Verwenden eines Zertifikats oder einer MSI für die App-Authentifizierung

Sie können die zertifikat- oder MSI-basierte Authentifizierung verwenden, um Ihre Bot-App anstelle der Bot-ID und des Geheimnisses zu überprüfen. Diese Authentifizierung löst die Complianceprobleme im Zusammenhang mit der Verwendung von Microsoft Entra ID und Botgeheimnissen.

Voraussetzungen

Stellen Sie sicher, dass Sie eine Teams-Bot-App in Azure mit den folgenden Ressourcen bereitgestellt haben:

• Ein Azure-Bot.
• Eine Entra-ID mit einem Geheimnis, das für die Botauthentifizierung verwendet wird.
• Eine Ressource, die Ihre Bot-App hostet, z. B. Azure App Service, Azure Functions.

Update auf zertifikatbasierte Authentifizierung

So aktualisieren Sie Ihre Bot-App für die Verwendung der zertifikatbasierten Authentifizierung:

1. Erstellen und Hochladen eines Zertifikats in Azure AD
2. Aktualisieren des Bot-App-Codes
3. Löschen des Botgeheimnisses

Erstellen und Hochladen eines Zertifikats in Azure AD

So verwenden Sie ein Zertifikat für die Botauthentifizierung:

1. Bereiten Sie ein Zertifikat und einen privaten Schlüssel vor.

2. Navigieren Sie zum Azure-Portal.

3. Wählen Sie App-Registrierungen aus.

   

4. Wählen Sie Ihre registrierte App aus.

5. Wählen Sie im linken Bereich unter Verwalten die Option Zertifikate & Geheimnisse aus.

6. Wählen Sie unter Zertifikate die Option Zertifikat hochladen aus.

   

   Das Fenster Zertifikat hochladen wird angezeigt.

   Hinweis

   Laden Sie ein Zertifikat (öffentlicher Schlüssel) mit einem der folgenden Dateitypen hoch: .cer, PEM, CRT.

7. Laden Sie das von Ihnen vorbereitete Zertifikat hoch.

8. Geben Sie Beschreibung ein.

9. Klicken Sie auf Hinzufügen.

   

Aktualisieren des Bot-App-Codes

Führen Sie die Schritte zum Aktualisieren des Bot-App-Codes aus:

1. Öffnen Sie Ihr Bot-App-Projekt in Visual Studio oder Visual Studio Code.

2. Aktualisieren Sie Ihren Code.

   JavaScript

       const credentialsFactory = new ConfigurationServiceClientCredentialFactory({
       MicrosoftAppId: config.botId,
       CertificatePrivateKey: '{your private key}',
       CertificateThumbprint: '{your cert thumbprint}',
       MicrosoftAppType: "MultiTenant",
       });
   
       const botFrameworkAuthentication = new ConfigurationBotFrameworkAuthentication(
       {},
       credentialsFactory
       );
   
       const adapter = new CloudAdapter(botFrameworkAuthentication);
   

   C#

       builder.Services.AddSingleton<ServiceClientCredentialsFactory>((e) => new CertificateServiceClientCredentialsFactory("{your certificate}", "{your entra id}"));
   

3. Stellen Sie sicher, dass Sie Ihren Bot testen, um zu bestätigen, dass der Vorgang der aktualisierten Authentifizierung entspricht.

Löschen des Botgeheimnisses

Stellen Sie sicher, dass Ihre Bot-App das Zertifikat für die Authentifizierung verwendet, bevor Sie das Botgeheimnis löschen.

So löschen Sie das Botgeheimnis:

1. Navigieren Sie zum Azure-Portal.

2. Wählen Sie App-Registrierungen aus.

   

3. Wählen Sie Ihre registrierte App aus.

4. Wählen Sie im linken Bereich unter Verwalten die Option Zertifikate & Geheimnisse aus.

5. Löschen Sie die Geheimnisse aus Entra.

   

Ihre Bot-App verwendet jetzt das Zertifikat für die Authentifizierung.

Update auf MSI-basierte Authentifizierung

So aktualisieren Sie Ihre Bot-App für die Verwendung der MSI-basierten Authentifizierung:

1. Erstellen eines Botdiensts mit MSI-Typ in Azure AD
2. Aktualisieren des Bot-App-Codes für MSI
3. Löschen des Botgeheimnisses

Hinweis

Die ID und der Typ des Azure Bot-Diensts können nach der Erstellung nicht geändert werden.

