Sdílet prostřednictvím

Ověřování s jedním tenantem a více tenanty pro uživatele Microsoftu 365

  • Článek

Tento článek poskytuje přehled o procesu ověřování pro aplikace Microsoft Entra ID (Microsoft Entra ID) s jedním tenantem a více tenanty. Ověřování můžete použít při vytváření prostředí volání pro uživatele Microsoftu 365 pomocí sady SDK (Calling software Development Kit ), kterou zpřístupňuje služba Azure Communication Services . Případy použití v tomto článku také rozdělí jednotlivé artefakty ověřování.

Případ 1: Příklad aplikace s jedním tenantem

Společnost Fabrikam vytvořila aplikaci pro interní použití. Všichni uživatelé aplikace mají ID Microsoft Entra. Přístup ke službám Azure Communication Services řídí řízení přístupu na základě role v Azure (Azure RBAC).

Diagram, který popisuje proces ověřování volající aplikace společnosti Fabrikam pro uživatele Microsoftu 365 a jeho prostředek Azure Communication Services

Následující sekvenční diagram podrobně popisuje ověřování s jedním tenantem.

Sekvenční diagram, který podrobně popisuje ověřování uživatelů Microsoftu 365 společnosti Fabrikam. Klientská aplikace získá přístupový token služby Azure Communication Services pro jednu aplikaci Microsoft Entra tenanta.

Než začneme:

  • Alice nebo její správce Microsoft Entra musí udělit souhlas s vlastní aplikací Teams před prvním pokusem o přihlášení. Přečtěte si další informace o souhlasu.
  • Správce prostředků Azure Communication Services musí udělit Alice oprávnění k výkonu své role. Přečtěte si další informace o přiřazení role Azure RBAC.

Kroky:

  1. Ověřování Alice pomocí Microsoft Entra ID: Alice se ověřuje pomocí standardního toku OAuth s knihovnou MSAL (Microsoft Authentication Library). Pokud je ověřování úspěšné, klientská aplikace obdrží přístupový token Microsoft Entra s hodnotou A1 a ID objektu uživatele Microsoft Entra s hodnotou A2. Tokeny jsou popsány dále v tomto článku. Ověřování z pohledu vývojáře se zkoumá v tomto rychlém startu.
  2. Získání přístupového tokenu pro Alice: Aplikace Fabrikam pomocí vlastního artefaktu ověřování s hodnotou B provádí autorizační logiku, která určuje, jestli má Alice oprávnění k výměně přístupového tokenu Microsoft Entra pro přístupový token služby Azure Communication Services. Po úspěšné autorizaci aplikace Fabrikam provádí logiku řídicí roviny pomocí artefaktů A1, A2a A3. Přístupový token D služby Azure Communication Services se vygeneruje pro Alici v aplikaci Fabrikam. Tento přístupový token lze použít pro akce roviny dat ve službách Azure Communication Services, jako je volání. Artefakty A2 a A3 artefakty se předávají spolu s artefaktem A1 pro ověření. Ověření zaručuje, že byl token Microsoft Entra vydán očekávanému uživateli. Aplikace brání útočníkům v používání přístupových tokenů Microsoft Entra vydaných jiným aplikacím nebo jiným uživatelům. Další informace o tom, jak získat A artefakty, naleznete v tématu Příjem tokenu uživatele a ID objektu Microsoft Entra prostřednictvím knihovny MSAL a získat ID aplikace.
  3. ZavolejTe Bobovi: Alice zavolá uživateli Microsoftu 365 Bobovi s aplikací Fabrikam. Volání probíhá prostřednictvím volající sady SDK s přístupovým tokenem služby Azure Communication Services. Přečtěte si další informace o vývoji aplikace pro uživatele Microsoftu 365.

Artefakty:

  • Artefakt A1
    • Typ: Přístupový token Microsoft Entra
    • Cílová skupina: Azure Communication Services, řídicí rovina
    • Zdroj: Tenant Microsoft Entra společnosti Fabrikam
    • Oprávnění: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Artefakt A2
    • Typ: ID objektu uživatele Microsoft Entra
    • Zdroj: Tenant Microsoft Entra společnosti Fabrikam
    • Autorita: https://login.microsoftonline.com/<tenant>/
  • Artefakt A3
    • Typ: ID aplikace Microsoft Entra
    • Zdroj: Tenant Microsoft Entra společnosti Fabrikam
  • Artefakt B
    • Typ: Vlastní artefakt autorizace Fabrikam (vystavený ID Microsoft Entra nebo jinou autorizační službou)
  • Artefakt C
    • Typ: Artefakt autorizace prostředků Azure Communication Services
    • Zdroj: Autorizační hlavička HTTP s nosným tokenem pro ověřování Microsoft Entra nebo datovou částí HMAC (Hash-based Message Authentication Code) a podpisem pro ověřování na základě přístupového klíče.
  • Artefakt D
    • Typ: Přístupový token služby Azure Communication Services
    • Cílová skupina: Azure Communication Services, rovina dat
    • ID prostředku služby Azure Communication Services: Fabrikam Azure Communication Services Resource ID

Případ 2: Příklad víceklientských aplikací

Společnost Contoso vytvořila aplikaci pro externí zákazníky. Tato aplikace používá vlastní ověřování ve vlastní infrastruktuře společnosti Contoso. Společnost Contoso používá připojovací řetězec k načtení tokenů z aplikace společnosti Fabrikam.

