Habilita el acceso de agentes de IA de terceros a tu app
Esta guía te guía paso a paso para integrar Logto con tu servicio y habilitar el acceso de agentes de IA.
Aprenderás a:
- Configurar Logto como el servidor de autorización para tu servicio.
- Obtener un token de acceso (Access token) para que el agente de IA acceda a tu servicio.
- Probar el flujo con un agente de IA.
Diferencia entre un agente de IA de terceros y tu propio agente de IA (o app)
Veamos un ejemplo. Imagina que eres un desarrollador que gestiona un servicio que proporciona datos meteorológicos.
App meteorológica oficial (Tu propio agente de IA / app)
- Proporcionas una app meteorológica oficial para que los usuarios consulten el clima.
- Cómo funciona: La app meteorológica oficial se conecta a tu servicio usando Logto para autenticar a los usuarios. Cuando Alice inicia sesión, obtiene acceso automáticamente a los datos meteorológicos, sin pantallas de permisos adicionales, ya que es tu app de confianza.
Agente de IA de terceros
- Estás construyendo un ecosistema alrededor de tu servicio, así que otro desarrollador crea "WeatherBot" (un asistente de IA que puede proporcionar actualizaciones y pronósticos del clima) integrándolo como un agente de IA de terceros.
- Cómo funciona: WeatherBot (agente de IA de terceros) quiere acceder a los datos meteorológicos del usuario a través de tu servicio. Cuando Alice inicia sesión en WeatherBot usando su cuenta:
- Se le muestra una pantalla de consentimiento (Consent screen), pidiendo permiso para que WeatherBot acceda a sus datos meteorológicos.
- Alice puede permitir o denegar este acceso.
- Solo los datos a los que ella consiente son compartidos con WeatherBot, y WeatherBot no puede acceder a datos adicionales sin un nuevo consentimiento explícito.
Este control de acceso (permiso) garantiza la seguridad de los datos del usuario; aunque tu servicio gestiona todos los datos, los agentes de IA de terceros como WeatherBot solo pueden acceder a lo que el usuario ha permitido explícitamente. No pueden eludir este proceso, ya que está reforzado por tu implementación de control de acceso en el servicio.
Resumen
| Tipo de cliente | Ejemplo | ¿Requiere consentimiento? | ¿Quién lo controla? |
|---|---|---|---|
| App meteorológica oficial | Tu propia app del clima | No | Tú (el desarrollador) |
| Agente de IA de terceros | Asistente WeatherBot | Sí | Otro desarrollador |
Si quieres integrar tu servicio con tu propio agente de IA o app, consulta nuestras guías de inicio rápido para más información.
Requisitos previos
- Un tenant de Logto Cloud (o autogestionado)
- Un servicio que exponga endpoints de API para ser accedidos por el agente de IA
Entendiendo el flujo
- Servicio: El servicio que deseas exponer al agente de IA.
- Agente de IA: El agente de IA que accederá a tu servicio.
- Logto: Funciona como el proveedor de OpenID Connect (servidor de autorización) y gestiona las identidades de los usuarios.
Un diagrama de secuencia no normativo ilustra el flujo general del proceso:
Configura el agente de IA de terceros
Para configurar un agente de IA de terceros que acceda a tu servicio, debes seguir estos pasos:
- Registrar el agente de IA en Logto: Crea una aplicación en Logto para representar al agente de IA.
- Configurar el agente de IA: Asegúrate de que el agente de IA pueda realizar solicitudes a tu servicio y manejar la respuesta 401 No autorizado.
- Implementar el flujo de autorización: El agente de IA debe ser capaz de manejar el flujo de autorización OAuth 2.0 para obtener un token de acceso (Access token) de Logto.
- Probar la integración: Usa el agente de IA para acceder a tu servicio y verifica que pueda autenticar y autorizar solicitudes correctamente.
Configura un agente de IA de terceros en Logto
Para permitir que el agente de IA de terceros acceda a tu servicio, necesitas configurar una aplicación de terceros en Logto. Esta aplicación se utilizará para representar al agente de IA y obtener las credenciales necesarias para la autenticación y autorización.
