Nota del editor: Bienvenido al segundo tutorial práctico de «Comprender y prevenir los ataques a la identidad del agente Entra ID: una guía completa». Esta guía técnica, dividida en varias partes, te ayuda a comprender el enfoque de Microsoft respecto a las identidades de los agentes y cómo puedes protegerlas frente a los autores de amenazas. Para repasar los capítulos anteriores y las lecciones prácticas, empieza aquí.
En nuestro primer «Practice Checkpoint», has aprendido a configurar el ID de agente y a crear tu primer usuario de agente.
Ahora que ya existen los objetos principales, vamos a configurar el modelo de permisos tal y como aparece en las implementaciones reales: permisos directos exclusivos de la aplicación en la identidad del agente y permisos delegados concedidos a nivel de plantilla y marcados como heredables.
Este punto de control establece los datos exactos que posteriormente validaremos en los tokens a lo largo de los flujos de autenticación.
Asignar permisos a la identidad del agente
Para demostrar los permisos «directos» exclusivos de la aplicación a nivel de identidad del agente, asigna un rol de aplicación a <agent-identity-id> utilizando el mismo appRoleAssignments siguiendo el mismo patrón que antes.
En esta demostración, el appRoleId representa User.Read.All. Lo utilizaremos más adelante para autenticarnos con la identidad del agente y para mostrar la lista de usuarios.

Configurar permisos heredables
Configura los permisos heredables para que el agente pueda heredar los ámbitos delegados en los flujos delegados.
Paso 1: Conceder el permiso delegado
Crear un oauth2PermissionGrants registro que concede Group.Read.All al modelo de identidad del agente (flujo estándar de consentimiento delegado).

Paso 2: Márcalo como heredable
Llama al /applications/microsoft.graph.agentIdentityBlueprint /<agent identity blueprint id>/inheritablePermissions punto final e incluye el ID de la aplicación de Graph. Utiliza un ámbito enumerado para que la identidad del agente herede únicamente el Group.Read.All permisos.

En un escenario de autenticación delegada, veremos y utilizaremos esos permisos para mostrar los grupos de inquilinos. Si quieres que se hereden todos los permisos, solo tienes que configurar tipo a allAllowed en lugar de enumerated y elimina la propiedad «scopes».
Aunque no está documentado, es posible heredar permisos enumerados exclusivos de la aplicación. En lugar de ámbitos, utilizaremos appRoleIds, que requieren el GUID del rol de la aplicación. Por lo tanto, la solicitud tendrá este aspecto:

También puedes configurarlos ambos a la vez. Para actualizar los permisos heredables existentes, envía una solicitud «Patch» al recurso correspondiente que desees actualizar.
Parche: /applications/microsoft.graph.agentIdentityBlueprint//inheritablePermissions/
A continuación: Descubriremos cómo se autentifica y funciona tu identidad de agente en Entra ID.
Explora la guía
- Introducción: Cómo comprender y prevenir los ataques a la identidad de los agentes de Entra ID: una guía completa
- Capítulo 1: Conoce las identidades de los agentes de Entra ID (por cierto, no son personas)
- Capítulo 2: La taxonomía de las identidades de carga de trabajo en Entra ID: aplicaciones empresariales, entidades de servicio y otras formas de confusión organizada
- Capítulo 3: Introducción al ID de Microsoft Agent y a la plataforma de identidad de Agent
- Punto de control práctico 1: Creación de un identificador de agente con MS Graph
- Capítulo 4: Identidades de los agentes: análisis en profundidad del diseño
