Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: SDK wersja 4
Dostawca tożsamości uwierzytelnia tożsamości użytkowników lub klientów i wystawia eksploatacyjne tokeny zabezpieczające. Zapewnia uwierzytelnianie użytkownika jako usługę.
Aplikacje klienckie, takie jak aplikacje internetowe, deleguj uwierzytelnianie do zaufanego dostawcy tożsamości. Mówi się, że takie aplikacje klienckie są federacyjne, czyli używają tożsamości federacyjnej. Aby uzyskać więcej informacji, zobacz Wzorzec tożsamości federacyjnej.
Korzystanie z zaufanego dostawcy tożsamości:
- Włącza funkcje logowania jednokrotnego (SSO), dzięki czemu aplikacja może uzyskiwać dostęp do wielu zabezpieczonych zasobów.
- Ułatwia nawiązywanie połączeń między zasobami przetwarzania w chmurze a użytkownikami, co zmniejsza potrzebę ponownego uwierzytelnienia użytkowników.
Jednokrotne logowanie
Logowanie jednokrotne odnosi się do procesu uwierzytelniania, który umożliwia użytkownikowi logowanie się do systemu raz przy użyciu jednego zestawu poświadczeń w celu uzyskania dostępu do wielu aplikacji lub usług.
Użytkownik loguje się przy użyciu jednego identyfikatora i hasła, aby uzyskać dostęp do dowolnego z kilku powiązanych systemów oprogramowania. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne.
Wielu dostawców tożsamości obsługuje operację wylogowywanie, która odwołuje token użytkownika i przerywa dostęp do skojarzonych aplikacji i usług.
Ważne
Logowanie jednokrotne zwiększa użyteczność, zmniejszając liczbę prób wprowadzenia poświadczeń przez użytkownika. Zapewnia również lepsze zabezpieczenia dzięki zmniejszeniu potencjalnego obszaru ataków.
Usługodawca tożsamości Microsoft Entra ID
Microsoft Entra ID to usługa tożsamości na platformie Microsoft Azure, która zapewnia funkcje zarządzania tożsamościami i kontroli dostępu. Umożliwia bezpieczne logowanie użytkowników przy użyciu standardowych protokołów branżowych, takich jak OAuth2.0.
Możesz wybrać jedną z dwóch implementacji dostawcy tożsamości usługi Active Directory, które mają różne ustawienia, jak pokazano poniżej.
Uwaga / Notatka
Użyj tych ustawień podczas konfigurowania ustawień połączenia OAuth w aplikacji rejestracji bota platformy Azure. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania do bota.
Platforma tożsamości firmy Microsoft (wersja 2.0) — znana również jako punkt końcowy Microsoft Entra ID — umożliwia botowi uzyskiwanie tokenów do wywoływania interfejsów API firmy Microsoft, takich jak Microsoft Graph lub inne interfejsy API. Platforma tożsamości stanowi ewolucję platformy Azure AD (wersja 1.0). Aby uzyskać więcej informacji, zobacz omówienie Platforma tożsamości Microsoft (wersja 2.0).
Użyj poniższych ustawień usługi AD w wersji 2, aby umożliwić botowi dostęp do danych usługi Office 365 za pośrednictwem interfejsu API programu Microsoft Graph.
