Nota dell'editore: Benvenuti alla seconda esercitazione pratica della guida “Comprendere e prevenire gli attacchi all’identità degli agenti Entra ID: una guida completa”. Questa guida tecnica in più parti vi aiuta a comprendere l’approccio di Microsoft alle identità degli agenti e come proteggerle dagli autori delle minacce. Per rivedere i capitoli precedenti e le lezioni pratiche, iniziate da qui.
Nel nostro primo" Practice Checkpoint" hai imparato come generare l'ID agente e creare il tuo primo utente agente.
Ora che gli oggetti principali sono stati creati, configureremo il modello di autorizzazioni proprio come avviene nelle implementazioni reali: autorizzazioni dirette, limitate all’app, sull’identità dell’agente e autorizzazioni delegate concesse a livello di blueprint e contrassegnate come ereditabili.
Questo checkpoint definisce gli input esatti che verificheremo in seguito nei token durante i flussi di autenticazione.
Assegnare l'autorizzazione all'identità dell'agente
Per illustrare le autorizzazioni “dirette” riservate alle app a livello di identità dell’agente, assegnare un ruolo di app a <agent-identity-id> utilizzando lo stesso appRoleAssignments secondo lo schema di prima.
In questa demo, il appRoleId rappresenta User.Read.All. Lo useremo in seguito per l'autenticazione con l'identità dell'agente e per elencare gli utenti.

Configurare le autorizzazioni ereditabili
Configurare le autorizzazioni ereditabili in modo che l'agente possa ereditare gli ambiti delegati nei flussi delegati.
Fase 1: Concedere l'autorizzazione delegata
Crea un oauth2PermissionGrants registro delle concessioni Group.Read.All al modello di identità dell'agente (flusso standard di consenso delegato).

Fase 2: Contrassegnarlo come ereditabile
Chiama il /applications/microsoft.graph.agentIdentityBlueprint /<agent identity blueprint id>/inheritablePermissions endpoint e includere l'ID dell'app della risorsa di Graph. Utilizzare un ambito enumerato in modo che l'identità dell'agente erediti solo il Group.Read.All autorizzazioni.

In uno scenario di autenticazione delegata, vedremo e utilizzeremo tali autorizzazioni per elencare i gruppi di tenant. Se si desidera che tutte le autorizzazioni vengano ereditate, è sufficiente impostare tipo a allAllowed anziché enumerated e rimuovere la proprietà "scopes".
Sebbene non sia documentato, è possibile ereditare le autorizzazioni enumerate specifiche dell’app. Anziché gli ambiti, useremo appRoleIds, che richiedono il GUID del ruolo dell'app. La richiesta avrà quindi il seguente aspetto:

È anche possibile impostare entrambe contemporaneamente. Per aggiornare le autorizzazioni ereditabili esistenti, inviare una richiesta Patch alla risorsa pertinente che si desidera aggiornare.
Patch: /applications/microsoft.graph.agentIdentityBlueprint//inheritablePermissions/
Prossimo argomento: scopriremo come l'identità del tuo agente si autentica e funziona in Entra ID.
Scopri la guida
- Introduzione: Comprendere e prevenire gli attacchi all’identità degli agenti Entra ID: una guida completa
- Capitolo 1: Scopri le identità degli agenti di Entra ID (a proposito, non sono persone)
- Capitolo 2: La tassonomia delle identità dei carichi di lavoro in Entra ID: applicazioni aziendali, entità di servizio e altre forme di confusione organizzata
- Capitolo 3: Approfondimento sull’ID di Microsoft Agent e sulla piattaforma di identità degli agenti
- Punto di controllo 1 dell'esercitazione: Creazione dell'ID agente con MS Graph
- Capitolo 4: Identità degli agenti: approfondimento sul design
