Topik ini menjelaskan cara menggunakan Agent ID dalam IDaaS EIAM untuk mengelola identitas dan izin agen AI. Panduan ini mencakup visualisasi aset, isolasi izin antara manusia dan mesin, konfigurasi metode autentikasi, integrasi node client dan large language model (LLM), akses layanan perusahaan, serta FAQ.
Berlaku untuk
Anda telah membuat instans Enterprise IDaaS EIAM dan mengaktifkan fitur M2M dengan kuota aplikasi M2M minimal dua. Untuk petunjuknya, lihat Buat instans dan Upgrade instans.
Anda telah membuat sumber identitas perusahaan dengan minimal satu akun valid dalam daftar akun. Untuk petunjuknya, lihat Buat akun.
Daftarkan identitas agen
Buka Konsol IDaaS EIAM.
Pada panel navigasi di sebelah kiri, pilih Agent ID Guard.
Pada halaman Manajemen ID Agen, klik Register Agent Identity.
Sistem secara otomatis membuat diagram topologi konfigurasi identitas agen. Diagram ini mendukung node berikut:
Agent node: Mewakili entitas identitas agen. Konfigurasikan metode autentikasi dan izin di sini.
Client node: Memberikan otorisasi akses client dan mengontrol client mana yang dapat mengakses agen.
Downstream resources: Pilih dari node berikut sesuai kebutuhan.
Large Language Model (LLM) node: Membuat kredensial Kunci API untuk layanan Large Language Model.
Enterprise Service: Aplikasi internal perusahaan yang terintegrasi dengan IDaaS.
Third-Party Service node: Kredensial OAuth atau Kunci API untuk aplikasi pihak ketiga yang disediakan oleh penyedia layanan eksternal.
Diagram topologi mendukung hubungan otorisasi berikut antar node:
Outbound authorization: Menghubungkan node Agent ke node Large Language Model (LLM), Enterprise Service, atau Third-Party Service untuk menetapkan hubungan otorisasi arah keluar.
Inbound authorization: Menghubungkan node client ke node Agent untuk menetapkan otorisasi arah masuk.
Arahkan kursor ke node Agent: klik tombol + di sisi kiri node untuk menambahkan node Client node, atau klik tombol + di sisi kanan untuk menambahkan node Large Language Model (LLM), Enterprise Service, atau Third-Party Service.
Setiap Agen, Client, dan node Enterprise Service memerlukan satu otorisasi aplikasi M2M.
Konfigurasikan node Agent
Konfigurasikan metode autentikasi dan izin untuk node Agent.
Konfigurasi umum
Pada diagram topologi konfigurasi identitas agen, klik node Agent.
Pada panel General, lengkapi pengaturan berikut:
Agent ID: Dihasilkan secara otomatis oleh sistem. Anda tidak dapat mengubahnya.
Agent Name: Masukkan nama kustom untuk ditampilkan di konsol.
Authentication Type: Pilih salah satu dari dua metode berikut.
Client Secret Credential: Digunakan untuk autentikasi identitas sisi client saat agen mengakses IDaaS. Klik Add client_secret untuk membuat Client Secret Credential baru.
Certificates Credential: Klik Manually Add untuk menambahkan Public Key client. Agen menandatangani informasi autentikasi menggunakan kunci privatnya. IDaaS memverifikasi informasi agen menggunakan Public Key client.
Configure Audience Identifier: Dihasilkan secara otomatis oleh sistem. Anda hanya dapat mengubahnya selama konfigurasi pertama. Setelah dikonfigurasi, Anda tidak dapat mengubahnya.
Klik Next untuk masuk ke halaman Permission Configuration.
Konfigurasi izin
Konfigurasikan informasi izin:
Permission Name: Dihasilkan secara otomatis oleh sistem. Anda dapat mengubahnya.
Scope Value: Digunakan untuk mengidentifikasi izin ini secara unik. Sistem secara otomatis menghasilkan nilai default, yang dapat Anda ubah sesuai kebutuhan. Kami menyarankan Anda mempertahankan nilai default
agent.access.Authorization Method: Pilih metode otorisasi.
Auto-Authorize: Memberikan izin ini kepada semua pengguna yang dapat mengakses client. Pengguna tersebut mendapatkan akses ke agen.
Manually: Tetapkan izin ini secara individual kepada pengguna tertentu.
Jika Anda memilih Manually, klik Next. Anda kemudian akan diarahkan ke panel Konfigurasi Otorisasi, tempat Anda dapat memilih objek otorisasi:
User: Pilih satu akun pengguna.
Group: Pilih grup pengguna. Semua anggota dalam grup menerima izin tersebut.
