Proveedores de identidades
SE APLICA A: SDK v4
Un proveedor de identidades autentica identidades de clientes o usuarios y emite tokens de seguridad que se pueden consumir. Proporciona la autenticación de usuario como servicio.
Las aplicaciones cliente, como las aplicaciones web, delegan la autenticación en un proveedor de identidades de confianza. Se dice que estas aplicaciones cliente son federadas, es decir, usan la identidad federada. Para obtener más información, consulte Patrón de identidad federada.
El uso de un proveedor de identidades de confianza:
- Habilita características de inicio de sesión único (SSO), lo que permite que una aplicación tenga acceso a varios recursos protegidos.
- Facilita las conexiones entre los usuarios y los recursos de informática en la nube, lo que reduce la necesidad de volver a autenticar a los usuarios.
Inicio de sesión único
El inicio de sesión único hace referencia a un proceso de autenticación que permite a un usuario iniciar sesión en un sistema una vez con un único conjunto de credenciales para acceder a varias aplicaciones o servicios.
Un usuario inicia sesión con un solo identificador y contraseña para obtener acceso a cualquiera de los distintos sistemas de software relacionados. Para más información, consulte Inicio de sesión único.
Muchos proveedores de identidades admiten una operación de cierre de sesión que revoca el token de usuario y termina el acceso a las aplicaciones y los servicios asociados.
Importante
El inicio de sesión único mejora la facilidad de uso al reducir el número de veces que un usuario debe escribir las credenciales. También proporciona una mayor seguridad al disminuir la superficie de ataque potencial.
Proveedor de identidades de Microsoft Entra ID
Microsoft Entra ID es el servicio de identidad de Microsoft Azure que proporciona funcionalidades de administración de identidades y control de acceso. Permite a los usuarios iniciar sesión de forma segura mediante protocolos estándar del sector como OAuth 2.0.
Puede elegir entre dos implementaciones del proveedor de identidades de Active Directory que tienen configuraciones diferentes, como se muestra a continuación.
Nota:
Utilice estas configuraciones al establecer la configuración de conexión de OAuth en la aplicación de registro del bot de Azure. Para obtener más información, consulte Adición de autenticación a un bot.
La Plataforma de identidad de Microsoft (v2.0), también conocida como el punto de conexión de Microsoft Entra ID, permite que un bot obtenga tokens para llamar a las API de Microsoft, como Microsoft Graph u otras. La plataforma de identidad es una evolución de la plataforma de Azure AD (v1.0). Para más información, consulte Introducción a la Plataforma de identidad de Microsoft (v2.0).
Utilice la configuración de AD v2 para permitir que un bot acceda a los datos de Office 365 mediante Microsoft Graph API.
Propiedad | Descripción o valor |
---|---|
Nombre | El nombre de esta conexión del proveedor de identidades. |
Proveedor de servicios | El proveedor de identidades que se va a utilizar. Seleccione Microsoft Entra ID. |
Id. de cliente | El identificador de la aplicación (cliente) del proveedor de identidades de Azure. |
Secreto de cliente | El Secreto de la aplicación del proveedor de identidades de Azure. |
Id. de inquilino | El identificador o common del directorio (inquilino). Para obtener más información, consulte la nota sobre los identificadores de inquilino. |
Ámbitos | Una lista separada por espacios de los permisos de API que concedió a la aplicación del proveedor de identidades de Microsoft Entra ID, como openid , profile , Mail.Read , Mail.Send , User.Read y User.ReadBasic.All . |
Dirección URL de intercambio de tokens | En el caso de un bot de capacidad habilitado para SSO, use la dirección URL de intercambio de tokens asociada a la conexión de OAuth; de lo contrario, deje esta opción vacía. Para obtener más información sobre la dirección URL de intercambio de tokens de SSO, consulte Creación de una configuración de conexión de OAuth. |
Nota:
Si ha seleccionado uno de los siguientes, introduzca el identificador de inquilino que registró para la aplicación del proveedor de identidades de Microsoft Entra ID:
- Solo las cuentas de este directorio organizativo (solo Microsoft: inquilino único)
- Cuentas de cualquier directorio organizativo (Directorio de Microsoft AAD: multiinquilino)
Si seleccionó Cuentas en cualquier directorio de la organización (cualquier directorio de Microsoft Entra ID: Multiinquilino y cuentas personales de Microsoft, como Skype, Xbox o Outlook.com), introduzca common
.
De lo contrario, la aplicación del proveedor de identidades de Microsoft Entra ID utilizará el inquilino para verificar el id. seleccionado y excluirá las cuentas personales de Microsoft.
Para más información, vea:
- Motivos para actualizar a la Plataforma de identidad de Microsoft (v2.0)
- Plataforma de identidad de Microsoft (Microsoft Entra ID para desarrolladores).
Otros proveedores de identidades
Azure admite varios proveedores de identidades. Puede obtener una lista completa, junto con los detalles relacionados, mediante la ejecución de los siguientes comandos de la consola de Azure:
az login
az bot authsetting list-providers
También puede ver la lista de estos proveedores en Azure Portal, al definir la configuración de conexión de OAuth para una aplicación de registro del bot.
Proveedores genéricos de OAuth
Azure admite OAuth 2 genérico, lo que le permite usar su propio proveedor de identidades.
Puede elegir entre dos implementaciones del proveedor de identidades genéricas que tienen configuraciones diferentes, como se muestra a continuación.
Nota:
Utilice la configuración que se describe aquí al establecer la configuración de conexión de OAuth en la aplicación de registro del bot de Azure.
Utilice este proveedor para configurar cualquier proveedor de identidades de OAuth 2 genérico que tenga expectativas similares a las del proveedor de Microsoft Entra ID, especialmente AD v2. Para este tipo de conexión, se fijan las cadenas de consulta y las cargas del cuerpo de la solicitud.
Propiedad | Descripción o valor |
---|---|
Nombre | El nombre de esta conexión del proveedor de identidades. |
Proveedor de servicios | El proveedor de identidades que se va a utilizar. Seleccione OAuth 2 genérico. |
Id. de cliente | Su id. de cliente, obtenido del proveedor de identidades. |
Secreto de cliente | Su secreto de cliente, obtenido del registro del proveedor de identidades. |
Dirección URL de autorización | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
Dirección URL del token | https://login.microsoftonline.com/common/oauth2/v2.0/token |
Dirección URL de actualización | https://login.microsoftonline.com/common/oauth2/v2.0/token |
Dirección URL de intercambio de tokens | Deje esto en blanco. |
Ámbitos | Lista separada por comas de los permisos de API que ha concedido a la aplicación del proveedor de identidades. |