Provider di identità

SI APPLICA A: SDK v4

Un provider di identità autentica le identità di utenti o client e rilascia token di sicurezza utilizzabili. Offre l'autenticazione utente come servizio.

Le applicazioni client, ad esempio le applicazioni Web, delegano l'autenticazione a un provider di identità attendibile. Tali applicazioni client vengono definite federate, perché usano l'identità federata. Per altre informazioni, vedere Modello di identità federata.

L'uso di un provider di identità attendibile consente di:

• Abilitare le funzionalità di Single Sign-On (SSO), permettendo a un'applicazione di accedere a più risorse protette.
• Facilita le connessioni tra le risorse di cloud computing e gli utenti, riducendo la necessità di riautenticazione degli utenti.

Single Sign-On

Single Sign-On fa riferimento a un processo di autenticazione che consente a un utente di accedere a un sistema una sola volta con un singolo set di credenziali per accedere a più applicazioni o servizi.

Un utente usa un'unica combinazione di ID e password per accedere a uno qualsiasi dei diversi sistemi software correlati. Per altre informazioni, vedere Single Sign-On.

Molti provider di identità supportano un'operazione di disconnesso che revoca il token utente e termina l'accesso alle applicazioni e ai servizi associati.

Importante

SSO migliora l'usabilità riducendo il numero di volte in cui un utente deve immettere le credenziali. Offre inoltre una maggiore sicurezza in quanto riduce la potenziale superficie di attacco.

Provider di identità Microsoft Entra ID

Microsoft Entra ID è il servizio di gestione delle identità in Microsoft Azure che fornisce funzionalità di gestione delle identità e controllo di accesso. Garantisce un accesso sicuro agli utenti grazie all'uso di protocolli standard del settore come OAuth2.0.

È possibile scegliere tra due implementazioni del provider di identità di Active Directory, con impostazioni diverse, come illustrato di seguito.

Nota

Usare queste impostazioni quando si configura la Impostazioni OAuth Connessione ion nell'applicazione di registrazione del bot di Azure. Per altre informazioni, vedere Aggiungere l'autenticazione a un bot.

Microsoft Entra ID

Microsoft Identity Platform (v2.0), noto anche come endpoint ID Microsoft Entra, consente a un bot di ottenere token per chiamare le API Microsoft, ad esempio Microsoft Graph o altre API. Identity Platform è un'evoluzione della piattaforma Azure AD (v1.0). Per altre informazioni, vedere Panoramica di Microsoft Identity Platform (v2.0).

Usare le impostazioni di AD v2 seguenti per consentire a un bot di accedere ai dati di Office 365 tramite l'API Microsoft Graph.

Proprietà	Descrizione o valore
Nome	Nome della connessione del provider di identità.
Provider di servizi	Provider di identità da usare. Selezionare Microsoft Entra ID.
ID client	ID applicazione (client) per l'app del provider di identità di Azure.
Segreto client	Segreto per l'app del provider di identità di Azure.
ID tenant	ID della directory (tenant) o common. Per altre informazioni, vedere la nota sugli ID tenant.
Ambiti	Elenco separato da spazi delle autorizzazioni API concesse all'app provider di identità Microsoft Entra ID, ad esempio openid, Mail.SendUser.ReadprofileMail.Reade .User.ReadBasic.All
URL scambio di token	Per un bot di competenze abilitato per l'accesso Single Sign-On, usare l'URL di scambio di token associato alla connessione OAuth; in caso contrario, lasciare vuoto questo valore. Per informazioni sull'URL di scambio di token SSO, vedere Creare impostazioni di connessione OAuth.

Azure AD v1

Azure AD v1

Usare le impostazioni illustrate di seguito per configurare la piattaforma per sviluppatori Microsoft Entra ID (v1.0), nota anche come endpoint di Azure AD v1 . In questo modo è possibile creare app che consentono di accedere in modo sicuro agli utenti con un account Microsoft aziendale o dell'istituto di istruzione. Per altre informazioni, vedere Panoramica di Microsoft Entra ID for developers (v1.0).

Proprietà	Descrizione o valore
Nome	Nome della connessione del provider di identità.
Provider di servizi	Provider di identità da usare. Selezionare Microsoft Entra ID.
ID client	ID applicazione (client) per l'app del provider di identità di Azure.
Segreto client	Segreto per l'app del provider di identità di Azure.
Tipo di concessione	authorization_code
URL di accesso	https://login.microsoftonline.com
ID tenant	ID della directory (tenant) o common. Per altre informazioni, vedere la nota seguente sugli ID tenant.
URL risorsa	https://graph.microsoft.com/
Ambiti	Lasciare vuoto questo campo.
URL scambio di token	Lasciare vuoto questo campo.