| Majątek | Opis lub wartość |
|---|---|
| Nazwa | Nazwa połączenia z dostawcą tożsamości. |
| Usługodawca | Dostawca tożsamości, który należy użyć. Wybierz Microsoft Entra ID. |
| Identyfikator klienta | Identyfikator aplikacji klienckiej dla aplikacji dostawcy tożsamości platformy Azure. |
| Klucz tajny klienta | Tajne dane aplikacji dostawcy tożsamości platformy Azure. |
| Identyfikator najemcy | Identyfikator katalogu (najemcy) lub common. Aby uzyskać więcej informacji, zobacz notatkę dotyczącą identyfikatorów najemcy. |
| Zakresy | Rozdzielona spacjami lista uprawnień interfejsu API, które przyznałeś aplikacji dostawcy tożsamości Microsoft Entra ID, takie jak openid, profile, Mail.Read, Mail.Send, User.Read, i User.ReadBasic.All. |
| Adres URL wymiany tokenów | W przypadku bota umiejętności z obsługą SSO użyj adresu URL wymiany tokenów skojarzonego z połączeniem OAuth; w przeciwnym razie pozostaw to pole puste. Aby uzyskać informacje o adresie URL wymiany tokenów logowania jednokrotnego, zobacz Tworzenie ustawień połączenia OAuth. |
Uwaga / Notatka
Jeśli wybrałeś jedną z poniższych opcji, wprowadź identyfikator tenanta, który zarejestrowano dla aplikacji dostawcy tożsamości Microsoft Entra ID.
- Konta tylko w tym katalogu organizacyjnym (Microsoft — tylko pojedynczy dzierżawca)
- Konta w dowolnym katalogu organizacyjnym (katalog usługi Microsoft AAD — wielodostępny)
Jeśli wybrano Konta w dowolnym katalogu organizacyjnym (dowolny katalog Microsoft Entra ID — wiele dzierżaw i osobiste konta Microsoft, np. Skype, Xbox, Outlook.com), wprowadź common.
W przeciwnym razie aplikacja Microsoft Entra ID jako dostawca tożsamości będzie używać dzierżawy do weryfikacji wybranego identyfikatora, wykluczając osobiste konta Microsoft.
Aby uzyskać więcej informacji, zobacz:
- Dlaczego warto zaktualizować platformę tożsamości firmy Microsoft (wersja 2.0)?
- Platforma tożsamości firmy Microsoft (Microsoft Entra ID dla deweloperów).
Inni dostawcy tożsamości
Platforma Azure obsługuje kilku dostawców tożsamości. Pełną listę wraz z powiązanymi szczegółami można uzyskać, uruchamiając następujące polecenia konsoli platformy Azure:
az login
az bot authsetting list-providers
Listę tych dostawców można również wyświetlić w witrynie Azure Portal podczas definiowania ustawień połączenia OAuth dla aplikacji rejestracji bota.
Dostawcy ogólnego protokołu OAuth
Platforma Azure obsługuje ogólny protokół OAuth2, który umożliwia korzystanie z własnego dostawcy tożsamości.
Możesz wybrać jedną z dwóch ogólnych implementacji dostawcy tożsamości, które mają różne ustawienia, jak pokazano poniżej.
Uwaga / Notatka
Użyj ustawień opisanych tutaj podczas konfigurowania ustawień połączenia OAuth w aplikacji rejestracji bota platformy Azure.
Użyj tego dostawcy, aby skonfigurować dowolnego ogólnego dostawcę tożsamości OAuth2, który ma podobne oczekiwania do dostawcy Microsoft Entra ID, szczególnie w wersji AD v2. W przypadku tego typu połączenia parametry zapytania i ładunki treści żądania są stałe.
| Majątek | Opis lub wartość |
|---|---|
| Nazwa | Nazwa połączenia z dostawcą tożsamości. |
| Usługodawca | Dostawca tożsamości, który należy użyć. Wybierz Ogólny Oauth 2. |
| Identyfikator klienta | Identyfikator klienta, który uzyskano od dostawcy tożsamości. |
| Klucz tajny klienta | Tajny klucz klienta uzyskany z zarejestrowania dostawcy tożsamości. |
| Adres URL autoryzacji | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Adres URL tokenu | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Odśwież adres URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Adres URL wymiany tokenów | Pozostaw to puste. |
| Zakresy | Lista uprawnień interfejsu API rozdzielona przecinkami, które zostały udzielone aplikacji powiązanej z dostawcą tożsamości. |