Sdílet prostřednictvím

Nejčastější dotazy k zabezpečení služby Bot Framework a ochraně osobních údajů

  • Časté otázky

Tento článek odpovídá na nejčastější dotazy týkající se zabezpečení a ochrany osobních údajů.

PLATÍ PRO: SDK v4

Shromažďují roboti zaregistrovaní ve službě Bot Framework osobní údaje? Pokud ano, jak můžu mít jistotu, že jsou data bezpečná a zabezpečená? A co ochrana osobních údajů?

Každý robot je samostatná služba a vývojáři těchto služeb musí podle pravidel chování vývojářů poskytovat podmínky služby a prohlášení o ochraně osobních údajů. Další informace najdete v pokynech pro robota.

Můžu chatbota hostovat na vlastních serverech?

Ano. Robota můžete hostovat kdekoli na internetu. Na vlastních serverech, v Azure nebo v jakémkoli jiném datovém centru. Jediným požadavkem je, aby robot musel zveřejnit veřejně přístupný koncový bod HTTPS.

Jak zakážete nebo odeberete roboty ze služby?

Uživatelé můžou nahlásit robota, který se chová nesprávně, prostřednictvím karty kontaktu robota v adresáři. Vývojáři musí dodržovat podmínky služby společnosti Microsoft, aby se mohli této služby účastnit.

Které konkrétní adresy URL musím povolit v podnikové bráně firewall pro přístup ke službám Bot Framework?

Pokud máte odchozí bránu firewall, která blokuje provoz z robota do internetu, budete muset v této bráně firewall povolit následující adresy URL:

  • login.botframework.com (Ověřování robota)
  • login.microsoftonline.com (Ověřování robota)
  • westus.api.cognitive.microsoft.com (pro Luis.ai integraci NLP)
  • *.botframework.com (kanály)
  • state.botframework.com (zpětná kompatibilita)
  • login.windows.net (Přihlášení k Windows)
  • login.windows.com (Přihlášení k Windows)
  • sts.windows.net (Přihlášení k Windows)
  • Další adresy URL pro konkrétní kanály služby Bot Framework

Poznámka:

Služba Language Understanding (LUIS) bude vyřazena 1. října 2025. Od 1. dubna 2023 nebudete moct vytvářet nové prostředky LUIS. Novější verze language understanding je teď dostupná jako součást jazyka Azure AI.

Konverzační jazyk understanding (CLU), funkce jazyka Azure AI, je aktualizovaná verze služby LUIS. Další informace o podpoře porozumění jazyku v sadě SDK služby Bot Framework najdete v tématu Principy přirozeného jazyka.

Poznámka:

Můžete použít <channel>.botframework.com , pokud nechcete povolit seznam adres URL s hvězdičkou. <channel> se rovná každému kanálu, který robot používá, například directline.botframework.com, webchat.botframework.coma slack.botframework.com. Také stojí za to sledovat provoz přes bránu firewall při testování robota a zjistit, jaký provoz blokuje.

Můžu blokovat veškerý provoz do robota s výjimkou provozu ze služby Bot Framework Service?

Služba Bot Framework Services je hostovaná v datových centrech Azure po celém světě a seznam IP adres Azure se neustále mění. To znamená, že při změně IP adres Azure může výpis určitých IP adres fungovat jeden den a přerušit další.

Jaká role RBAC se vyžaduje k vytvoření a nasazení robota?

K vytvoření robota na webu Azure Portal se vyžaduje přístup přispěvatele v daném předplatném nebo v konkrétní skupině prostředků. Uživatel s rolí Přispěvatel ve skupině prostředků může v této konkrétní skupině prostředků vytvořit nového robota. Uživatel v roli Přispěvatel pro předplatné může vytvořit robota v nové nebo existující skupině prostředků.

Pomocí Azure CLI může přístup řízení přístupu na základě role podporovat vlastní role. Pokud chcete vytvořit vlastní roli s více omezenými oprávněními, následující sada umožňuje uživateli vytvořit a nasadit robota, který podporuje také službu LUIS, QnA Maker a Přehledy aplikací.

"Microsoft.Web/*",
"Microsoft.BotService/*",
"Microsoft.Storage/*",
"Microsoft.Resources/deployments/*",
"Microsoft.CognitiveServices/*",
"Microsoft.Search/searchServices/*",
"Microsoft.Insights/*",
"Microsoft.Insights/components/*"

Poznámka:

Azure AI QnA Maker bude vyřazený 31. března 2025. Od 1. října 2022 nebudete moci vytvářet nové zdroje ani znalostní báze QnA Maker.

Služba Language Understanding (LUIS) bude vyřazena 1. října 2025. Od 1. dubna 2023 nebudete moct vytvářet nové prostředky LUIS.

Novější verze těchto služeb jsou nyní k dispozici jako součást jazyka Azure AI. Další informace o podpoře porozumění dotazům a odpovědím a jazyku v sadě SDK služby Bot Framework najdete v tématu Principy přirozeného jazyka.

Poznámka:

Luis a QnA Maker vyžadují oprávnění služeb Azure AI. QnA Maker také vyžaduje oprávnění vyhledávání. Při vytváření vlastní role nezapomeňte, že všechna zděděná oprávnění odepření nahradí tato povolená oprávnění.

