本文介紹如何在 IDaaS EIAM 中使用 Agent ID 管理 AI Agent 身份與許可權,涵蓋資產可視化、人機許可權隔離、認證方式配置、用戶端與大模型節點接入,以及企業服務訪問與常見問題。
適用範圍
註冊Agent身份
進入 IDaaS EIAM 控制台。
在左側導覽列,選擇Agent 身份安全。
在 Agent ID 管理頁面,單擊注册Agent身份。
系統自動建立 Agent 身份配置拓撲圖,拓撲圖中支援以下節點:
Agent節點:Agent 身份主體,用於配置認證方式和許可權。
客户端節點:用戶端接入授權,用於對用戶端做准入許可權控制。
下遊資源:支援如下節點,根據需求選配。
大模型節點:建立大模型服務的 API Key 憑據。
企业服务節點:已經對接過 IDaaS 的企業內部應用。
三方服务節點:外部服務商提供的第三方應用的 OAuth 憑據或 API Key。
拓撲圖中支援如下節點間的授權關係:
出站授權:串連 Agent 節點與大模型、企业服务或三方服务節點,建立出站授權關係。
入站授權:串連用戶端節點與 Agent 節點,建立入站授權關係。
將滑鼠移至上方在 Agent 節點上,單擊節點左側的 + 按鈕可添加客户端節點,單擊右側 + 按鈕可添加大模型、企业服务或三方服务節點。
每個 Agent、客户端和企业服务節點都需佔用 1 個 M2M 應用授權。
配置Agent節點
Agent 節點用於配置 Agent 身份的認證方式和許可權。
通用配置
在Agent身份配置拓撲圖中,單擊 Agent 節點。
在Agent 通用配置配置面板,完成如下配置:
Agent ID:系統自動產生,不可修改。
Agent名称:可自訂,用於控制台顯示。
认证类型:選擇下面兩種方式中的一種即可。
Client Secret凭证:用於 Agent 訪問 IDaaS 的用戶端身份認證。單擊添加 client_secret可建立新的Client Secret凭证。
公私钥凭证:單擊手动添加可添加用戶端公钥。Agent 使用私密金鑰對認證資訊進行簽名,IDaaS 使用用戶端公钥驗證 Agent 側資訊。
配置受众标识:系統自動產生,首次配置時可修改,配置完成後不支援修改。
單擊下一步,進入权限配置頁面。
許可權配置
配置許可權資訊:
权限名称:系統自動產生,可修改。
权限标识:用於唯一標識該許可權。系統已自動產生一個預設值,可以根據需求進行修改。建議保持預設的
agent.access。授权方式:選擇授權方式。
自动授权:會為所有能訪問該用戶端的人員自動授予許可權,這些人員將獲得訪問 Agent 的許可權。
手动授权:需逐一為希望具有該許可權的特定人員手動分配許可權。
如果選擇手动授权,單擊下一步後,進入授權配置面板,選擇授權對象:
账户:選擇單個使用者賬戶。
组:選擇使用者組,組內所有成員將獲得許可權。
组织机构:選擇組織機構,機構下所有成員將獲得許可權。
完成許可權配置。
配置用戶端節點
用戶端節點用於配置用戶端接入 Agent 時的認證資訊。配置完成後可在 介面中查看到建立的用戶端 M2M 應用。
添加用戶端節點
在Agent身份配置拓撲圖中,將滑鼠移至上方在 Agent 節點上,單擊節點左側的 + 按鈕。
在彈出的節點類型菜單中,選擇客户端。
或者從頁面中的添加节点按鈕處添加客户端節點。
配置用戶端應用
單擊建立的用戶端節點。
在配置面板中,可選擇以下操作:
選擇已有應用:在應用列表中選擇已建立的 OIDC(M2M) 應用。
建立新應用:單擊新建客户端应用。
建立用戶端應用
單擊新建客户端应用。
配置應用基本資料:
应用名称:輸入用戶端應用的名稱。
Redirect URI:系統預設的登入頁面地址,使用者登入時將重新導向至該 URL 進行身分識別驗證(如輸入帳號密碼、選擇外部身份供應商)。支援HTTPS和HTTP協議,如
https://example.aliyun.com/login。說明請注意 URI 地址中的 # 及其後面內容不會被發送到伺服器,如需包含,請改用 %23。
认证类型:選擇用戶端認證方式。
Client Secret凭证:用於 IDaaS 對 Agent 的認證,Agent 側需配置該憑證。
公私钥凭证:添加用戶端公钥,IDaaS 使用該公開金鑰驗證 Agent 側資訊。
單擊下一步,進入授權配置面板。選擇允許使用該用戶端應用的使用者範圍,支援按账户、组或组织机构進行批量選擇。
完成用戶端應用建立。
配置入站授權
