Zum Hauptinhalt springen

Drittanbieter-AI-Agenten-Zugriff auf deine App ermöglichen

Diese Anleitung führt dich durch die Integration von Logto mit deinem Dienst und das Ermöglichen des Zugriffs für AI-Agenten.

Du lernst, wie du:

  • Logto als Autorisierungsserver für deinen Dienst konfigurierst.
  • Ein Zugangstoken (Access token) für den AI-Agenten erhältst, um auf deinen Dienst zuzugreifen.
  • Den Ablauf mit einem AI-Agenten testest.

Unterschied zwischen Drittanbieter-AI-Agent und deinem eigenen AI-Agent (oder App)

Schauen wir uns ein Beispiel an. Stell dir vor, du bist Entwickler und betreibst einen Dienst, der Wetterdaten bereitstellt.

Offizielle Wetter-App (Dein eigener AI-Agent / App)

  • Du stellst eine offizielle Wetter-App bereit, mit der Nutzer das Wetter abfragen können.
  • So funktioniert es: Die offizielle Wetter-App verbindet sich mit deinem Dienst und nutzt Logto, um Benutzer zu authentifizieren. Wenn sich Alice anmeldet, erhält sie automatisch Zugriff auf die Wetterdaten, ohne dass zusätzliche Zustimmungsbildschirme (Consent screens) erforderlich sind, da es sich um deine vertrauenswürdige App handelt.

Drittanbieter-AI-Agent

  • Du baust ein Ökosystem rund um deinen Dienst auf, daher entwickelt ein anderer Entwickler „WeatherBot“ (einen AI-Assistenten, der Wetter-Updates und Vorhersagen liefern kann) und integriert ihn als Drittanbieter-AI-Agent.
  • So funktioniert es: WeatherBot (Drittanbieter-AI-Agent) möchte über deinen Dienst auf die Wetterdaten der Nutzer zugreifen. Wenn sich Alice mit ihrem Konto bei WeatherBot anmeldet:
    • Ihr wird ein Zustimmungsbildschirm (Consent screen) angezeigt, der um Erlaubnis bittet, dass WeatherBot auf ihre Wetterdaten zugreifen darf.
    • Alice kann diesen Zugriff erlauben oder verweigern.
    • Nur die Daten, denen sie zustimmt, werden mit WeatherBot geteilt, und WeatherBot kann ohne erneute ausdrückliche Zustimmung auf keine weiteren Daten zugreifen.

Diese Zugriffskontrolle (Berechtigung) stellt die Sicherheit der Nutzerdaten sicher: Auch wenn dein Dienst alle Daten verwaltet, können Drittanbieter-AI-Agenten wie WeatherBot nur auf das zugreifen, was der Nutzer ausdrücklich erlaubt hat. Sie können diesen Prozess nicht umgehen, da er durch deine Zugriffskontroll-Implementierung im Dienst erzwungen wird.

Zusammenfassung

Client-TypBeispielZustimmung erforderlich?Wer steuert es?
Offizielle Wetter-AppDeine eigene Wetter-AppNeinDu (der Entwickler)
Drittanbieter-AI-AgentWeatherBot-AssistentJaEin anderer Entwickler
hinweis:

Wenn du deinen Dienst mit deinem eigenen AI-Agenten oder deiner eigenen App integrieren möchtest, schaue bitte in unsere Schnellstart-Anleitungen für weitere Informationen.

Voraussetzungen

  • Ein Logto Cloud (oder selbst gehosteter) Mandant
  • Ein Dienst, der API-Endpunkte bereitstellt, auf die der AI-Agent zugreifen kann

Den Ablauf verstehen

  • Dienst: Der Dienst, den du dem AI-Agenten zugänglich machen möchtest.
  • AI-Agent: Der AI-Agent, der auf deinen Dienst zugreifen wird.
  • Logto: Dient als OpenID Connect-Anbieter (Autorisierungsserver) und verwaltet Benutzeridentitäten.

Ein nicht-normativer Sequenzdiagramm veranschaulicht den gesamten Ablauf des Prozesses:

Drittanbieter-AI-Agent einrichten

Um einen Drittanbieter-AI-Agenten für den Zugriff auf deinen Dienst einzurichten, befolge diese Schritte:

  1. Registriere den AI-Agenten in Logto: Erstelle eine Anwendung in Logto, die den AI-Agenten repräsentiert.
  2. Konfiguriere den AI-Agenten: Stelle sicher, dass der AI-Agent Anfragen an deinen Dienst stellen und auf die 401 Nicht autorisiert-Antwort reagieren kann.
  3. Implementiere den Autorisierungsablauf: Der AI-Agent sollte in der Lage sein, den OAuth 2.0-Autorisierungsablauf zu durchlaufen, um ein Zugangstoken (Access token) von Logto zu erhalten.
  4. Teste die Integration: Nutze den AI-Agenten, um auf deinen Dienst zuzugreifen und prüfe, ob er Anfragen erfolgreich authentifizieren und autorisieren kann.

Drittanbieter-AI-Agent in Logto konfigurieren

Um dem Drittanbieter-AI-Agent den Zugriff auf deinen Dienst zu ermöglichen, musst du eine Drittanbieter-App in Logto einrichten. Diese App wird verwendet, um den AI-Agent zu repräsentieren und die notwendigen Zugangsdaten für Authentifizierung (Authentifizierung) und Autorisierung (Autorisierung) zu erhalten.

