Verificatie met één tenant en meerdere tenants voor Microsoft 365-gebruikers

In dit artikel krijgt u inzicht in het verificatieproces voor toepassingen met één tenant en multitenant, Microsoft Entra ID (Microsoft Entra ID). U kunt verificatie gebruiken wanneer u belervaringen bouwt voor Microsoft 365-gebruikers met de SDK (Calling Software Development Kit ) die Azure Communication Services beschikbaar maakt. Gebruiksvoorbeelden in dit artikel bevatten ook afzonderlijke verificatieartefacten.

Case 1: Voorbeeld van een toepassing met één tenant

Het bedrijf Fabrikam heeft een toepassing gebouwd voor intern gebruik. Alle gebruikers van de toepassing hebben de Microsoft Entra-id. Toegang tot Azure Communication Services wordt beheerd door op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

In het volgende sequentiediagram wordt verificatie met één tenant weergegeven.

Voordat we beginnen:

• Alice of haar Microsoft Entra-beheerder moet de aangepaste Teams-toepassing toestemming geven voordat de eerste poging om zich aan te melden. Meer informatie over toestemming.
• De Resourcebeheerder van Azure Communication Services moet Alice toestemming geven om haar rol uit te voeren. Meer informatie over Azure RBAC-roltoewijzing.

Stappen:

1. Verifieer Alice met behulp van Microsoft Entra-id: Alice wordt geverifieerd met behulp van een standaard-OAuth-stroom met Microsoft Authentication Library (MSAL). Als de verificatie is geslaagd, ontvangt de clienttoepassing een Microsoft Entra-toegangstoken, met een waarde van A1 en een object-id van een Microsoft Entra-gebruiker met een waarde van A2. Tokens worden verderop in dit artikel beschreven. Verificatie vanuit het perspectief van ontwikkelaars wordt in deze quickstart verkend.
2. Een toegangstoken ophalen voor Alice: de Fabrikam-toepassing met behulp van een aangepast verificatieartefact met waarde B voert autorisatielogica uit om te bepalen of Alice gemachtigd is om het Toegangstoken van Microsoft Entra uit te wisselen voor een Azure Communication Services-toegangstoken. Na een geslaagde autorisatie voert de Fabrikam-toepassing besturingsvlaklogica uit, met behulp van artefacten A1en A2A3. Azure Communication Services-toegangstoken D wordt gegenereerd voor Alice in de Fabrikam-toepassing. Dit toegangstoken kan worden gebruikt voor gegevensvlakacties in Azure Communication Services, zoals bellen. De A2 artefacten en A3 artefacten worden doorgegeven samen met het artefact A1 voor validatie. De validatie zorgt ervoor dat het Microsoft Entra-token is uitgegeven aan de verwachte gebruiker. De toepassing voorkomt dat aanvallers de Microsoft Entra-toegangstokens gebruiken die zijn uitgegeven aan andere toepassingen of andere gebruikers. Zie Het Microsoft Entra-gebruikerstoken en object-id ontvangen via de MSAL-bibliotheek en een toepassings-id voor meer informatie over het ophalen A van artefacten.
3. Bel Bob: Alice belt Microsoft 365-gebruiker Bob, met de app van Fabrikam. De aanroep vindt plaats via de Calling SDK met een Azure Communication Services-toegangstoken. Meer informatie over het ontwikkelen van toepassingen voor Microsoft 365-gebruikers.

Artefacten:

• Artefact A1
  • Type: Microsoft Entra-toegangstoken
  • Doelgroep: Azure Communication Services, besturingsvlak
  • Bron: Microsoft Entra-tenant van Fabrikam
  • Machtigingen: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artefact A2
  • Type: Object-id van een Microsoft Entra-gebruiker
  • Bron: Microsoft Entra-tenant van Fabrikam
  • Instantie: https://login.microsoftonline.com/<tenant>/
• Artefact A3
  • Type: Microsoft Entra-toepassings-id
  • Bron: Microsoft Entra-tenant van Fabrikam
• Artefact B
  • Type: Aangepaste Fabrikam-autorisatieartefact (uitgegeven door Microsoft Entra-id of een andere autorisatieservice)
• Artefact C
  • Type: Azure Communication Services-resourceautorisatieartefact.
  • Bron: 'Authorization' HTTP-header met een bearer-token voor Microsoft Entra-verificatie of een HMAC-nettolading (Hash-based Message Authentication Code) en een handtekening voor verificatie op basis van toegangssleutels.
• Artefact D
  • Type: Azure Communication Services-toegangstoken
  • Doelgroep: Azure Communication Services, gegevensvlak
  • Resource-id van Azure Communication Services: Fabrikam Azure Communication Services Resource ID

Case 2: Voorbeeld van een multitenant-toepassing

Het Contoso-bedrijf heeft een toepassing gebouwd voor externe klanten. Deze toepassing maakt gebruik van aangepaste verificatie binnen de eigen infrastructuur van Contoso. Contoso gebruikt een verbindingsreeks om tokens op te halen uit de toepassing van Fabrikam.