Sekvenční diagram, který ukazuje, jak aplikace Contoso ověřuje uživatele Fabrikam pomocí vlastního prostředku Azure Communication Services společnosti Contoso.

Následující sekvenční diagram podrobně popisuje víceklientských ověřování.

Sekvenční diagram, který podrobně popisuje ověřování uživatelů Microsoftu 365 a přístupových tokenů Azure Communication Services pro víceklientských aplikací Microsoft Entra.

Než začneme:

  • Alice nebo její správce Microsoft Entra musí před prvním pokusem o přihlášení udělit souhlas aplikace Microsoft Entra společnosti Contoso. Přečtěte si další informace o souhlasu.

Kroky:

  1. Ověřování Alice pomocí aplikace Fabrikam: Alice se ověřuje prostřednictvím aplikace společnosti Fabrikam. Používá se standardní tok OAuth s knihovnou MSAL (Microsoft Authentication Library). Ujistěte se, že službu MSAL nakonfigurujete se správnou autoritou. Pokud je ověřování úspěšné, klientská aplikace Contoso obdrží přístupový token Microsoft Entra s hodnotou A1 a ID objektu uživatele Microsoft Entra s hodnotou A2. Podrobnosti o tokenu jsou uvedeny níže. Ověřování z pohledu vývojáře se zkoumá v tomto rychlém startu.
  2. Získání přístupového tokenu pro Alice: Aplikace Contoso pomocí vlastního artefaktu ověřování s hodnotou B provádí autorizační logiku, která určuje, jestli má Alice oprávnění k výměně přístupového tokenu Microsoft Entra pro přístupový token služby Azure Communication Services. Po úspěšné autorizaci aplikace Contoso provádí logiku řídicí roviny pomocí artefaktů A1, A2a A3. Přístupový token D služby Azure Communication Services se vygeneruje pro Alice v rámci aplikace Contoso. Tento přístupový token lze použít pro akce roviny dat ve službách Azure Communication Services, jako je volání. Artefakty A2 a A3 artefakty jsou předány spolu s artefaktem A1. Ověření zaručuje, že byl token Microsoft Entra vydán očekávanému uživateli. Aplikace brání útočníkům v používání přístupových tokenů Microsoft Entra vydaných jiným aplikacím nebo jiným uživatelům. Další informace o tom, jak získat A artefakty, naleznete v tématu Příjem tokenu uživatele a ID objektu Microsoft Entra prostřednictvím knihovny MSAL a získat ID aplikace.
  3. ZavolejTe Bobovi: Alice zavolá uživateli Microsoftu 365 Bobovi s aplikací Fabrikam. Volání probíhá prostřednictvím volající sady SDK s přístupovým tokenem služby Azure Communication Services. Další informace o vývoji aplikací pro uživatele Microsoftu 365 najdete v tomto rychlém startu.

Artefakty:

  • Artefakt A1
    • Typ: Přístupový token Microsoft Entra
    • Cílová skupina: Azure Communication Services, řídicí rovina
    • Zdroj: Tenant Microsoft Entra registrace aplikace Contoso
    • Oprávnění: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Artefakt A2
    • Typ: ID objektu uživatele Microsoft Entra
    • Zdroj: Tenant Microsoft Entra společnosti Fabrikam
    • Autorita: https://login.microsoftonline.com/<tenant>/ nebo https://login.microsoftonline.com/organizations/ (na základě vašeho scénáře )
  • Artefakt A3
    • Typ: ID aplikace Microsoft Entra
    • Zdroj: Tenant Microsoft Entra registrace aplikace Contoso
  • Artefakt B
    • Typ: Vlastní autorizační artefakt Společnosti Contoso (vystavený ID Microsoft Entra nebo jinou autorizační službou)
  • Artefakt C
  • Artefakt D
    • Typ: Přístupový token služby Azure Communication Services
    • Cílová skupina: Azure Communication Services, rovina dat
    • ID prostředku služby Azure Communication Services: Contoso Azure Communication Services Resource ID

Další kroky

Pro vás můžou být zajímavé následující ukázkové aplikace:

  • Vyzkoušejte ukázkovou aplikaci, která předvádí proces získání přístupových tokenů azure Communication Services pro uživatele Microsoftu 365 v mobilních a desktopových aplikacích.

  • Pokud chcete zjistit, jak se v jednostránkové aplikaci získávají přístupové tokeny služeb Azure Communication Services pro uživatele Microsoftu 365, podívejte se na ukázkovou aplikaci SPA.

  • Další informace o implementaci ověřovací služby pro službu Azure Communication Services najdete v ukázce hero ověřovací služby.