Entwicklern erlauben, Drittanbieter-Apps in Logto zu erstellen

Wenn du einen Marktplatz aufbaust oder Entwicklern erlauben möchtest, Drittanbieter-Apps in Logto zu erstellen, kannst du die Logto Management API nutzen, um Drittanbieter-Apps programmatisch zu erstellen. Dadurch können Entwickler ihre Anwendungen registrieren und die notwendigen Zugangsdaten für die Authentifizierung erhalten.

Du musst einen eigenen Dienst hosten, um den Client-Registrierungsprozess zu verwalten. Dieser Dienst interagiert mit der Logto Management API, um Drittanbieter-Apps im Namen der Entwickler zu erstellen.

Alternativ kannst du Drittanbieter-Apps auch manuell in der Logto Console erstellen, um dich mit dem Prozess vertraut zu machen.

Drittanbieter-App manuell in Logto erstellen

Du kannst eine Drittanbieter-App manuell in der Logto Console für Testzwecke oder Ad-hoc-Integrationen erstellen. Das ist nützlich, wenn du die Integration schnell testen möchtest, ohne einen vollständigen Client-Registrierungs-Flow zu implementieren.

  1. Melde dich in deiner Logto Console an.

  2. Gehe zu AnwendungenAnwendung erstellenDrittanbieter-App -> OIDC.

  3. Gib den App-Namen und andere erforderliche Felder ein und klicke dann auf Anwendung erstellen.

  4. Klicke auf den Tab Berechtigungen, im Abschnitt Benutzer auf "Hinzufügen" klicken.

  5. Im geöffneten Dialog -> Benutzerdaten -> wähle die Berechtigungen profile und email aus und klicke dann auf Speichern.

  6. Konfiguriere in der Drittanbieter-App die Scopes, um die Berechtigungen (Berechtigungen) openid profile email anzufordern.

    Hinweis: openid ist für OIDC erforderlich, und profile sowie email sind die Berechtigungen, die du im vorherigen Schritt hinzugefügt hast.

  7. Konfiguriere die Redirect-URI deiner Drittanbieter-Anwendung entsprechend. Denke daran, die Redirect-URI auch in Logto zu aktualisieren.

Drittanbieter-App-Berechtigungen

Unter der Haube ist eine Drittanbieter-App einfach ein Standard-OAuth 2.0 / OIDC-Client. Das bedeutet, dass du (oder der Drittanbieter-Entwickler) jede OAuth 2.0 / OIDC-Bibliothek oder jedes Framework verwenden kannst, um die Integration mit Logto vorzunehmen.

Falls du mit OAuth 2.0 oder OIDC nicht vertraut bist, kannst du mit einem unserer „Traditionelle Web“-Schnellstart-Anleitungen beginnen.

Einige Dinge, die du beachten solltest:

  1. Logto erfordert derzeit, dass Drittanbieter-Apps „Traditionelle Web“-Apps sind. Mit anderen Worten: Die App benötigt einen Backend-Server (oder Backend-for-Frontend), um das Client-Secret sicher zu speichern.
  2. Die meisten unserer Schnellstart-Anleitungen sind für First-Party-Apps geschrieben, du kannst sie jedoch trotzdem als Referenz für die Integration von Drittanbieter-Apps verwenden.
  3. Der Hauptunterschied besteht darin, dass Drittanbieter-Apps einen Zustimmungsbildschirm (Consent screen) anzeigen, der die Benutzer um ausdrückliche Erlaubnis zum Zugriff auf ihre Daten bittet.

Weitere Informationen findest du in unseren Schnellstart-Anleitungen.

Autorisierung in deinem Dienst einrichten

Um Zugriffskontrolle in deinem Dienst zu ermöglichen, musst du Folgendes umsetzen:

  1. Definiere API-Ressourcen in Logto: Erstelle API-Ressourcen in Logto, die die Endpunkte repräsentieren, auf die dein AI-Agent zugreifen wird.
  2. Implementiere Zugriffskontroll-Logik: Implementiere in deinem Dienst eine Logik, um das vom AI-Agenten erhaltene Zugangstoken (Access token) zu validieren und zu prüfen, ob der Benutzer die erforderlichen Berechtigungen zum Zugriff auf die angeforderte Ressource hat.
  3. Antworte dem AI-Agenten: Wenn das Zugangstoken (Access token) gültig ist und der Benutzer die Berechtigung hat, gib die angeforderte Ressource zurück. Andernfalls gib eine 401 Nicht autorisiert-Antwort zurück.

Um mehr darüber zu erfahren, wie du Zugriffskontrolle in deinem Dienst implementierst, siehe unseren Autorisierungsleitfaden.

Integration testen

  1. Starte deinen Dienst.
  2. Starte den AI-Agenten.
  3. Rufe im AI-Agenten den API-Endpunkt auf, um auf deinen Dienst zuzugreifen.
  4. Der AI-Agent sollte auf die 401 Nicht autorisiert-Antwort reagieren und den Benutzer zu Logto zur Authentifizierung weiterleiten.
  5. Nach erfolgreicher Authentifizierung sollte der AI-Agent ein Zugangstoken (Access token) erhalten und es für Anfragen an deinen Dienst verwenden.
  6. Der AI-Agent sollte in der Lage sein, die Ressource mit dem Zugangstoken (Access token) von deinem Dienst abzurufen.