Nota

Se è stata selezionata una delle opzioni seguenti, immettere l'ID tenant registrato per l'app provider di identità Microsoft Entra ID:

• Account solo in questa directory dell'organizzazione (Solo Microsoft - Tenant singolo)
• Account in qualsiasi directory dell'organizzazione (Qualsiasi directory di Azure AD – Multi-tenant)

Se è stata selezionata l'opzione Account in qualsiasi directory dell'organizzazione (qualsiasi directory id di Microsoft Entra - Multi-tenant e account Microsoft personali, ad esempio Skype, Xbox, Outlook.com), immettere common.

In caso contrario, l'app del provider di identità Microsoft Entra ID userà il tenant per verificare l'ID selezionato ed escludere gli account Microsoft personali.

Per altre informazioni, vedere:

• Perché eseguire l'aggiornamento a Microsoft Identity Platform (v2.0)?
• Microsoft Identity Platform (MICROSOFT Entra ID per sviluppatori).

Altri provider di identità

Azure supporta diversi provider di identità. È possibile ottenere un elenco completo, insieme ai dettagli correlati, eseguendo i comandi della console di Azure seguenti:

az login
az bot authsetting list-providers

È anche possibile visualizzare l'elenco di questi provider nel portale di Azure quando si definiscono le impostazioni di connessione OAuth per un'app di registrazione bot.

Provider generici OAuth

supporto tecnico di Azure generico OAuth2, che consente di usare il proprio provider di identità.

È possibile scegliere tra due implementazioni del provider di identità generiche, con impostazioni diverse, come illustrato di seguito.

Nota

Usare le impostazioni descritte qui durante la configurazione del Impostazioni OAuth Connessione ion nell'applicazione di registrazione del bot di Azure.

OAuth2 generico

Usare questo provider per configurare qualsiasi provider di identità OAuth2 generico con aspettative simili al provider ID Microsoft Entra, in particolare AD v2. Per questo tipo di connessione, le stringhe di query e i payload del corpo della richiesta vengono corretti.

Proprietà	Descrizione o valore
Nome	Nome della connessione del provider di identità.
Provider di servizi	Provider di identità da usare. Selezionare Oauth 2 generico.
ID client	ID client ottenuto dal provider di identità.
Segreto client	Segreto client ottenuto dalla registrazione del provider di identità.
URL di autorizzazione	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL del token	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL di aggiornamento	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL scambio di token	Lasciare vuoto questo campo.
Ambiti	Elenco delimitato da virgole delle autorizzazioni API concesse all'app del provider di identità.

Provider generico OAuth 2

Questo provider richiede più parametri di configurazione, quindi usare questa versione per configurare qualsiasi provider di servizi OAuth 2 generico quando è necessaria maggiore flessibilità. Con questa configurazione, si specificano i modelli di URL, i modelli di stringa di query e i modelli di corpo per l'autorizzazione, l'aggiornamento e la conversione dei token.

Proprietà	Descrizione o valore
Nome	Nome della connessione del provider di identità.
Provider di servizi	Provider di identità da usare. Selezionare Provider generico Oauth 2.
ID client	ID client ottenuto dal provider di identità.
Segreto client	Segreto client ottenuto dalla registrazione del provider di identità.
Delimitatore elenco di ambiti	Il carattere separatore per l'elenco degli ambiti. Gli spazi vuoti ( ) non sono supportati in questo campo, ma possono essere usati nel campo Ambiti se richiesto dal provider di identità. In tal caso, usare una virgola (,) per questo campo e spazi ( ) nel campo Ambiti .
Modello URL di autorizzazione	Modello di URL per l'autorizzazione, definito dal provider di identità. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Modello di stringa di query URL di autorizzazione	Modello di query per l'autorizzazione, fornito dal provider di identità. Le chiavi nel modello di stringa di query variano in base al provider di identità. Ad esempio, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Modello di URL del token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modello di stringa di query dell'URL del token	Separatore della stringa di query per l'URL del token. In genere un punto interrogativo (?).
Modello del corpo del token	Modello per il corpo del token. Ad esempio, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Modello di URL di aggiornamento	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modello di stringa di query dell'URL di aggiornamento	Separatore della stringa di query url di aggiornamento per l'URL del token. In genere un punto interrogativo (?).
Modello del corpo dell'aggiornamento	Modello per il corpo dell'aggiornamento. Ad esempio, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
URL scambio di token	Lasciare vuoto questo campo.
Ambiti	Elenco di ambiti in cui si vuole che gli utenti autenticati abbiano eseguito l'accesso. Assicurarsi di impostare solo gli ambiti necessari e seguire il principio di controllo di accesso con privilegi minimi. Ad esempio, User.Read. Se si usa un ambito personalizzato, usare l'URI completo, incluso l'URI dell'ID applicazione esposto.

Passaggi successivi

Proxy dei provider di identità