Microsoft vừa công bố một cập nhật quan trọng cho các doanh nghiệp đang triển khai AI: Data Agents trên nền tảng Microsoft Fabric hiện đã hỗ trợ xác thực bằng Service Principal (SPN). Nâng cấp này, vốn là một trong những yêu cầu được mong đợi nhất, cho phép doanh nghiệp đưa các agent AI từ giai đoạn thử nghiệm (prototype) sang vận hành chính thức (production) với danh tính ứng dụng an toàn, độc lập và có khả năng quản trị.
Service Principal là gì và tại sao lại quan trọng?
Service Principal (SPN) là một danh tính dành cho ứng dụng trong Microsoft Entra ID (trước đây là Azure AD). Trong khi danh tính người dùng phù hợp cho các kịch bản tương tác trực tiếp, SPN được thiết kế cho các trường hợp ứng dụng cần tự xác thực, ví dụ như một dịch vụ backend cần gọi API hoặc một tiến trình tự động chạy độc lập.
Việc sử dụng SPN mang lại nhiều lợi ích cho quản trị doanh nghiệp:
- Hoạt động độc lập: Ứng dụng xác thực bằng danh tính riêng, không phụ thuộc vào tài khoản của bất kỳ cá nhân nào.
- Phân quyền chặt chẽ: Doanh nghiệp có thể gán quyền truy cập tối thiểu mà ứng dụng cần để hoạt động.
- Quản trị đơn giản: Cung cấp danh tính cấp ứng dụng có thể kiểm toán, giám sát và quản lý bởi đội ngũ bảo mật.
Trước đây, việc gọi một Fabric Data Agent yêu cầu token ủy quyền từ người dùng, gây bất tiện cho các ứng dụng production cần chạy tự động hoặc phục vụ nhiều người dùng cuối. Với việc hỗ trợ SPN, các ứng dụng giờ đây có thể xác thực bằng danh tính riêng, mở ra hai kịch bản triển khai quan trọng ở cấp độ doanh nghiệp.
Kịch bản 1: Tích hợp trực tiếp Fabric Data Agent vào ứng dụng tùy chỉnh
Đây là trường hợp sử dụng phổ biến nhất: doanh nghiệp đã xây dựng một Fabric Data Agent và muốn gọi nó từ một ứng dụng tùy chỉnh như web app, dịch vụ backend, chatbot hay công cụ nội bộ.
Luồng hoạt động như sau:
- Đăng ký một ứng dụng trong Microsoft Entra ID và tạo một Service Principal.
- Cấp quyền truy cập cho Service Principal vào không gian làm việc (workspace) của Fabric. Data Agent sẽ kế thừa quyền này.
- Ứng dụng sử dụng thông tin của Service Principal để yêu cầu một access token từ Entra ID.
- Ứng dụng dùng access token này để gọi API của Fabric Data Agent.
Với cách tiếp cận này, ứng dụng có thể phục vụ người dùng cuối, trả lời các câu hỏi về dữ liệu, tạo insight mà không cần người dùng phải có quyền truy cập trực tiếp vào Fabric.
Kịch bản 2: Kết hợp Microsoft Foundry Agent và Fabric Data Agent
Một mô hình phổ biến khác là xây dựng một agent trên Microsoft Foundry, sử dụng Fabric Data Agent như một nguồn kiến thức (knowledge source) hoặc công cụ. Foundry Agent sẽ xử lý logic hội thoại và điều phối, trong khi Fabric Data Agent cung cấp câu trả lời chính xác từ dữ liệu doanh nghiệp trong Fabric.
Khi đưa agent kết hợp này vào môi trường production, việc xác thực bằng danh tính ứng dụng là rất cần thiết.
Luồng triển khai trong kịch bản này như sau:
- Ứng dụng production (ví dụ: Azure Web App) xác thực bằng Service Principal. Azure Web App hỗ trợ sẵn tính năng này, giúp tự động quản lý vòng đời của thông tin xác thực.
- Ứng dụng gọi Foundry Agent, vốn đã được cấu hình để kết nối với Fabric Data Agent.
- Foundry Agent sử dụng access token của Service Principal để gọi Fabric Data Agent.
- Data Agent truy vấn dữ liệu trong Fabric và trả kết quả về cho người dùng cuối thông qua chuỗi xử lý.
Lộ trình và hướng dẫn bắt đầu
Microsoft cho biết hỗ trợ Service Principal cho các Data Agent kết nối với KQL Database (Kusto) sẽ sớm ra mắt.
Để bắt đầu sử dụng xác thực Service Principal với Fabric Data Agent, doanh nghiệp có thể thực hiện các bước sau:
- Đăng ký một ứng dụng trong Microsoft Entra ID.
- Tạo một Service Principal cho ứng dụng đó.
- Cấp quyền cho Service Principal vào Fabric workspace của bạn.
- Sử dụng thông tin xác thực của Service Principal để lấy access token.
- Gọi API của Fabric Data Agent bằng token đó.
Để xem hướng dẫn chi tiết, vui lòng tham khảo tài liệu Service Principal for Fabric data agent.
