Microsoft Entra Agent ID 이해하기

Source: Dev.to

Introduction

에이전트가 의사결정을 더 잘 수행하게 되면서, 적절한 거버넌스, 보안 및 책임성을 보장하기 위해 자체 아이덴티티가 필요합니다. AI 에이전트는 이미 다양한 워크플로에서 사용되고 있습니다(아마 직접 배포해 보셨을 수도 있겠죠!). 그러나 에이전트가 점점 더 능력 있어지고 자율적인 결정을 내리게 되면 다음과 같은 여러 우려와 과제가 발생합니다:

• 에이전트를 어떻게 인증하고 권한을 부여할 것인가?
• 에이전트를 어떻게 관리할 것인가?
• 아마도 가장 중요한 점은, 에이전트를 인간과 어떻게 구분할 것인가?!

Microsoft Entra Agent ID는 아이덴티티 기능을 에이전트에 확장하여 개발자가 에이전트 아이덴티티를 구축, 관리 및 보호할 수 있도록 돕습니다. 이 문서에서는 Entra Agent ID가 접근 정책 제어, 아이덴티티 보호 등과 같은 보안 기능을 에이전트에 제공하는 방식을 살펴보겠습니다.

Core Concepts

Agent Identity

에이전트 ID는 AI 에이전트가 다양한 시스템에 인증할 때 사용하는 기본 계정입니다. 여기에는 인증 및 인가에 사용할 수 있는 객체 ID와 앱 ID가 있습니다. 에이전트 ID는 Entra ID의 특수 서비스 프린시플입니다.

• 비밀번호 없음 – 에이전트 ID는 실행 중인 서비스 또는 플랫폼에 발급된 액세스 토큰을 제시함으로써 인증합니다.
• 토큰 기능 – 에이전트는 다음을 수행할 수 있습니다:
  1. Entra ID에서 에이전트 토큰을 요청합니다(토큰의 subject).
  2. Entra ID가 발급한 인바운드 액세스 토큰을 수신합니다(토큰의 audience).
  3. 인증된 사용자를 대신하여 Entra ID에서 사용자 토큰을 요청합니다(토큰의 subject는 사용자이며, actor는 에이전트 ID).

Key Components

Agent Identity Blueprints

에이전트 ID 블루프린트는 여러 에이전트 ID를 생성하고 관리하기 위해 사용되는 템플릿 및 관리 구조입니다. 블루프린트는 에이전트 ID의 부모 역할을 하며, Microsoft Entra 테넌트 내 모든 에이전트 ID는 블루프린트에서 생성됩니다.

조직에서는 서로 다른 목표를 추구하고 서로 다른 수준의 접근 권한이 필요한 많은 AI 에이전트 인스턴스를 배포할 수 있습니다. 블루프린트는 공통 특성을 캡처하여 블루프린트에서 생성된 모든 ID가 일관된 구성을 상속하도록 합니다.

What a Blueprint Contains

• OAuth 클라이언트 ID와 자격 증명 – 블루프린트가 Entra ID에서 액세스 토큰을 요청하는 데 사용됩니다.
• Microsoft Graph 권한 AgentIdentity.CreateAsManager – 블루프린트가 테넌트에서 에이전트 ID를 생성하도록 허용합니다.
• 논리적 컨테이너 – 관리자는 블루프린트에 정책 및 설정을 적용할 수 있으며, 이러한 설정은 해당 블루프린트에서 파생된 모든 에이전트 ID에 자동으로 적용됩니다.

Blueprint Principals

블루프린트가 테넌트에 추가되면 Entra는 블루프린트 프린시플 객체를 생성합니다. 이 프린시플은 두 가지 중요한 역할을 합니다:

1. 토큰 발급 – 블루프린트가 토큰을 획득하면 토큰의 oid(객체 ID) 클레임이 블루프린트 프린시플을 참조합니다.
2. 정책 적용 – 프린시플에 적용된 정책이 블루프린트에서 생성된 모든 에이전트 ID에 하위로 전파됩니다.

요약

• Agent identities는 AI 에이전트에게 Entra ID에서 일급 신원을 부여하여 비밀번호 없이도 안전한 인증을 가능하게 합니다.
• Blueprints는 재사용 가능하고 정책 기반의 방식을 제공하여 다수의 에이전트를 생성 및 관리하면서 거버넌스와 책임성을 유지합니다.
• Entra Agent ID를 활용함으로써 조직은 강력한 보안, 감사 가능성 및 인간과 기계 행위자 간의 명확한 구분을 유지하면서 AI 기반 자동화를 자신 있게 확장할 수 있습니다.

에이전트 아이덴티티 청사진 추적성

에이전트 아이덴티티 청사진은 테넌트 내의 주 객체에 추적 가능합니다.