Organization: Pilih organisasi. Semua anggota dalam organisasi menerima izin tersebut.
Selesaikan konfigurasi izin.
Konfigurasikan node client
Konfigurasikan informasi autentikasi client untuk akses client ke agen. Setelah dikonfigurasi, lihat aplikasi M2M client yang dibuat di halaman .
Tambahkan node client
Pada diagram topologi konfigurasi identitas agen, arahkan kursor ke node Agent. Klik tombol + di sisi kiri.
Pada menu tipe node, pilih Client.
Atau klik tombol Add Node pada halaman untuk menambahkan node Client.
Konfigurasikan aplikasi client
Klik node client yang baru.
Pada panel konfigurasi, pilih salah satu tindakan berikut:
Pilih aplikasi yang sudah ada: Pilih aplikasi OIDC (M2M) yang telah dibuat sebelumnya dari daftar aplikasi.
Buat aplikasi baru: Klik Create Client Application.
Buat aplikasi client
Klik Create Client Application.
Konfigurasikan informasi dasar aplikasi:
Application Name: Masukkan nama untuk aplikasi client.
Redirect URI: URL halaman login default. Pengguna akan diarahkan ke URL ini untuk verifikasi identitas, seperti memasukkan username dan password atau memilih penyedia identitas eksternal. Mendukung protokol HTTPS dan HTTP. Contoh:
https://example.aliyun.com/login.CatatanPerhatikan bahwa karakter # dan semua yang mengikutinya dalam URI tidak dikirim ke server. Untuk menyertakannya, gunakan %23 sebagai gantinya.
Authentication Type: Pilih metode autentikasi client.
Client Secret Credential: Digunakan oleh IDaaS untuk mengautentikasi agen. Konfigurasikan kredensial ini di sisi agen.
Certificates Credential: Tambahkan Public Key client. IDaaS menggunakan kunci publik ini untuk memverifikasi informasi agen.
Klik Next untuk membuka panel konfigurasi otorisasi. Pilih pengguna yang diizinkan menggunakan aplikasi client ini. Anda dapat memilih pengguna berdasarkan User, Group, atau Organization.
Selesaikan pembuatan aplikasi client.
Konfigurasikan inbound authorization
Inbound authorization menentukan cakupan izin yang dapat diminta oleh client.
Pada garis yang menghubungkan node client dan node Agent, klik Inbound Authorization.
Pada panel konfigurasi inbound authorization, klik Authorize.
Pada daftar izin, pilih izin yang akan diberikan. Izin yang tersedia berasal dari daftar izin yang dikonfigurasi di node Agent.
Konfigurasikan node large language model (LLM)
Konfigurasikan kredensial untuk large language models. Setelah kredensial LLM dihosting di IDaaS, agen mengambil kredensial yang diperlukan dari IDaaS.
Tambahkan node LLM
Pada diagram topologi konfigurasi identitas agen, arahkan kursor ke node Agent.
Klik tombol + di sisi kanan.
Pada menu tipe node, pilih Large Language Model (LLM).
Konfigurasikan kredensial LLM
Klik node Large Language Model (LLM) yang baru.
Pada panel konfigurasi, pilih salah satu tindakan berikut:
Pilih kredensial yang sudah ada. Buat kredensial terlebih dahulu di menu . Setelah dibuat, pilih di sini.
Tambahkan API key credential baru.
Tambahkan kredensial Kunci API
Klik Add API Key Credential.
Konfigurasikan informasi kredensial:
Credential Name: Ditampilkan di konsol.
Description: Deskripsi kredensial.
Business Type: Sistem mensyaratkan Large Language Model (LLM). Anda tidak dapat mengubahnya.
API key ID: Identifier untuk Kunci API LLM yang dihosting.
API Key: Kunci API yang dihosting.
Secure Storage: Default Encrypted Credential. Pengaturan ini tidak dapat dinonaktifkan.
Selesaikan penambahan kredensial Kunci API.
Konfigurasikan outbound authorization LLM
Otorisasi arah keluar LLM bersifat otomatis. Setelah autentikasi berhasil, sistem mengizinkan agen mengambil kredensial API LLM yang terkait.
Konfigurasikan node layanan perusahaan
Jika agen Anda perlu mengakses layanan perusahaan, buat node layanan perusahaan untuk mendapatkan token akses dari layanan tersebut. Setelah dikonfigurasi, lihat aplikasi M2M layanan perusahaan yang dibuat di halaman .
Setiap node layanan perusahaan merepresentasikan satu aplikasi internal perusahaan. Aplikasi ini harus mendukung kredensial akses yang dikeluarkan oleh IDaaS.
