# Azure AI -agentit Model Context Protocol (MCP) -tuen kanssa - Python

T√§m√§ muistikirja esittelee, kuinka k√§ytt√§√§ Azure AI -agentteja Model Context Protocol (MCP) -ty√∂kalujen kanssa Pythonissa. Se n√§ytt√§√§, kuinka luoda √§lyk√§s agentti, joka voi hy√∂dynt√§√§ ulkoisia MCP-palvelimia (kuten Microsoft Learn) parannettujen ominaisuuksien saavuttamiseksi k√§ytt√§m√§ll√§ avaimetonta autentikointia.


## Asenna tarvittavat Python-paketit

Ensiksi meid√§n t√§ytyy asentaa tarvittavat Python-paketit:
- **azure-ai-projects**: Azure AI Projects SDK:n ydin
- **azure-ai-agents**: Azure AI Agents SDK agenttien luomiseen ja hallintaan
- **azure-identity**: Tarjoaa avaimettoman autentikoinnin k√§ytt√§m√§ll√§ DefaultAzureCredentialia
- **mcp**: Model Context Protocol -toteutus Pythonille


## Avaimeton todennus - Edut

T√§m√§ muistikirja esittelee **avaimettoman todennuksen**, joka tarjoaa useita etuja:
- ‚úÖ **Ei API-avaimia hallittavana** - K√§ytt√§√§ Azureen perustuvaa identiteettitodennusta
- ‚úÖ **Parannettu turvallisuus** - Ei salaisuuksia tallennettuna koodiin tai konfiguraatiotiedostoihin
- ‚úÖ **Automaattinen tunnistetietojen kierto** - Azure hallitsee tunnistetietojen elinkaaren
- ‚úÖ **Roolipohjainen k√§ytt√∂oikeuksien hallinta** - K√§ytt√§√§ Azuren RBAC:ia tarkkoihin k√§ytt√∂oikeuksiin
- ‚úÖ **Moniymp√§rist√∂tuki** - Toimii saumattomasti kehitys- ja tuotantoymp√§rist√∂iss√§

`DefaultAzureCredential` valitsee automaattisesti parhaan saatavilla olevan tunnistetietol√§hteen:
1. **Hallinnoitu identiteetti** (kun suoritetaan Azuren sis√§ll√§)
2. **Azure CLI** -tunnistetiedot (paikallisen kehityksen aikana)
3. **Visual Studio** -tunnistetiedot
4. **Ymp√§rist√∂muuttujat** (jos m√§√§ritetty)
5. **Interaktiivinen selain** -todennus (varavaihtoehtona)


## Avaimeton todennusasetukset

**Edellytykset avaimettomalle todennukselle:**

### Paikallista kehityst√§ varten:
```bash
# Install Azure CLI and login
az login
# Verify your identity
az account show
```

### Azure-ymp√§rist√∂iss√§:
- Ota k√§ytt√∂√∂n **j√§rjestelm√§n m√§√§ritt√§m√§ hallinnoitu identiteetti** Azure-resurssissasi
- M√§√§rit√§ hallinnoidulle identiteetille sopivat **RBAC-roolit**:
  - `Cognitive Services OpenAI User` Azure OpenAI -k√§ytt√∂√§ varten
  - `AI Developer` Azure AI -projektien k√§ytt√∂√§ varten

### Ymp√§rist√∂muuttujat (valinnainen):
```python
# These are automatically detected by DefaultAzureCredential
# AZURE_CLIENT_ID=<your-client-id>
# AZURE_CLIENT_SECRET=<your-client-secret>
# AZURE_TENANT_ID=<your-tenant-id>
```

**Ei API-avaimia tai yhteysmerkkijonoja tarvitaan!** üîê


In [None]:
! pip install azure-ai-projects -U
! pip install azure-ai-agents==1.1.0b4 -U
! pip install azure-identity -U
! pip install mcp==1.11.0 -U

## Tuo tarvittavat kirjastot

Tuo tarvittavat Python-moduulit:
- **os, time**: Pythonin vakiokirjastot ymp√§rist√∂muuttujille ja viiveille
- **AIProjectClient**: P√§√§asiakas Azure AI -projekteille
- **DefaultAzureCredential**: Avaimeton todennus Azure-palveluille
- **MCP-liittyv√§t luokat**: MCP-ty√∂kalujen luomiseen ja hallintaan sek√§ hyv√§ksynt√∂jen k√§sittelyyn


In [None]:
import os, time
from azure.ai.projects import AIProjectClient
from azure.identity import DefaultAzureCredential
from azure.ai.agents.models import McpTool, RequiredMcpToolCall, SubmitToolApprovalAction, ToolApproval


## M√§√§rit√§ MCP-palvelimen asetukset

M√§√§rit√§ MCP-palvelimen kokoonpano k√§ytt√§m√§ll√§ ymp√§rist√∂muuttujia, joilla on oletusarvot:
- **MCP_SERVER_URL**: MCP-palvelimen URL-osoite (oletuksena Microsoft Learn API)
- **MCP_SERVER_LABEL**: Tunniste MCP-palvelimen tunnistamiseen (oletuksena "mslearn")

T√§m√§ l√§hestymistapa mahdollistaa joustavan kokoonpanon eri ymp√§rist√∂iss√§.