In het volgende sequentiediagram wordt meervoudige verificatie weergegeven.

Voordat we beginnen:

• Alice of haar Microsoft Entra-beheerder moet de Microsoft Entra-toepassing van Contoso toestemming geven voordat de eerste poging wordt gedaan zich aan te melden. Meer informatie over toestemming.

Stappen:

1. Verifieer Alice met behulp van de Fabrikam-toepassing: Alice wordt geverifieerd via de toepassing van Fabrikam. Er wordt een standaard-OAuth-stroom met Microsoft Authentication Library (MSAL) gebruikt. Zorg ervoor dat u MSAL configureert met een juiste instantie. Als de verificatie is geslaagd, ontvangt de Contoso-clienttoepassing een Microsoft Entra-toegangstoken met een waarde van A1 en een object-id van een Microsoft Entra-gebruiker met de waarde .A2 Details van token worden hieronder beschreven. Verificatie vanuit het perspectief van ontwikkelaars wordt in deze quickstart verkend.
2. Een toegangstoken ophalen voor Alice: De Contoso-toepassing met behulp van een aangepast verificatieartefact met waarde B voert autorisatielogica uit om te bepalen of Alice gemachtigd is om het Microsoft Entra-toegangstoken voor een Azure Communication Services-toegangstoken uit te wisselen. Na een geslaagde autorisatie voert de Contoso-toepassing besturingsvlaklogica uit, met behulp van artefacten A1en A2A3. Er wordt een Azure Communication Services-toegangstoken D gegenereerd voor Alice in de Contoso-toepassing. Dit toegangstoken kan worden gebruikt voor gegevensvlakacties in Azure Communication Services, zoals bellen. De A2 en A3 artefacten worden samen met het artefact A1doorgegeven. De validatie zorgt ervoor dat het Microsoft Entra-token is uitgegeven aan de verwachte gebruiker. De toepassing voorkomt dat aanvallers de Microsoft Entra-toegangstokens gebruiken die zijn uitgegeven aan andere toepassingen of andere gebruikers. Zie Het Microsoft Entra-gebruikerstoken en object-id ontvangen via de MSAL-bibliotheek en een toepassings-id voor meer informatie over het ophalen A van artefacten.
3. Bel Bob: Alice belt Microsoft 365-gebruiker Bob, met de toepassing van Fabrikam. De aanroep vindt plaats via de Calling SDK met een Azure Communication Services-toegangstoken. In deze quickstart vindt u meer informatie over het ontwikkelen van apps voor Microsoft 365-gebruikers.

Artefacten:

• Artefact A1
  • Type: Microsoft Entra-toegangstoken
  • Doelgroep: Azure Communication Services, besturingsvlak
  • Bron: Microsoft Entra-tenant van Contoso-toepassingsregistratie
  • Machtiging: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artefact A2
  • Type: Object-id van een Microsoft Entra-gebruiker
  • Bron: Microsoft Entra-tenant van Fabrikam
  • Instantie: https://login.microsoftonline.com/<tenant>/ of https://login.microsoftonline.com/organizations/ (op basis van uw scenario )
• Artefact A3
  • Type: Microsoft Entra-toepassings-id
  • Bron: Microsoft Entra-tenant van Contoso-toepassingsregistratie
• Artefact B
  • Type: Aangepast Contoso-autorisatieartefact (uitgegeven door Microsoft Entra-id of een andere autorisatieservice)
• Artefact C
  • Type: Azure Communication Services-resourceautorisatieartefact.
  • Bron: 'Authorization' HTTP-header met een bearer-token voor Microsoft Entra-verificatie of een HMAC-nettolading (Hash-based Message Authentication Code) en een handtekening voor verificatie op basis van toegangssleutels
• Artefact D
  • Type: Azure Communication Services-toegangstoken
  • Doelgroep: Azure Communication Services, gegevensvlak
  • Resource-id van Azure Communication Services: Contoso Azure Communication Services Resource ID

Volgende stappen

• Meer informatie over verificatie.
• Probeer deze quickstart om Microsoft 365-gebruikers te verifiëren.
• Probeer deze quickstart om een Microsoft 365-gebruiker aan te roepen.

De volgende voorbeeld-apps zijn mogelijk interessant voor u:

• Probeer de voorbeeld-app, waarin een proces wordt getoond voor het verkrijgen van Azure Communication Services-toegangstokens voor Microsoft 365-gebruikers in mobiele toepassingen en desktoptoepassingen.

• Als u wilt zien hoe de toegangstokens van Azure Communication Services voor Microsoft 365-gebruikers worden verkregen in een toepassing met één pagina, bekijkt u een spa-voorbeeld-app.

• Raadpleeg het hero-voorbeeld van de verificatieservice voor meer informatie over de implementatie van een server van een verificatieservice voor Azure Communication Services.