Co zajišťuje zabezpečení robota před klienty zosobněnou službou Bot Framework Service?

  1. Všechny ověřovací požadavky služby Bot Framework jsou doprovázeny tokenem JWT, jehož kryptografický podpis je možné ověřit pomocí průvodce ověřováním. Token je navržený tak, aby útočníci nemohli zosobnit důvěryhodné služby.
  2. Token zabezpečení, který doprovází každý požadavek robota, má v něm kód ServiceUrl, což znamená, že i když útočník získá přístup k tokenu, nemůže konverzaci přesměrovat na novou službu ServiceUrl. To se vynucuje všemi implementacemi sady SDK a zdokumentovanými v referenčních materiálech k ověřování.
  3. Pokud příchozí token chybí nebo je poškozený, sada SDK služby Bot Framework vygeneruje token v odpovědi. Tím se omezí množství poškození, pokud je robot nesprávně nakonfigurovaný.
  4. Uvnitř robota můžete ručně zkontrolovat serviceUrl poskytnutý v tokenu. Pokud se topologie služby změní, robot je tak křehkější, takže i když je to možné, nedoporučuje se to.

Poznámka:

Jedná se o odchozí připojení z robota k internetu. Neexistuje seznam IP adres ani názvů DNS, které služba Bot Framework Připojení or Service použije ke komunikaci s robotem. Zápis povolených příchozích IP adres se nepodporuje.

Jaký je účel magického kódu během ověřování?

V ovládacím prvku Webový chat existují dva mechanismy, které zajistí, že je správný uživatel přihlášený.

  1. Magický kód. Na konci procesu přihlášení se uživateli zobrazí náhodně vygenerovaný 6místný kód (magický kód). Aby uživatel dokončil proces přihlášení, musí do konverzace zadat tento kód. To má tendenci vést k špatnému uživatelskému prostředí. Kromě toho je stále náchylný k útokům phishing. Uživatel se zlými úmysly může oklamat jiného uživatele, aby se přihlásil a získal magický kód prostřednictvím útoku phishing.

    Upozorňující

    Použití magického kódu je zastaralé. Místo toho byste měli použít rozšířené ověřování Direct Line popsané níže.

  2. Rozšířené ověřování direct line. Kvůli problémům s přístupem k magickému kódu služba Azure AI Bot Service odebrala svou potřebu. Služba Azure AI Bot Service zaručuje, že proces přihlašování je možné dokončit pouze ve stejné relaci prohlížeče jako samotný Webový chat. Pokud chcete tuto ochranu povolit, musíte spustit Webový chat pomocí tokenu Direct Line, který obsahuje seznam důvěryhodných původů, také známý jako důvěryhodné domény, které mohou hostovat Webový chat klienta robota. S rozšířenými možnostmi ověřování můžete staticky zadat seznam důvěryhodných zdrojů na stránce konfigurace direct line. Další informace naleznete v tématu Rozšířené ověřování direct line.

Jak bot Framework zpracovává správu identit a přístupu?

Správa identit a přístupu (IAM) je architektura (zásady a technologie), která umožňuje správným lidem mít odpovídající přístup k technologickým prostředkům. Další informace najdete v tématu Správa identit.

Bot Framework poskytuje následující identifikační mechanismy:

  • Ověřování robota Určuje, jestli žádost pochází z legitimního zdroje. Řídí se službou konektoru robota a umožňuje zabezpečenou komunikaci mezi robotem a kanálem. Další informace najdete v tématu Ověřování robota.

  • Ověřování uživatelů. Umožňuje robotovi přístup k zabezpečeným online prostředkům jménem uživatele. Oborové standardní OAuth slouží k ověření uživatele a autorizaci robota pro přístup k prostředkům. Další informace najdete v tématu Ověřování uživatelů.

V souhrnu služba Bot Framework zpracovává ověřování mezi službami (ověřování robota) a v podstatě ověřuje, že požadavek skutečně pochází z správného kanálu. Robot zodpovídá za zpracování nižších úrovní ověřování. Můžete použít filtr, aby robot přijímal pouze požadavky z konkrétního ID tenanta, nebo můžete vyžadovat, aby se vaši uživatelé ověřili pomocí některé služby OAuth (ověřování uživatelů).

Návody omezit používání robota jenom uživatelům patřícím do mého tenanta?

Máte dvě různé možnosti omezení příchozích zpráv, které robot zpracovává.

  • Pokud pracujete se zabezpečenými daty, doporučujeme k ověřování uživatelů použít OAuth.

  • Použití middlewaru je další dobrou volbou. V kanálu Teams můžete například vytvořit middleware, který získá ID tenanta z dat kanálu Teams. Middleware se pak může rozhodnout, jestli má příchozí aktivita pokračovat v logice robota, nebo místo toho vrátit chybovou zprávu.

    Upozorňující

    Aplikaci Teams nemůžete zabránit v odesílání zpráv z různých tenantů ani nemůžete zabránit tomu, aby někdo nainstaloval robota, pokud má manifest vaší aplikace. Jediné, co můžete udělat, je zabránit robotovi ve zpracování nežádoucích zpráv.