Konfigurasi umum
Pada diagram topologi konfigurasi identitas agen, klik node Enterprise Service.
Pada panel konfigurasi, pilih salah satu tindakan berikut:
Pilih layanan perusahaan yang sudah ada. Tambahkan aplikasi M2M di . Setelah ditambahkan, pilih di sini.
Tambahkan aplikasi layanan perusahaan baru.
Tambahkan aplikasi layanan perusahaan
Klik Add Enterprise Service Application.
Lengkapi informasi konfigurasi berikut:
Application Name: Masukkan nama untuk ditampilkan di konsol.
Configure Audience Identifier: Konfigurasikan identifier audience untuk aplikasi perusahaan. Anda tidak dapat mengubahnya setelah dikonfigurasi.
Klik Next.
Konfigurasi izin
Konfigurasikan informasi izin:
Permission Name: Masukkan nama tampilan untuk izin.
Scope Value: Mengidentifikasi izin ini secara unik. Sistem menghasilkan nilai default. Anda dapat mengubahnya sesuai kebutuhan.
Selesaikan konfigurasi.
Konfigurasikan outbound authorization layanan perusahaan
Otorisasi arah keluar menentukan cakupan izin untuk akses agen ke layanan perusahaan.
Pada garis yang menghubungkan node Agent dan node layanan perusahaan, klik Outbound Authorization.
Pada Panel Konfigurasi Outbound Authorization, klik Create Scope.
Pada daftar izin, pilih izin yang akan diberikan. Izin yang tersedia berasal dari daftar izin yang dikonfigurasi di node layanan perusahaan.
Selesaikan konfigurasi.
Konfigurasikan node layanan pihak ketiga
Tambahkan node layanan pihak ketiga
Pada diagram topologi konfigurasi identitas agen, arahkan kursor ke node Agent. Klik tombol + di sisi kiri.
Pada menu tipe node, pilih Third-Party Service.
Atau klik tombol Add Node pada halaman topologi untuk menambahkan node Third-Party Service.
Konfigurasikan kredensial layanan pihak ketiga
Pada diagram topologi konfigurasi identitas agen, klik node Third-Party Service.
Pada panel konfigurasi Third-Party Service, pilih salah satu tindakan berikut:
Pilih kredensial yang sudah ada. Buat kredensial terlebih dahulu di menu . Setelah dibuat, pilih di sini.
Tambahkan Third-Party Service baru.
Tambahkan kredensial layanan pihak ketiga
Klik Add API Key Credential.
Konfigurasikan informasi kredensial:
CatatanKredensial memiliki batas maksimum. Anda tidak dapat menambahkan lebih banyak kredensial setelah mencapai batas tersebut.
Credential Name: Ditampilkan di konsol.
Description: Deskripsi kredensial.
Business Type: Sistem mensyaratkan Third-Party Service. Anda tidak dapat mengubahnya.
API key ID: Identifier untuk Kunci API yang dihosting.
API Key: Kunci API yang dihosting.
Secure Storage: Default Encrypted Credential, yang tidak dapat dinonaktifkan.
Selesaikan penambahan kredensial Kunci API.
Operasi terkait
Setelah konfigurasi, Anda dapat melakukan operasi berikut:
Edit a node: Klik node dan ubah konfigurasinya di panel konfigurasi.
Delete a node: Klik ikon hapus di pojok kiri atas node.
Adjust authorization: Klik garis otorisasi untuk menambah atau menghapus item izin.
FAQ
Mengapa saya mendapatkan error tentang kuota otorisasi aplikasi M2M yang tidak mencukupi?
A: Setiap node Agent, node client, dan node layanan perusahaan mengonsumsi satu kuota otorisasi aplikasi M2M. Pastikan instans IDaaS Anda memiliki cukup otorisasi aplikasi M2M. Hubungi administrator Anda atau upgrade tipe instans jika Anda memerlukan kuota tambahan.
Apa perbedaan antara kredensial client secret dan kredensial kunci publik-privat?
A:
Client Secret Credential: Menggunakan client ID dan secret untuk autentikasi. Mudah dikonfigurasi.
Certificates Credential: Menggunakan enkripsi asimetris. Mendukung opsi manajemen kunci yang lebih aman, seperti KMS atau HSM. Menawarkan keamanan yang lebih tinggi.
Bagaimana cara mendapatkan Kunci API untuk large language model?
A: Masuk ke konsol penyedia layanan large language model, seperti Alibaba Cloud Model Studio atau OpenAI. Buka halaman manajemen Kunci API dan buat atau ambil Kunci API Anda.