감사 로깅은 에이전트 아이덴티티 청사진에 의해 수행된 작업을 주체가 실행한 것으로 감사 로그에 기록합니다. 이는 청사진이 수행한 작업에 대한 책임성과 추적성을 제공합니다.

에이전트 사용자

에이전트 사용자는 AI 에이전트가 다양한 시스템에 인증하기 위해 사용하는 보조 계정입니다. 이러한 계정은 에이전트가 사용자 객체가 필요한 시스템과 상호 작용해야 할 때 필요하며, 본질적으로 디지털 작업자 역할을 합니다.

• 에이전트 사용자는 Microsoft Entra 내에서 사용자 ID의 하위 유형입니다.
• 이들은 idtyp=user 클레임이 포함된 토큰을 받아, 사용자 ID가 필요한 API 및 서비스에 접근할 수 있습니다.
• 에이전트 사용자는 자동으로 생성되지 않으며; 명시적으로 생성하고 상위 ID와 연결해야 합니다.
• 각 에이전트 ID는 최대 하나의 에이전트 사용자와 연결될 수 있으며, 각 에이전트 사용자는 정확히 하나의 상위 에이전트 ID와 연결됩니다.
• 각 상위 ID는 정확히 하나의 에이전트 ID 블루프린트 앱과 연결됩니다.

에이전트 사용자는 에이전트 ID 블루프린트를 사용하여 생성됩니다. 생성 시 항상 특정 에이전트 ID와 연결되며, 에이전트 ID와는 별개의 고유 식별자를 가지고, 해당 에이전트 ID에 의해 발급된 토큰을 제시할 때만 인증할 수 있습니다.

에이전트 사용자를 만들 때는 에이전트 ID 블루프린트에 필요한 권한을 부여해야 합니다(에이전트 사용자는 선택 사항이기 때문). 블루프린트가 적절한 권한을 갖추면 다음을 수행할 수 있습니다.

1. 에이전트 사용자를 생성합니다.
2. 특정 에이전트 ID와의 상위 관계를 설정합니다(에이전트 ID가 에이전트 사용자의 상위가 됩니다).

에이전트 사용자는 인간 사용자 계정처럼 동작할 수 있지만 약간 다른 인증 모델을 사용합니다.

• 인증은 에이전트 사용자에 할당된 **연합 ID 자격 증명(Federated Identity Credentials)**을 통해 이루어집니다.
• 이러한 자격 증명은 에이전트 ID 블루프린트와 에이전트 ID 자체를 인증하는 데에도 사용됩니다.
• 에이전트 사용자는 비밀번호가 아닌, 상위 관계를 통해 제공된 자격 증명에만 제한됩니다.
• 에이전트 ID는 내장된 위임 메커니즘을 통해 하위 에이전트 사용자를 가장할 수 있습니다.

에이전트 레지스트리

에이전트 레지스트리는 조직 내에 등록된 모든 에이전트에 대한 메타데이터를 유지하는 중앙 저장소입니다. 시스템 및 서비스가 기능, 역할 및 기타 속성을 기반으로 에이전트를 검색할 수 있게 합니다.

핵심 기능

• Entra Agent ID 및 Core Directory와 통합되어 신원 및 검색 정책을 적용합니다.
• 에이전트 카드와 다수의 에이전트 인스턴스 간 유연한 매핑을 지원합니다.
• 에이전트 관련 데이터의 단일 진실 소스로 작동합니다.

레지스트리는 조직이 다음을 수행하도록 돕습니다:

• 에이전트 검색 보안 강화.
• 제로 트러스트 원칙 적용.
• 에이전트 자산에 대한 거버넌스 유지.

운영 패턴

소유자, 스폰서 및 관리자

플랫폼은 기술 관리와 비즈니스 책임을 분리하는 관리 모델을 도입합니다. 역할은 다음과 같습니다:

• Owners – 에이전트의 기술 관리자; 운영 및 구성 측면을 담당합니다.
• Sponsors – 에이전트에 대한 비즈니스 책임을 제공합니다.
• Managers – 에이전트 사용자를 위한 채용 관리자 또는 운영 소유자 역할을 하는 인간 사용자.

결론

Microsoft Entra Agent ID는 아직 프리뷰 단계이지만, 우리가 배포하는 에이전트를 보호하고 관리하기 위한 중요한 첫 걸음입니다. 곧 이 영역을 더 깊이 탐구할 것이며, Entra Agent ID가 발전함에 따라 더 많은 콘텐츠를 만들겠습니다.

여기 내용에 대해 질문이 있으면, BlueSky에서 저에게 연락하거나 아래에 댓글을 남겨 주세요.

다음에 또 뵙겠습니다, 즐거운 코딩 되세요! 🤓🖥️