Zprostředkovatelé identit

PLATÍ PRO: SDK v4

Zprostředkovatel identity ověřuje identity uživatelů nebo klientů a vydává spotřební tokeny zabezpečení. Poskytuje ověřování uživatelů jako službu.

Klientské aplikace, jako jsou webové aplikace, delegují ověřování na důvěryhodného zprostředkovatele identity. Takové klientské aplikace jsou federované, to znamená, že používají federovanou identitu. Další informace najdete v tématu Vzor federované identity.

Použití důvěryhodného zprostředkovatele identity:

• Umožňuje funkce jednotného přihlašování (SSO), které aplikaci umožňují přístup k více zabezpečeným prostředkům.
• Usnadňuje propojení mezi prostředky cloud computingu a uživateli a snižuje potřebu opětovného ověření uživatelů.

Jednotné přihlášení

Jednotné přihlašování odkazuje na proces ověřování, který umožňuje přihlášení uživatele k systému jednou s jednou sadou přihlašovacích údajů pro přístup k více aplikacím nebo službám.

Uživatel se přihlásí pomocí jednoho ID a hesla, aby získal přístup k některému z několika souvisejících softwarových systémů. Další informace najdete v tématu Jednotné přihlašování.

Mnoho zprostředkovatelů identity podporuje operaci odhlášení, která odvolá token uživatele a ukončí přístup k přidruženým aplikacím a službám.

Důležité

Jednotné přihlašování zvyšuje použitelnost snížením počtu, kolikrát uživatel musí zadat přihlašovací údaje. Poskytuje také lepší zabezpečení snížením potenciálního prostoru pro útoky.

Zprostředkovatel identity Microsoft Entra ID

Microsoft Entra ID je služba identit v Microsoft Azure, která poskytuje možnosti správy identit a řízení přístupu. Umožňuje bezpečně přihlásit uživatele pomocí standardních oborových protokolů, jako je OAuth2.0.

Můžete si vybrat ze dvou implementací zprostředkovatele identity služby Active Directory, které mají různá nastavení, jak je znázorněno níže.

Poznámka:

Tato nastavení použijte při konfiguraci Připojení OAuth Nastavení v aplikaci pro registraci robota Azure. Další informace najdete v tématu Přidání ověřování do robota.

Microsoft Entra ID

Platforma Microsoft Identity Platform (v2.0) – označovaná také jako koncový bod Microsoft Entra ID – umožňuje robotovi získat tokeny pro volání rozhraní Microsoft API, jako jsou Microsoft Graph nebo jiná rozhraní API. Platforma identit představuje vývoj platformy Azure AD (v1.0). Další informace najdete v přehledu platformy Microsoft Identity Platform (v2.0).

Pomocí níže uvedených nastavení AD v2 povolte robotovi přístup k datům Office 365 prostřednictvím rozhraní Microsoft Graph API.

Vlastnost	Popis nebo hodnota
Název	Název tohoto připojení zprostředkovatele identity.
Poskytovatel služeb	Zprostředkovatel identity, který se má použít. Vyberte MICROSOFT Entra ID.
ID klienta	ID aplikace (klienta) pro vaši aplikaci zprostředkovatele identity Azure.
Tajný klíč klienta	Tajný klíč pro vaši aplikaci zprostředkovatele identity Azure.
ID klientu	VAŠE ID adresáře (tenanta) nebo common. Další informace najdete v poznámce o ID tenanta.
Obory	Seznam oprávnění rozhraní API oddělených mezerami, která jste udělili aplikaci zprostředkovatele identity Microsoft Entra ID, například openid, profile, Mail.Read, Mail.Send, User.Reada User.ReadBasic.All.
Adresa URL výměny tokenů	Pro robota s podporou jednotného přihlašování použijte adresu URL výměny tokenů přidruženou k připojení OAuth, jinak ponechte tuto prázdnou hodnotu. Informace o adrese URL výměny tokenů jednotného přihlašování najdete v tématu Vytvoření nastavení připojení OAuth.

Azure AD v1

Azure AD v1

Pomocí níže uvedených nastavení nakonfigurujte platformu Microsoft Entra ID Developer Platform (v1.0), která se označuje také jako koncový bod Azure AD v1 . To vám umožní vytvářet aplikace, které bezpečně přihlašují uživatele pomocí pracovního nebo školního účtu Microsoft. Další informace najdete v přehledu Microsoft Entra ID pro vývojáře (verze 1.0).

Vlastnost	Popis nebo hodnota
Název	Název tohoto připojení zprostředkovatele identity.
Poskytovatel služeb	Zprostředkovatel identity, který se má použít. Vyberte MICROSOFT Entra ID.
ID klienta	ID aplikace (klienta) pro vaši aplikaci zprostředkovatele identity Azure.
Tajný klíč klienta	Tajný klíč pro vaši aplikaci zprostředkovatele identity Azure.
Typ udělení	authorization_code
Přihlašovací adresa URL	https://login.microsoftonline.com
ID klientu	VAŠE ID adresáře (tenanta) nebo common. Další informace najdete v následující poznámce o ID tenantů.
Adresa URL prostředku	https://graph.microsoft.com/
Obory	Nechte prázdné.
Adresa URL výměny tokenů	Nechte prázdné.

