Autenticazione a tenant singolo e multi-tenant per gli utenti di Microsoft 365
Questo articolo fornisce informazioni dettagliate sul processo di autenticazione per applicazioni multi-tenant e multi-tenant, Microsoft Entra ID (Microsoft Entra ID ). È possibile usare l'autenticazione quando si creano esperienze di chiamata per gli utenti di Microsoft 365 con l'SDK (Calling Software Development Kit) che Servizi di comunicazione di Azure rende disponibile. I casi d'uso in questo articolo suddivideno anche i singoli artefatti di autenticazione.
Caso 1: esempio di applicazione a tenant singolo
L'azienda Fabrikam ha creato un'applicazione per l'uso interno. Tutti gli utenti dell'applicazione hanno l'ID Microsoft Entra. L'accesso a Servizi di comunicazione di Azure è controllato dal controllo degli accessi in base al ruolo di Azure.
Il diagramma di sequenza seguente illustra l'autenticazione a tenant singolo.
Prima di iniziare:
- Alice o il suo amministratore di Microsoft Entra deve fornire il consenso dell'applicazione Teams personalizzata, prima del primo tentativo di accesso. Altre informazioni sul consenso.
- L'amministratore delle risorse Servizi di comunicazione di Azure deve concedere a Alice l'autorizzazione per svolgere il proprio ruolo. Altre informazioni sull'assegnazione di ruolo controllo degli accessi in base al ruolo di Azure.
Passaggi:
- Autenticare Alice con Microsoft Entra ID: Alice viene autenticata usando un flusso OAuth standard con Microsoft Authentication Library (MSAL). Se l'autenticazione ha esito positivo, l'applicazione client riceve un token di
A1accesso Microsoft Entra, con il valore e un ID oggetto di un utente Microsoft Entra con valoreA2. I token sono descritti più avanti in questo articolo. L'autenticazione dal punto di vista dello sviluppatore viene esaminata in questa guida introduttiva. - Ottenere un token di accesso per Alice: l'applicazione Fabrikam usando un artefatto di autenticazione personalizzato con valore
Besegue la logica di autorizzazione per decidere se Alice dispone dell'autorizzazione per scambiare il token di accesso di Microsoft Entra per un token di accesso Servizi di comunicazione di Azure. Dopo l'autorizzazione, l'applicazione Fabrikam esegue la logica del piano di controllo usando artefattiA1,A2eA3. Servizi di comunicazione di Azure tokenDdi accesso viene generato per Alice all'interno dell'applicazione Fabrikam. Questo token di accesso può essere usato per le azioni del piano dati in Servizi di comunicazione di Azure, ad esempio Chiamata. GliA2artefatti eA3vengono passati insieme all'artefattoA1per la convalida. La convalida garantisce che il token Microsoft Entra sia stato rilasciato all'utente previsto. L'applicazione impedisce agli utenti malintenzionati di usare i token di accesso di Microsoft Entra rilasciati ad altre applicazioni o ad altri utenti. Per altre informazioni su come ottenereAgli artefatti, vedere Ricevere il token utente e l'ID oggetto di Microsoft Entra tramite la libreria MSAL e Ottenere un ID applicazione. - Chiama Bob: Alice effettua una chiamata all'utente Di Microsoft 365 Bob con l'app Fabrikam. La chiamata avviene tramite l'SDK chiamante con un token di accesso Servizi di comunicazione di Azure. Altre informazioni sullo sviluppo di applicazioni per gli utenti di Microsoft 365.
Artefatti:
- Artefatto
A1- Tipo: Token di accesso Di Microsoft Entra
- Destinatari:
Azure Communication Services, piano di controllo - Origine: tenant di Microsoft Entra di Fabrikam
- Autorizzazioni:
https://auth.msft.communication.azure.com/Teams.ManageCalls,https://auth.msft.communication.azure.com/Teams.ManageChats
- Artefatto
A2- Tipo: ID oggetto di un utente di Microsoft Entra
- Origine: tenant di Microsoft Entra di Fabrikam
- Autorità:
https://login.microsoftonline.com/<tenant>/
- Artefatto
A3- Tipo: ID applicazione Microsoft Entra
- Origine: tenant di Microsoft Entra di Fabrikam
- Artefatto
B- Tipo: artefatto di autorizzazione Fabrikam personalizzato (rilasciato da Microsoft Entra ID o da un servizio di autorizzazione diverso)
- Artefatto
C- Tipo: Servizi di comunicazione di Azure artefatto dell'autorizzazione della risorsa.
- Origine: intestazione HTTP "Authorization" con un token di connessione per l'autenticazione Microsoft Entra o un payload HMAC (Hash-based Message Authentication Code) e una firma per l'autenticazione basata su chiave di accesso.
- Artefatto
D- Tipo: Servizi di comunicazione di Azure token di accesso
- Destinatari:
Azure Communication Services, piano dati - ID risorsa Servizi di comunicazione di Azure: Fabrikam
Azure Communication Services Resource ID
Caso 2: esempio di un'applicazione multi-tenant
L'azienda Contoso ha creato un'applicazione per i clienti esterni. Questa applicazione usa l'autenticazione personalizzata all'interno dell'infrastruttura di Contoso. Contoso usa un stringa di connessione per recuperare i token dall'applicazione Fabrikam.