In [None]:
mcp_server_url = os.environ.get("MCP_SERVER_URL", "https://learn.microsoft.com/api/mcp")
mcp_server_label = os.environ.get("MCP_SERVER_LABEL", "mslearn")

## Luo Azure AI Project -asiakas (avaimeton todennus)

Alusta Azure AI Project -asiakas k√§ytt√§en **avaimetonta todennusta**:
- **endpoint**: Azure AI Foundry -projektin p√§√§tepisteen URL-osoite
- **credential**: K√§ytt√§√§ `DefaultAzureCredential()` turvalliseen, avaimettomaan todennukseen
- **Ei API-avaimia vaadita**: L√∂yt√§√§ ja k√§ytt√§√§ automaattisesti parasta saatavilla olevaa tunnistetta

**Todennusprosessi:**
1. Tarkistaa hallitun identiteetin (Azure-ymp√§rist√∂iss√§)
2. Siirtyy Azure CLI -tunnisteisiin (paikallista kehityst√§ varten)
3. K√§ytt√§√§ muita saatavilla olevia tunnistusl√§hteit√§ tarpeen mukaan

T√§m√§ l√§hestymistapa poistaa tarpeen hallita API-avaimia tai yhteysmerkkijonoja koodissasi.


In [None]:
project_client = AIProjectClient(
    endpoint="Your Azure AI Foundry Endpoint",
    credential=DefaultAzureCredential(),
)

## Luo MCP-ty√∂kalum√§√§ritelm√§

Luo MCP-ty√∂kalu, joka yhdistyy Microsoft Learn MCP-palvelimeen:
- **server_label**: Tunniste MCP-palvelimelle
- **server_url**: MCP-palvelimen URL-p√§√§tepiste
- **allowed_tools**: Valinnainen lista, jolla rajoitetaan k√§ytett√§viss√§ olevia ty√∂kaluja (tyhj√§ lista sallii kaikki ty√∂kalut)

T√§m√§ ty√∂kalu mahdollistaa agentin p√§√§syn Microsoft Learn -dokumentaatioon ja -resursseihin.


In [None]:
mcp_tool = McpTool(
    server_label=mcp_server_label,
    server_url=mcp_server_url,
    allowed_tools=[],  # Optional: specify allowed tools
)


## Luo agentti ja suorita keskustelu (avaimeton ty√∂nkulku)

T√§m√§ kattava osio esittelee t√§ydellisen **avaimettoman agentin ty√∂nkulun**:

1. **Luo AI-agentti**: M√§√§rit√§ agentti GPT-4.1 nano -mallilla ja MCP-ty√∂kaluilla
2. **Luo keskusteluketju**: Perusta keskusteluketju viestint√§√§ varten
3. **L√§het√§ viesti**: Kysy agentilta Azure OpenAI:n ja OpenAI:n eroista
4. **K√§sittele ty√∂kalujen hyv√§ksynn√§t**: Hyv√§ksy MCP-ty√∂kalujen kutsut automaattisesti tarvittaessa
5. **Seuraa suoritusta**: Tarkkaile agentin etenemist√§ ja hoida tarvittavat toimenpiteet
6. **N√§yt√§ tulokset**: Esit√§ keskustelun ja ty√∂kalujen k√§yt√∂n yksityiskohdat

**Avaimettomat ominaisuudet:**
- ‚úÖ **Ei kovakoodattuja salaisuuksia** - Kaikki autentikointi hoidetaan Azure-identiteetill√§
- ‚úÖ **Turvallinen oletuksena** - K√§ytt√§√§ roolipohjaista k√§ytt√∂oikeuksien hallintaa
- ‚úÖ **Yksinkertaistettu k√§ytt√∂√∂notto** - Ei vaadi tunnistetietojen hallintaa
- ‚úÖ **Auditointia tukeva** - Kaikki k√§ytt√∂ kirjataan Azure-identiteetin kautta

Agentti k√§ytt√§√§ MCP-ty√∂kaluja Microsoft Learn -resurssien hy√∂dynt√§miseen t√§ysin turvallisesti ilman API-avainten hallintaa.


