Uso de certificado o MSI para la autenticación de aplicaciones

Puede usar la autenticación basada en certificado o MSI para validar la aplicación de bot en lugar de un identificador de bot y un secreto. Esta autenticación resuelve los problemas de cumplimiento relacionados con el uso de Microsoft Entra ID y el secreto del bot.

Requisitos previos

Asegúrese de que tiene una aplicación de bot de Teams implementada en Azure con los siguientes recursos:

• Un bot de Azure.
• Un id. de entra con un secreto usado para la autenticación de bots.
• Un recurso que hospeda la aplicación de bot, como Azure App Service, Azure Functions.

Actualización a la autenticación basada en certificados

Para actualizar la aplicación de bot para usar la autenticación basada en certificados:

1. Creación y carga de certificados en Azure AD
2. Actualización del código de la aplicación del bot
3. Eliminación del secreto de bot

Creación y carga de certificados en Azure AD

Para usar un certificado para la autenticación de bots:

1. Prepare un certificado y una clave privada.

2. Acceda a Portal Azure.

3. Seleccione Registros de aplicaciones.

   

4. Seleccione la aplicación registrada.

5. En el panel izquierdo, en Administrar, seleccione Certificados & secretos.

6. En Certificados, seleccione Cargar certificado.

   

   Aparece la ventana Cargar un certificado .

   Nota:

   Cargue un certificado (clave pública) con uno de los siguientes tipos de archivo: .cer, .pem, .crt.

7. Cargue el certificado que preparó.

8. Escriba Descripción.

9. Seleccione Agregar.

   

Actualización del código de la aplicación del bot

Siga los pasos para actualizar el código de la aplicación de bot:

1. Abra el proyecto de aplicación de bot en Visual Studio o Visual Studio Code.

2. Actualice el código.

   JavaScript

       const credentialsFactory = new ConfigurationServiceClientCredentialFactory({
       MicrosoftAppId: config.botId,
       CertificatePrivateKey: '{your private key}',
       CertificateThumbprint: '{your cert thumbprint}',
       MicrosoftAppType: "MultiTenant",
       });
   
       const botFrameworkAuthentication = new ConfigurationBotFrameworkAuthentication(
       {},
       credentialsFactory
       );
   
       const adapter = new CloudAdapter(botFrameworkAuthentication);
   

   C#

       builder.Services.AddSingleton<ServiceClientCredentialsFactory>((e) => new CertificateServiceClientCredentialsFactory("{your certificate}", "{your entra id}"));
   

3. Asegúrese de probar el bot para confirmar que la operación se alinea con la autenticación actualizada.

Eliminación del secreto de bot

Asegúrese de que la aplicación de bot usa el certificado para la autenticación antes de eliminar el secreto del bot.

Para eliminar el secreto del bot:

1. Acceda a Portal Azure.

2. Seleccione Registros de aplicaciones.

   

3. Seleccione la aplicación registrada.

4. En el panel izquierdo, en Administrar, seleccione Certificados & secretos.

5. Elimine los secretos de Entra.

   

La aplicación de bot ahora usa el certificado para la autenticación.

Me encontré con un problema

Actualización a la autenticación basada en MSI

Para actualizar la aplicación de bot para usar la autenticación basada en MSI:

1. Creación de un servicio de bot con el tipo MSI en Azure AD
2. Actualización del código de la aplicación de bot para MSI
3. Eliminación del secreto de bot

Nota:

El tipo y el identificador del servicio Bot de Azure no se pueden modificar después de la creación.

Creación de un servicio de bot con el tipo MSI en Azure AD

Para crear un nuevo servicio bot de Azure con el tipo MSI, siga estos pasos:

1. Acceda a Portal Azure.

2. Ve a Inicio.

3. Seleccione + Crear un recurso.

4. En el cuadro de búsqueda, escriba Azure Bot.

5. Seleccione la tecla Entrar .

6. Seleccione Bot de Azure.

7. Seleccione Crear.

   

8. Escriba el nombre del bot en Identificador de bot.

9. Seleccione su Suscripción en la lista desplegable.

10. Seleccione el Grupo de recursos en la lista desplegable.

    

    Si no tiene un grupo de recursos existente, puede crear un nuevo grupo de recursos. Para crear un nuevo servicio de bot de Azure e identidad administrada, siga estos pasos:

    1. Seleccione Crear nuevo.
    2. Escriba el nombre del recurso y seleccione Aceptar.
    3. Seleccione una ubicación en la lista desplegable Nueva ubicación del grupo de recursos .

    

11. En Id. de aplicación de Microsoft, seleccione Tipo de aplicación como identidad administrada asignada por el usuario.

12. En Tipo de creación, seleccione Crear nuevo identificador de aplicación de Microsoft.

    

    OR

    En primer lugar, puede crear manualmente una identidad administrada y, después, crear el bot de Azure mediante el uso del registro de aplicaciones existente.

13. Actualice el nuevo punto de conexión y los canales de mensajería de Azure Bot para que coincidan con los del servicio anterior.

14. Vaya al recurso de hospedaje de aplicaciones.

15. Seleccione Configuración > Identidad > asignada por el usuario.

16. Agregue la identidad administrada que ha creado.

Actualización del código de la aplicación de bot para MSI

Para actualizar el código de la aplicación de bot para MSI, siga estos pasos:

1. Abra el proyecto de aplicación de bot en Visual Studio o Visual Studio Code.

2. Actualice el código.

   JavaScript

       const credentialsFactory = new ConfigurationServiceClientCredentialFactory({
       MicrosoftAppType: 'UserAssignedMsi',
       MicrosoftAppId: '{your MSI’s client ID}',
       MicrosoftAppTenantId: '{your MSI’s tenant ID}',
       });
   
       const botFrameworkAuthentication = new ConfigurationBotFrameworkAuthentication(
       {},
       credentialsFactory
       );
   
       const adapter = new CloudAdapter(botFrameworkAuthentication);
   

   C#

       builder.Configuration["MicrosoftAppType"] = "UserAssignedMsi";
       builder.Configuration["MicrosoftAppId"] = "{your MSI’s client ID}";
       builder.Configuration["MicrosoftAppTenantId"] = "{your MSI’s tenant ID}";
       builder.Services.AddSingleton<BotFrameworkAuthentication, ConfigurationBotFrameworkAuthentication>();
   

3. Actualice en .env el BOT_ID archivo.

4. Asegúrese de probar el bot para confirmar que su operación se alinea con la autenticación actualizada.

Eliminación del secreto de bot

Asegúrese de que la aplicación de bot usa el certificado para la autenticación antes de eliminar el secreto del bot.

Para eliminar el secreto del bot:

1. Acceda a Portal Azure.

2. Seleccione Registros de aplicaciones.

   

3. Seleccione la aplicación registrada.

4. En el panel izquierdo, en Administrar, seleccione Certificados & secretos.

5. Elimine los secretos de Entra.

   

La aplicación de bot ahora usa MSI para la autenticación.

Me encontré con un problema

Consulta también

• Crear bots para Teams
• Generar extensiones de mensaje
• Autenticar usuarios en Microsoft Teams