入站授權用於定義用戶端可以請求的許可權範圍。
在用戶端節點和 Agent 節點之間的連線上,單擊入站授權。
在入站授權配置面板,單擊添加授权。
在許可權列表中,勾選需要授權的許可權項。可選許可權來自 Agent 節點中配置的許可權列表。
配置大模型節點
大模型節點用於配置大模型的憑據資訊。將大模型憑據資訊託管至 IDaaS 後,Agent 通過 IDaaS 擷取所需憑據。
添加大模型節點
在Agent身份配置拓撲圖中,將滑鼠移至上方在Agent節點上。
單擊節點右側的“+”按鈕。
在彈出的節點類型菜單中,選擇大模型。
配置大模型憑據
單擊建立的大模型節點。
在配置面板中,可選擇以下操作:
選擇已有的憑據。可提前在菜單中建立,建立完成後可在此處選擇。
添加新的 API Key 憑據。
添加新的 API Key 憑據
單擊添加API Key凭据。
配置憑據資訊:
凭据名称:用於控制台顯示。
描述:憑據的描述資訊。
业务类型:系統強制選擇大模型,不可修改。
API Key标识:託管的大模型 API Key 標識。
API Key值:託管的 API Key。
安全存储:默认加密凭据,不支援取消。
完成 API Key 憑據添加。
配置大模型出站授權
大模型節點出站授權無需手工配置,系統自動允許認證通過的 Agent 擷取關聯的大模型API憑據。
配置企業服務節點
如 Agent 需訪問企業服務,可建立企業服務節點,用於從企業服務中擷取 Access Token。配置完成後可在 介面中查看到建立的企業服務 M2M 應用。
一個企業服務節點代表一個企業內部應用,該企業內部應用需支援 IDaaS 簽發的訪問憑證。
通用配置
在Agent身份配置拓撲圖中,單擊企业服务節點。
在配置面板中,可選擇以下操作:
選擇已有企業服務。可在中添加 M2M 應用,添加完成後即可在此處選擇。
添加新的企業服務應用。
添加企業服務應用
單擊添加企业服务应用.
完成以下配置資訊:
应用名称:填寫應用程式名稱,用於控制台展示。
配置受众标识:配置公司專屬應用程式的受眾標識,配置後不可修改。
單擊下一步。
許可權配置
配置許可權資訊:
权限名称:輸入許可權的顯示名稱。
权限标识:許可權標識用於唯一標識該許可權。系統已自動產生一個預設值,可以根據需求進行修改。
完成配置。
配置企業服務出站授權
出站授權用於定義Agent訪問企業服務時的許可權範圍。
在Agent節點和企業服務節點之間的連線上,單擊出站授權。
在出站授權配置面板,單擊添加权限。
在許可權列表中,勾選需要授權的許可權項。可選許可權來自企業服務節點中配置的許可權列表。
完成配置。
配置三方服務節點
添加三方服務節點
在Agent身份配置拓撲圖中,將滑鼠移至上方在 Agent 節點上,單擊節點左側的 + 按鈕。
在彈出的節點類型菜單中,選擇三方服务。
或者從拓撲頁面中的添加节点按鈕處添加三方服务節點。
配置三方服務憑據
在Agent身份配置拓撲圖中,單擊三方服务節點。
在三方服务配置面板中可選擇一下任一操作:
選擇已有憑據。可提前在菜單中建立,建立完成後可在此處選擇。
添加新的三方服务。
添加新的三方服務憑據
單擊添加API Key凭据。
配置憑據資訊:
說明憑據數量存在上限。超過上限後,無法新增憑據。
凭据名称:用於控制台顯示。
描述:憑據的描述資訊。
业务类型:系統強制選擇三方服务,不可修改。
API Key标识:託管的 API Key 標識。
API Key值:託管的 API Key。
安全存储:默认加密凭据,不支援取消。
完成 API Key 憑據添加。
相關操作
配置完成後,您還可以執行以下操作:
編輯節點:單擊節點,在配置面板中修改相關配置。
刪除節點:單擊節點左上方刪除表徵圖。
調整授權:單擊授權連線,添加或移除許可權項。
常見問題
為什麼提示M2M應用授權額度不足?
A:Agent節點、用戶端節點和企業服務節點均需要佔用M2M應用授權額度。請確認您的 IDaaS 執行個體已開通足夠的 M2M 應用授權,如需增加額度,請聯絡管理員或升級執行個體規格。
用戶端憑證和公私密金鑰憑證有什麼區別?
A:
Client Secret凭证:使用用戶端ID和密鑰進行認證,配置簡單。
公私钥凭证:使用非對稱式加密演算法,可以選擇更安全的密鑰管理方式,比如 KMS/HSM 等,安全性更高。
如何擷取大模型的API Key?
A:請登入對應的大模型服務提供者控制台(如阿里雲百鍊、OpenAI等),在API密鑰管理頁面建立並擷取API Key。