Delen via

Basisprincipes van Bot Framework-verificatie

  • Artikel

VAN TOEPASSING OP: SDK v4

Vaak moet een bot namens de gebruiker toegang krijgen tot beveiligde resources, bijvoorbeeld een e-mailaccount. Om dit te doen, moet de bot worden geautoriseerd op basis van de referenties van de gebruiker. Daarvoor moet de gebruiker eerst worden geverifieerd . De bot moet een bekende entiteit zijn, dat wil gezegd, deze moet worden geverifieerd binnen de Context van de Azure AI Bot Service. Dit gebeurt voordat de bot wordt geautoriseerd om namens de gebruiker te werken.

Laten we eens kijken of we deze bundel kunnen losstrengelen door te beginnen met een vogelvluchtweergave van de Bot Framework-verificatiecontext.

Bot authentication context

  • Wanneer u een bot in Azure registreert via een Azure Bot-resource , maakt Azure een Microsoft Entra ID-registratietoepassing. Deze toepassing heeft een app-id (MicrosoftAppId) en een clientgeheim (MicrosoftAppPassword). U gebruikt deze waarden in de botconfiguratiebestanden, zoals hieronder wordt beschreven.

  • Microsoft Entra ID is een cloudidentiteitsservice waarmee u toepassingen kunt bouwen die gebruikers veilig aanmelden met behulp van industriestandaardprotocollen zoals OAuth 2.0. U maakt een Active Directory-toepassing en gebruikt de bijbehorende app-id en het wachtwoord om een id-provider te selecteren en een verificatieverbinding te genereren. U voegt deze verbinding toe aan uw botresource. U voegt ook de verbindingsnaam toe aan de botconfiguratiebestanden, zoals hieronder wordt beschreven.

  • Een bot wordt geïdentificeerd met de id en het wachtwoord van de Resource-app voor Azure Bot. U voegt de gerelateerde waarden toe aan het configuratiebestand van de bot of aan een geheimen- of sleutelbeheerder. U voegt ook de verbindingsnaam toe. De bot gebruikt een token op basis van de app-id en het wachtwoord voor toegang tot beveiligde resources. De bot gebruikt verschillende tokens, op basis van de verificatieverbinding, voor toegang tot de beveiligde resources van de gebruiker.

Botverificatie en autorisatie

Hier volgen de belangrijkste stappen voor het verifiëren van een bot en het autoriseren voor toegang tot de beveiligde resources van de gebruiker:

  1. Maak een botkanaalregistratietoepassing.
  2. Voeg de registratie-app-id en het wachtwoord toe aan het configuratiebestand van de bot. Hierdoor kan de bot worden geverifieerd voor toegang tot beveiligde resources.
  3. Maak een Microsoft Entra ID-toepassing om een id-provider te selecteren om de gebruiker te verifiëren.
  4. Maak een verificatieverbinding en voeg deze toe aan de kanaalregistratie-instellingen.
  5. Voeg de verbindingsnaam toe aan de configuratiebestanden van de bot. Hierdoor kan de bot worden gemachtigd om toegang te krijgen tot de beveiligde resources van de gebruiker.

Zie Verificatie toevoegen aan een bot voor een volledig voorbeeld.

Aanbevolen procedures

  • Houd de registratie van de Microsoft Entra ID-app beperkt tot het oorspronkelijke doel van de service-naar-servicetoepassing.
  • Maak een extra Microsoft Entra ID-app voor gebruikers-naar-serviceverificatie, voor meer eindige controle over het uitschakelen van verificatieverbindingen, rolling geheimen of het hergebruiken van de Microsoft Entra ID-app met andere toepassingen.

Enkele van de problemen die u ondervindt als u ook de Registratie-app voor Microsoft Entra-id voor verificatie gebruikt, zijn:

  • Als het certificaat dat is gekoppeld aan de Microsoft Entra ID-app-registratie moet worden vernieuwd, heeft dit invloed op gebruikers die zijn geverifieerd met andere Microsoft Entra ID-services met behulp van het certificaat.
  • Over het algemeen wordt er een single point of failure en control gemaakt voor alle verificatiegerelateerde activiteiten met de bot.

De volgende artikelen bevatten uitgebreide informatie en voorbeelden van verificatie in het Bot Framework. Bekijk eerst de verificatietypen en vervolgens id-providers.

Artikel Omschrijving
Verificatietypen Beschrijft de twee Bot Framework-verificatietypen en de tokens die ze gebruiken.
Id-providers Beschrijft het gebruik van id-providers. Hiermee kunt u toepassingen bouwen die gebruikers veilig aanmelden met industriestandaardprotocollen zoals OAuth2.0.
Gebruikersverificatie Beschrijft de verificatie van de gebruiker en het bijbehorende token om een bot te autoriseren om namens de gebruiker taken uit te voeren.
Single sign on Beschrijft verificatie van één gebruiker voor toegang tot meerdere beveiligde resources.
Een bot registreren bij Azure Laat zien hoe u een bot registreert bij de Azure AI Bot Service.
Bot Framework security guidelines (Beveiligingsrichtlijnen voor Bot Framework) Beschrijft de beveiliging in het algemeen en zoals deze van toepassing is op het Bot Framework.
Verificatie toevoegen aan een bot Laat zien hoe u registratie van botkanalen maakt, een verificatieverbinding maakt en de code voorbereidt.
Eenmalige aanmelding toevoegen aan een bot Laat zien hoe u verificatie voor eenmalige aanmelding toevoegt aan een bot.