Poznámka:

Pokud jste vybrali jednu z následujících možností, zadejte ID tenanta, které jste si poznamenali pro aplikaci zprostředkovatele identity Microsoft Entra ID:

• Účty pouze v tomto organizačním adresáři (jenom Microsoft – jeden tenant)
• Účty v libovolném organizačním adresáři (adresář Microsoft AAD – více tenantů)

Pokud jste vybrali účty v libovolném adresáři organizace (libovolný adresář Microsoft Entra ID – více tenantů a osobních účtů Microsoft, například Skype, Xbox, Outlook.com), zadejte common.

Jinak aplikace zprostředkovatele identity Microsoft Entra ID použije tenanta k ověření vybraného ID a vyloučení osobních účtů Microsoft.

Další informace naleznete zde:

• Proč aktualizovat platformu Microsoft Identity Platform (v2.0)?
• Microsoft Identity Platform (Microsoft Entra ID pro vývojáře)

Další zprostředkovatelé identit

podpora Azure několik zprostředkovatelů identity. Úplný seznam spolu se souvisejícími podrobnostmi získáte spuštěním následujících příkazů konzoly Azure:

az login
az bot authsetting list-providers

Seznam těchto poskytovatelů můžete také zobrazit na webu Azure Portal při definování nastavení připojení OAuth pro aplikaci pro registraci robota.

Obecná poskytovatelé OAuth

podpora Azure s generic OAuth2, který umožňuje používat vlastního zprostředkovatele identity.

Můžete si vybrat ze dvou obecných implementací zprostředkovatele identity, které mají různá nastavení, jak je znázorněno níže.

Poznámka:

Při konfiguraci Nastavení Připojení OAuth v aplikaci pro registraci robota Azure použijte nastavení popsaná tady.

Obecné OAuth 2

Pomocí tohoto zprostředkovatele nakonfigurujte libovolného obecného zprostředkovatele identity OAuth2, který má podobné očekávání jako poskytovatel ID Microsoft Entra, zejména AD v2. Pro tento typ připojení jsou pevné řetězce dotazu a datové části textu požadavku.

Vlastnost	Popis nebo hodnota
Název	Název tohoto připojení zprostředkovatele identity.
Poskytovatel služeb	Zprostředkovatel identity, který se má použít. Vyberte Obecný Oauth 2.
ID klienta	VAŠE ID klienta získané od zprostředkovatele identity.
Tajný klíč klienta	Tajný klíč klienta získaný z registrace zprostředkovatele identity.
Adresa URL autorizace	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Adresa URL tokenu	https://login.microsoftonline.com/common/oauth2/v2.0/token
Aktualizovat adresu URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Adresa URL výměny tokenů	Nechte prázdné.
Obory	Čárkami oddělený seznam oprávnění rozhraní API, která jste udělili aplikaci zprostředkovatele identity.

Obecný poskytovatel OAuth 2

Tento poskytovatel vyžaduje více parametrů konfigurace, takže tuto verzi použijte ke konfiguraci libovolného obecného poskytovatele služeb OAuth 2, pokud potřebujete větší flexibilitu. V této konfiguraci zadáte šablony adres URL, šablony řetězců dotazu a základní šablony pro autorizaci, aktualizaci a převod tokenu.

Vlastnost	Popis nebo hodnota
Název	Název tohoto připojení zprostředkovatele identity.
Poskytovatel služeb	Zprostředkovatel identity, který se má použít. Vyberte obecného zprostředkovatele Oauth 2.
ID klienta	VAŠE ID klienta získané od zprostředkovatele identity.
Tajný klíč klienta	Tajný klíč klienta získaný z registrace zprostředkovatele identity.
Oddělovač seznamu oborů	Oddělovací znak pro seznam oborů. Prázdné mezery () nejsou v tomto poli podporovány, ale dají se použít v poli Obory , pokud to vyžaduje zprostředkovatel identity. V takovém případě pro toto pole použijte čárku (,) a mezery () v poli Obory .
Šablona adresy URL autorizace	Šablona adresy URL pro autorizaci definovaná vaším zprostředkovatelem identity. Například, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Šablona řetězce dotazu na autorizační adresu URL	Šablona dotazu pro autorizaci poskytovaná vaším zprostředkovatelem identity. Klíče v šabloně řetězce dotazu se budou lišit v závislosti na poskytovateli identity. Například, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Šablona adresy URL tokenu	https://login.microsoftonline.com/common/oauth2/v2.0/token
Šablona řetězce dotazu adresy URL tokenu	Oddělovač řetězce dotazu pro adresu URL tokenu. Obvykle otazník (?).
Šablona textu tokenu	Šablona pro tělo tokenu. Například, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Aktualizovat šablonu adresy URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Aktualizace šablony řetězce dotazu adresy URL	Oddělovač řetězce dotazu na aktualizaci adresy URL pro adresu URL tokenu. Obvykle otazník (?).
Aktualizovat základní šablonu	Šablona pro tělo aktualizace. Například, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Adresa URL výměny tokenů	Nechte prázdné.
Obory	Seznam oborů, které mají mít ověření uživatelé po přihlášení Ujistěte se, že nastavujete jenom potřebné obory, a postupujte podle zásad řízení přístupu s nejnižšími oprávněními. Například, User.Read. Pokud používáte vlastní obor, použijte úplný identifikátor URI včetně identifikátoru URI vystaveného ID aplikace.

Další kroky

Proxy zprostředkovatelů identity