In [None]:
with project_client:
    agents_client = project_client.agents

    # Create a new agent with keyless authentication
    # NOTE: To reuse existing agent, fetch it with get_agent(agent_id)
    agent = agents_client.create_agent(
        model="Your Azure OpenAI Model Deployment Name",
        name="my-mcp-agent",
        instructions="You are a helpful agent that can use MCP tools to assist users. Use the available MCP tools to answer questions and perform tasks.",
        tools=mcp_tool.definitions,
    )
    print(f"Created agent, ID: {agent.id}")
    print(f"MCP Server: {mcp_tool.server_label} at {mcp_tool.server_url}")

    # Create thread for communication
    thread = agents_client.threads.create()
    print(f"Created thread, ID: {thread.id}")

    # Create message to thread
    message = agents_client.messages.create(
        thread_id=thread.id,
        role="user",
        content="What's difference between Azure OpenAI and OpenAI?",
    )
    print(f"Created message, ID: {message.id}")

    # KEYLESS APPROACH: Handle tool approvals without hardcoded secrets
    
    # Option 1: Completely keyless (recommended for Azure identity-enabled MCP servers)
    # run = agents_client.runs.create(thread_id=thread.id, agent_id=agent.id, tool_resources=mcp_tool.resources)
    
    # Option 2: With minimal headers (if MCP server requires specific headers)
    # For demonstration purposes, using a placeholder header
    mcp_tool.update_headers("SuperSecret", "123456")  # Replace with actual auth if needed
    
    # Set approval mode - uncomment next line to disable approval requirement completely
    # mcp_tool.set_approval_mode("never")  # Fully automated, no approval needed
    
    run = agents_client.runs.create(thread_id=thread.id, agent_id=agent.id, tool_resources=mcp_tool.resources)
    print(f"Created run, ID: {run.id}")

    while run.status in ["queued", "in_progress", "requires_action"]:
        time.sleep(1)
        run = agents_client.runs.get(thread_id=thread.id, run_id=run.id)

        if run.status == "requires_action" and isinstance(run.required_action, SubmitToolApprovalAction):
            tool_calls = run.required_action.submit_tool_approval.tool_calls
            if not tool_calls:
                print("No tool calls provided - cancelling run")
                agents_client.runs.cancel(thread_id=thread.id, run_id=run.id)
                break

            tool_approvals = []
            for tool_call in tool_calls:
                if isinstance(tool_call, RequiredMcpToolCall):
                    try:
                        print(f"Approving tool call: {tool_call}")
                        
                        # KEYLESS APPROVAL OPTIONS:
                        
                        # Option 1: No headers (fully keyless)
                        # tool_approvals.append(
                        #     ToolApproval(
                        #         tool_call_id=tool_call.id,
                        #         approve=True,
                        #         headers={}  # No headers needed for keyless
                        #     )
                        # )
                        
                        # Option 2: With headers (if MCP server requires them)
                        tool_approvals.append(
                            ToolApproval(
                                tool_call_id=tool_call.id,
                                approve=True,
                                headers=mcp_tool.headers,  # Uses configured headers if needed
                            )
                        )
                    except Exception as e:
                        print(f"Error approving tool_call {tool_call.id}: {e}")

            print(f"tool_approvals: {tool_approvals}")
            if tool_approvals:
                agents_client.runs.submit_tool_outputs(
                    thread_id=thread.id, run_id=run.id, tool_approvals=tool_approvals
                )

        print(f"Current run status: {run.status}")

    print(f"Run completed with status: {run.status}")
    if run.status == "failed":
        print(f"Run failed: {run.last_error}")

    # Display run steps and tool calls
    run_steps = agents_client.run_steps.list(thread_id=thread.id, run_id=run.id)

    # Loop through each step
    for step in run_steps:
        print(f"Step {step['id']} status: {step['status']}")

        # Check if there are tool calls in the step details
        step_details = step.get("step_details", {})
        tool_calls = step_details.get("tool_calls", [])

        if tool_calls:
            print("  MCP Tool calls:")
            for call in tool_calls:
                print(f"    Tool Call ID: {call.get('id')}")
                print(f"    Type: {call.get('type')}")

        print()  # add an extra newline between steps

    # Fetch and log all messages
    messages = agents_client.messages.list(thread_id=thread.id)
    print("\nConversation:")
    print("-" * 50)
    for msg in messages:
        if msg.text_messages:
            last_text = msg.text_messages[-1]
            print(f"{msg.role.upper()}: {last_text.text.value}")
            print("-" * 50)

    # Example of dynamic tool management (keyless)
    print(f"\nDemonstrating keyless dynamic tool management:")
    print(f"Current allowed tools: {mcp_tool.allowed_tools}")
    print("‚úÖ All operations completed using keyless authentication!")


---

**Vastuuvapauslauseke**:  
T√§m√§ asiakirja on k√§√§nnetty k√§ytt√§m√§ll√§ teko√§lypohjaista k√§√§nn√∂spalvelua [Co-op Translator](https://github.com/Azure/co-op-translator). Vaikka pyrimme tarkkuuteen, huomioithan, ett√§ automaattiset k√§√§nn√∂kset voivat sis√§lt√§√§ virheit√§ tai ep√§tarkkuuksia. Alkuper√§ist√§ asiakirjaa sen alkuper√§isell√§ kielell√§ tulisi pit√§√§ ensisijaisena l√§hteen√§. Kriittisen tiedon osalta suositellaan ammattimaista ihmisk√§√§nn√∂st√§. Emme ole vastuussa v√§√§rink√§sityksist√§ tai virhetulkinnoista, jotka johtuvat t√§m√§n k√§√§nn√∂ksen k√§yt√∂st√§.