Il diagramma di sequenza seguente illustra in dettaglio l'autenticazione multi-tenant.
Prima di iniziare:
- Alice o il suo amministratore di Microsoft Entra deve fornire il consenso dell'applicazione Microsoft Entra di Contoso prima del primo tentativo di accesso. Altre informazioni sul consenso.
Passaggi:
- Autenticare Alice usando l'applicazione Fabrikam: Alice viene autenticata tramite l'applicazione di Fabrikam. Viene usato un flusso OAuth standard con Microsoft Authentication Library (MSAL). Assicurarsi di configurare MSAL con un'autorità corretta. Se l'autenticazione ha esito positivo, l'applicazione client Contoso riceve un token di accesso di Microsoft Entra con un valore e
A1un ID oggetto di un utente Di Microsoft Entra con un valore .A2I dettagli del token sono descritti di seguito. L'autenticazione dal punto di vista dello sviluppatore viene esaminata in questa guida introduttiva. - Ottenere un token di accesso per Alice: l'applicazione Contoso usando un artefatto di autenticazione personalizzato con valore
Besegue la logica di autorizzazione per decidere se Alice dispone dell'autorizzazione per scambiare il token di accesso di Microsoft Entra per un token di accesso Servizi di comunicazione di Azure. Dopo l'autorizzazione, l'applicazione Contoso esegue la logica del piano di controllo usando artefattiA1,A2eA3. Viene generato un tokenDdi accesso Servizi di comunicazione di Azure per Alice all'interno dell'applicazione Contoso. Questo token di accesso può essere usato per le azioni del piano dati in Servizi di comunicazione di Azure, ad esempio Chiamata. GliA2artefatti eA3vengono passati insieme all'artefattoA1. La convalida garantisce che il token Microsoft Entra sia stato rilasciato all'utente previsto. L'applicazione impedisce agli utenti malintenzionati di usare i token di accesso di Microsoft Entra rilasciati ad altre applicazioni o ad altri utenti. Per altre informazioni su come ottenereAgli artefatti, vedere Ricevere il token utente e l'ID oggetto di Microsoft Entra tramite la libreria MSAL e Ottenere un ID applicazione. - Chiama Bob: Alice effettua una chiamata all'utente Di Microsoft 365 Bob, con l'applicazione di Fabrikam. La chiamata avviene tramite l'SDK chiamante con un token di accesso Servizi di comunicazione di Azure. Altre informazioni sullo sviluppo di app per gli utenti di Microsoft 365 sono disponibili in questa guida introduttiva.
Artefatti:
- Artefatto
A1- Tipo: Token di accesso Di Microsoft Entra
- Destinatari:
Azure Communication Services, piano di controllo - Origine: tenant di Microsoft Entra per la registrazione dell'applicazione Contoso
- Autorizzazione:
https://auth.msft.communication.azure.com/Teams.ManageCalls,https://auth.msft.communication.azure.com/Teams.ManageChats
- Artefatto
A2- Tipo: ID oggetto di un utente di Microsoft Entra
- Origine: tenant di Microsoft Entra di Fabrikam
- Autorità:
https://login.microsoftonline.com/<tenant>/ohttps://login.microsoftonline.com/organizations/(in base al proprio scenario )
- Artefatto
A3- Tipo: ID applicazione Microsoft Entra
- Origine: tenant di Microsoft Entra per la registrazione dell'applicazione Contoso
- Artefatto
B- Tipo: artefatto di autorizzazione Contoso personalizzato (rilasciato da Microsoft Entra ID o da un servizio di autorizzazione diverso)
- Artefatto
C- Tipo: Servizi di comunicazione di Azure artefatto dell'autorizzazione della risorsa.
- Origine: intestazione HTTP "Authorization" con un token di connessione per l'autenticazione Microsoft Entra o un payload HMAC (Hash-based Message Authentication Code) e una firma per l'autenticazione basata su chiave di accesso
- Artefatto
D- Tipo: Servizi di comunicazione di Azure token di accesso
- Destinatari:
Azure Communication Services, piano dati - ID risorsa Servizi di comunicazione di Azure: Contoso
Azure Communication Services Resource ID
Passaggi successivi
- Altre informazioni sull'autenticazione.
- Provare questa guida introduttiva per autenticare gli utenti di Microsoft 365.
- Provare questa guida introduttiva per chiamare un utente di Microsoft 365.
Le app di esempio seguenti possono essere interessanti per l'utente:
Provare l'app di esempio, che illustra un processo di acquisizione Servizi di comunicazione di Azure token di accesso per gli utenti di Microsoft 365 in applicazioni desktop e per dispositivi mobili.
Per informazioni sul modo in cui i token di accesso Servizi di comunicazione di Azure per gli utenti di Microsoft 365 vengono acquisiti in un'applicazione a pagina singola, vedere un'app di esempio spa.
Per altre informazioni sull'implementazione del server di un servizio di autenticazione per Servizi di comunicazione di Azure, vedere l'esempio hero del servizio di autenticazione.