Erstellen eines Botdiensts mit MSI-Typ in Azure AD

Führen Sie die folgenden Schritte aus, um einen neuen Azure Bot-Dienst mit DEM MSI-Typ zu erstellen:

1. Navigieren Sie zum Azure-Portal.

2. Wechseln Sie zu Startseite.

3. Wählen Sie + Ressource erstellen aus.

4. Geben Sie in das Suchfeld Azure Bot ein.

5. Drücken Sie die EINGABETASTE .

6. Wählen Sie Azure Bot aus.

7. Wählen Sie Erstellen aus.

   

8. Geben Sie den Botnamen im Bothandle ein.

9. Wählen Sie Ihr Abonnement aus der Dropdownliste aus.

10. Wählen Sie Ihre Ressourcengruppe aus der Dropdownliste aus.

    

    Wenn Sie nicht über eine vorhandene Ressourcengruppe verfügen, können Sie eine neue Ressourcengruppe erstellen. Führen Sie die folgenden Schritte aus, um einen neuen Azure-Botdienst und eine verwaltete Identität zu erstellen:

    1. Wählen Sie Neu erstellen aus.
    2. Geben Sie den Ressourcennamen ein, und wählen Sie OK aus.
    3. Wählen Sie in der Dropdownliste Neuer Ressourcengruppenstandort einen Standort aus.

    

11. Wählen Sie unter Microsoft App-IDdie Option App-Typ als benutzerseitig zugewiesene verwaltete Identität aus.

12. Wählen Sie unter Erstellungstyp die Option Neue Microsoft-App-ID erstellen aus.

    

    OR

    Sie können zuerst manuell eine verwaltete Identität und dann den Azure-Bot mithilfe von Vorhandene App-Registrierung verwenden erstellen.

13. Aktualisieren Sie den neuen Azure Bot-Messagingendpunkt und die neuen Kanäle, um sie mit denen des alten Diensts übereinzugleichen.

14. Navigieren Sie zu Ihrer App-Hostingressource.

15. Wählen Sie Einstellungen > Identität > Benutzerseitig zugewiesen aus.

16. Fügen Sie die verwaltete Identität hinzu, die Sie erstellt haben.

Aktualisieren des Bot-App-Codes für MSI

Führen Sie die folgenden Schritte aus, um den Bot-App-Code für MSI zu aktualisieren:

1. Öffnen Sie Ihr Bot-App-Projekt in Visual Studio oder Visual Studio Code.

2. Aktualisieren Sie Ihren Code.

   JavaScript

       const credentialsFactory = new ConfigurationServiceClientCredentialFactory({
       MicrosoftAppType: 'UserAssignedMsi',
       MicrosoftAppId: '{your MSI’s client ID}',
       MicrosoftAppTenantId: '{your MSI’s tenant ID}',
       });
   
       const botFrameworkAuthentication = new ConfigurationBotFrameworkAuthentication(
       {},
       credentialsFactory
       );
   
       const adapter = new CloudAdapter(botFrameworkAuthentication);
   

   C#

       builder.Configuration["MicrosoftAppType"] = "UserAssignedMsi";
       builder.Configuration["MicrosoftAppId"] = "{your MSI’s client ID}";
       builder.Configuration["MicrosoftAppPassword"] = "{your MSI’s tenant ID}";
       builder.Services.AddSingleton<BotFrameworkAuthentication, ConfigurationBotFrameworkAuthentication>();
   

3. Aktualisieren Sie in BOT_ID Ihrer .env Datei.

4. Stellen Sie sicher, dass Sie Ihren Bot testen, um zu bestätigen, dass der Betrieb der aktualisierten Authentifizierung entspricht.

Löschen des Botgeheimnisses

Stellen Sie sicher, dass Ihre Bot-App das Zertifikat für die Authentifizierung verwendet, bevor Sie das Botgeheimnis löschen.

So löschen Sie das Botgeheimnis:

1. Navigieren Sie zum Azure-Portal.

2. Wählen Sie App-Registrierungen aus.

   

3. Wählen Sie Ihre registrierte App aus.

4. Wählen Sie im linken Bereich unter Verwalten die Option Zertifikate & Geheimnisse aus.

5. Löschen Sie die Geheimnisse aus Entra.

   

Ihre Bot-App verwendet jetzt MSI für die Authentifizierung.

Siehe auch

• Erstellen von Bots für Teams
• Erstellen von Nachrichtenerweiterungen
• Authentifizieren von Benutzern in Microsoft Teams