身份提供商管理
Agent Identity支持与兼容OIDC的身份提供商(Identity Provider,IdP)集成。Agent使用从用户IdP获取的JWT(JSON Web Token)令牌调用Agent Identity接口。Agent Identity服务根据配置的身份提供商信息校验入站的JWT令牌,校验通过后返回工作负载访问令牌(Workload Access Token),以允许Agent执行后续操作,例如获取目标资源的OAuth2访问令牌。
使用场景
满足以下任一场景时,建议配置身份提供商进行入站认证。
Agent需要与用户交互以提供功能,并代表用户身份调用MCP服务器或其他资源(例如阿里云OpenAPI)。
用户身份由兼容OIDC协议的身份提供商管理,例如阿里云、钉钉、微信、飞书、Entra ID、Okta、PingIdentity或企业内部的IdP。
前提条件
在身份提供商处创建OAuth2.0/OIDC应用,并获取以下信息,用于在Agent Identity中创建身份提供商:
OIDC元数据地址
允许的目标受众(Audience)
您可参考典型身份提供商设置教程了解常见身份提供商的具体配置步骤。
建议为管理身份提供商的RAM用户或角色分配
AliyunAgentIdentityFullAccess权限。
创建身份提供商
登录AgentIdentity控制台,在左侧导航栏选择。
在身份提供商列表页,单击创建身份提供商。
在创建身份提供商页面,配置以下信息:
身份提供商名称。
描述(可选):身份提供商的描述信息。
OIDC的元数据地址:从IdP处获取,格式通常为
https://<YOUR-IDP-FQDN>/.well-known/openid-configuration。允许的目标受众:从IdP签发的
id_token令牌中获取,通常为在IdP注册的OAuth/OIDC应用的应用ID。支持设置多个受众,多个值请换行输入。可进行如下设置:允许所有受众:Agent Identity不校验入站JWT令牌中的受众(
aud)字段。此设置存在安全风险,建议仅在测试环境使用。指定受众白名单。Agent Identity校验入站JWT令牌中的受众(
aud)字段。仅当aud字段值与白名单中的任一值匹配时,校验才能通过。
单击创建身份提供商。
如果提供的OIDC元数据地址无法通过公网访问,创建身份提供商时将报告Unreachable OAuth2 discovery错误。此时,请在浏览器中访问该元数据地址进行验证。如果无法访问,请联系IdP的管理员排查问题。
删除身份提供商
登录AgentIdentity控制台,在左侧导航栏选择。
在身份提供商列表页,单击目标身份提供商操作列的删除身份提供商。
在弹出的删除身份提供商对话框中,输入身份提供商名称,然后单击删除身份提供商。