Se requiere salto de red adicional | Llamadas directas en proceso |
| Integración del marco de trabajo | Integración de API HTTP | Integración nativa de .NET |
| Contenedorización | Diseñado para entornos en contenedores | Funciona con o sin contenedores |
Consulte Comparación con Microsoft.Identity.Web para obtener instrucciones detalladas sobre cómo elegir entre los dos enfoques.
Validación de tokens
El SDK de Microsoft Entra para AgentID valida los tokens de acceso y los tokens de identificador emitidos por el identificador de Entra de Microsoft, comprobando sus firmas con las claves públicas de Microsoft Entra, comprobando los tiempos de expiración y asegurándose de que los tokens están diseñados para la aplicación. Una vez validado, puede extraer reclamaciones, roles y alcances de usuario para tomar decisiones de autorización informadas dentro de la lógica de la aplicación.
Creación de encabezado para obtención y autorización de tokens.
- Flujo de On-Behalf-Of OAuth 2.0 - delegación del contexto del usuario a las API descendentes
- Credenciales de cliente : autenticación de aplicación a aplicación
- Identidad administrada: autenticación de servicio de Azure nativa
- Identidad del agente : patrones de agente autónomos o delegados
Llamadas API descendentes
- Adquiere y adjunta tokens automáticamente
- Invalidaciones de solicitud opcionales (ámbitos, método, encabezados)
- Compatibilidad con solicitudes HTTP firmadas (PoP/SHR)
Escenarios y tutoriales
Las siguientes guías son tutoriales detallados completos con ejemplos de código prácticos que muestran cómo integrar Microsoft Entra SDK para AgentID en las aplicaciones. Cada escenario proporciona ejemplos completos de solicitud/respuesta, fragmentos de código e patrones de implementación adaptados a diferentes lenguajes de programación y marcos.
| Scenario | Description |
|---|---|
| Validar encabezado de autorización | Extracción de afirmaciones de tokens de portador para el control de acceso y el software intermedio de autorización personalizado |
| Obtener encabezado de autorización | Adquisición de tokens para llamar a las API de bajada de forma segura |
| Llamada a la API descendente | Hacer llamadas HTTP a API protegidas con conexión automática de tokens para microservicios multilingües. |
| Uso de la identidad administrada | Autenticación como servicio de Azure para llamar a Microsoft Graph u otros servicios de Azure |
| Implementar flujo de OBO de larga duración | Gestionar el contexto del usuario a través de operaciones prolongadas con la actualización de tokens y la delegación en nombre de |
| Uso de solicitudes HTTP firmadas | Implementación de la seguridad de prueba de posesión con tokens poP |
| Procesamiento por lotes autónomo del agente | Procesamiento de trabajos por lotes con identidad de agente autónomo |
| Integración desde TypeScript | Utilice el SDK de Microsoft Entra para AgentID desde aplicaciones Node.js, Express, NestJS |
| Integración desde Python | Utiliza el SDK de Microsoft Entra para AgentID desde aplicaciones Flask/FastAPI/Django |
Patrones de arquitectura
Un flujo típico en el que el cliente llama a una API web, la API delega las operaciones de identidad al SDK de Microsoft Entra para AgentID a través de puntos de conexión HTTP. El SDK valida los tokens de entrada mediante el /Validate punto de conexión, adquiere tokens mediante /AuthorizationHeader y /AuthorizationHeaderUnauthenticatedy puede invocar directamente las API de bajada mediante /DownstreamApi y /DownstreamApiUnauthenticated.
Interactúa con microsoft Entra ID para la emisión de tokens y la recuperación de metadatos de Open ID Connect, con la arquitectura que se muestra en el siguiente fragmento de código:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for AgentID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Soporte y recursos
Los siguientes recursos proporcionan instrucciones completas y ayudan a solucionar problemas y respuestas a preguntas comunes.
| Resource | Description |
|---|---|
| Identidades del agente | Más información sobre los patrones de agente autónomos y delegados para escenarios avanzados |
| Referencia de API | Documentación completa del punto de conexión con formatos de solicitud/respuesta, parámetros de consulta y códigos de error |
| Solución de problemas | Problemas comunes y soluciones paso a paso para problemas de implementación y tiempo de ejecución |
| Preguntas más frecuentes | Preguntas más frecuentes sobre los temas de configuración, seguridad e integración |
Para obtener ayuda adicional:
- Notificar problemas en el repositorio Microsoft-identity-web
- Consulte las guías de solución de problemas de Microsoft Entra ID