Permitir que los desarrolladores creen aplicaciones de terceros en Logto
Si estás construyendo un marketplace o deseas permitir que los desarrolladores creen aplicaciones de terceros en Logto, puedes aprovechar la Logto Management API para crear aplicaciones de terceros de forma programática. Esto permite a los desarrolladores registrar sus aplicaciones y obtener las credenciales necesarias para la autenticación.
Necesitarás alojar tu propio servicio para gestionar el proceso de registro de clientes. Este servicio interactuará con la Logto Management API para crear aplicaciones de terceros en nombre de los desarrolladores.
Alternativamente, puedes crear manualmente aplicaciones de terceros en Logto Console para familiarizarte con el proceso.
Crear manualmente una aplicación de terceros en Logto
Puedes crear manualmente una aplicación de terceros en Logto Console para propósitos de prueba o integraciones puntuales. Esto es útil cuando deseas probar rápidamente la integración sin implementar un flujo completo de registro de clientes.
-
Inicia sesión en tu Logto Console.
-
Ve a Aplicaciones → Crear aplicación → Aplicación de terceros -> OIDC.
-
Rellena el nombre de la aplicación y otros campos requeridos, luego haz clic en Crear aplicación.
-
Haz clic en la pestaña Permisos, en la sección Usuario, haz clic en "Agregar".
-
En el diálogo que se abre -> Datos de usuario -> selecciona los permisos
profile,email, luego haz clic en Guardar. -
En la aplicación de terceros, configura los alcances (scopes) para solicitar los permisos (alcances)
openid profile email.Nota:
openides obligatorio para OIDC, yprofileyemailson los permisos que agregaste en el paso anterior. -
Configura el redirect URI de tu aplicación de terceros según corresponda. Recuerda actualizar también el redirect URI en Logto.
En el fondo, una aplicación de terceros es simplemente un cliente estándar de OAuth 2.0 / OIDC. Esto significa que tú (o el desarrollador de terceros) puedes usar cualquier biblioteca o framework de OAuth 2.0 / OIDC para integrarte con Logto.
Si no estás familiarizado con OAuth 2.0 o OIDC, puedes comenzar siguiendo una de nuestras guías rápidas de “Web tradicional”.
Algunas cosas a tener en cuenta:
- Logto actualmente requiere que las aplicaciones de terceros sean aplicaciones de “Web tradicional”. En otras palabras, la aplicación necesita un servidor backend (o backend-for-frontend) para almacenar de forma segura el secreto del cliente.
- La mayoría de nuestras guías rápidas están escritas para aplicaciones de primera parte, pero aún puedes usarlas como referencia para la integración de aplicaciones de terceros.
- La principal diferencia es que las aplicaciones de terceros mostrarán una pantalla de consentimiento (Consent screen), solicitando a los usuarios permiso explícito para acceder a sus datos.
Puedes encontrar más información en nuestras guías rápidas.
Configura la autorización en tu servicio
Para habilitar el control de acceso en tu servicio, debes implementar lo siguiente:
- Definir recursos de API en Logto: Crea recursos de API en Logto que representen los endpoints a los que accederá tu agente de IA.
- Implementar la lógica de control de acceso: En tu servicio, implementa la lógica para validar el token de acceso recibido del agente de IA y verifica si el usuario tiene los permisos necesarios para acceder al recurso solicitado.
- Responder al agente de IA: Si el token de acceso es válido y el usuario tiene permiso, devuelve el recurso solicitado. Si no, devuelve una respuesta 401 No autorizado.
Para aprender más sobre cómo implementar el control de acceso en tu servicio, consulta nuestra Guía de autorización.
Prueba la integración
- Inicia tu servicio.
- Inicia el agente de IA.
- En el agente de IA, invoca el endpoint de API para acceder a tu servicio.
- El agente de IA debe manejar la respuesta 401 No autorizado y redirigir al usuario a Logto para autenticación.
- Tras la autenticación exitosa, el agente de IA debe recibir un token de acceso y usarlo para realizar solicitudes a tu servicio.
- El agente de IA debe poder recuperar el recurso de tu servicio usando el token de acceso.