Dostawcy tożsamości

DOTYCZY: ZESTAW SDK w wersji 4

Dostawca tożsamości uwierzytelnia tożsamości użytkowników lub klientów i wystawia eksploatacyjne tokeny zabezpieczające. Zapewnia uwierzytelnianie użytkownika jako usługę.

Aplikacje klienckie, takie jak aplikacje internetowe, deleguj uwierzytelnianie do zaufanego dostawcy tożsamości. Mówi się, że takie aplikacje klienckie są federacyjne, czyli używają tożsamości federacyjnej. Aby uzyskać więcej informacji, zobacz Wzorzec tożsamości federacyjnej.

Korzystanie z zaufanego dostawcy tożsamości:

• Włącza funkcje logowania jednokrotnego (SSO), dzięki czemu aplikacja może uzyskiwać dostęp do wielu zabezpieczonych zasobów.
• Ułatwia nawiązywanie połączeń między zasobami przetwarzania w chmurze a użytkownikami, co zmniejsza potrzebę ponownego uwierzytelnienia użytkowników.

Logowanie jednokrotne

Logowanie jednokrotne odnosi się do procesu uwierzytelniania, który umożliwia użytkownikowi logowanie się do systemu raz przy użyciu jednego zestawu poświadczeń w celu uzyskania dostępu do wielu aplikacji lub usług.

Użytkownik loguje się przy użyciu jednego identyfikatora i hasła, aby uzyskać dostęp do dowolnego z kilku powiązanych systemów oprogramowania. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne.

Wielu dostawców tożsamości obsługuje operację wylogowywanie, która odwołuje token użytkownika i przerywa dostęp do skojarzonych aplikacji i usług.

Ważne

Logowanie jednokrotne zwiększa użyteczność, zmniejszając liczbę prób wprowadzenia poświadczeń przez użytkownika. Zapewnia również lepsze zabezpieczenia dzięki zmniejszeniu potencjalnego obszaru ataków.

Dostawca tożsamości Entra ID firmy Microsoft

Microsoft Entra ID to usługa tożsamości na platformie Microsoft Azure, która zapewnia funkcje zarządzania tożsamościami i kontroli dostępu. Umożliwia bezpieczne logowanie użytkowników przy użyciu standardowych protokołów branżowych, takich jak OAuth2.0.

Możesz wybrać jedną z dwóch implementacji dostawcy tożsamości usługi Active Directory, które mają różne ustawienia, jak pokazano poniżej.

Uwaga

Użyj tych ustawień podczas konfigurowania Ustawienia protokołu OAuth Połączenie ion w aplikacji rejestracji bota platformy Azure. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania do bota.

Microsoft Entra ID

Platforma tożsamości Microsoft (wersja 2.0) — znany również jako punkt końcowy identyfikatora entra firmy Microsoft — umożliwia botowi uzyskiwanie tokenów w celu wywoływania interfejsów API firmy Microsoft, takich jak Microsoft Graph lub inne interfejsy API. Platforma tożsamości stanowi ewolucję platformy Azure AD (wersja 1.0). Aby uzyskać więcej informacji, zobacz omówienie Platforma tożsamości Microsoft (wersja 2.0).

Użyj poniższych ustawień usługi AD w wersji 2, aby umożliwić botowi dostęp do danych usługi Office 365 za pośrednictwem interfejsu API programu Microsoft Graph.

Właściwości	Opis lub wartość
Nazwa/nazwisko	Nazwa tego połączenia dostawcy tożsamości.
Usługodawca	Dostawca tożsamości do użycia. Wybierz pozycję Microsoft Entra ID.
Identyfikator klienta	Identyfikator aplikacji (klienta) dla aplikacji dostawcy tożsamości platformy Azure.
Klucz tajny klienta	Wpis tajny aplikacji dostawcy tożsamości platformy Azure.
Identyfikator dzierżawy	Identyfikator katalogu (dzierżawy) lub common. Aby uzyskać więcej informacji, zobacz notatkę dotyczącą identyfikatorów dzierżawy.
Zakresy	Rozdzielona spacjami lista uprawnień interfejsu API, którym przyznano aplikację dostawcy tożsamości Microsoft Entra ID, taką jak openid, , profileMail.Read, Mail.Send, User.Readi User.ReadBasic.All.
Adres URL wymiany tokenów	W przypadku bota umiejętności z obsługą logowania jednokrotnego użyj adresu URL wymiany tokenów skojarzonego z połączeniem OAuth. W przeciwnym razie pozostaw ten pusty adres URL. Aby uzyskać informacje o adresie URL wymiany tokenów logowania jednokrotnego, zobacz Tworzenie ustawień połączenia OAuth.

Usługa Azure AD w wersji 1

Usługa Azure AD w wersji 1

Użyj poniższych ustawień, aby skonfigurować platformę dewelopera Microsoft Entra ID (wersja 1.0), znaną również jako punkt końcowy usługi Azure AD w wersji 1 . Dzięki temu można tworzyć aplikacje, które bezpiecznie logują użytkowników przy użyciu konta służbowego firmy Microsoft. Aby uzyskać więcej informacji, zobacz Omówienie usługi Microsoft Entra ID dla deweloperów (wersja 1.0).

Właściwości	Opis lub wartość
Nazwa/nazwisko	Nazwa tego połączenia dostawcy tożsamości.
Usługodawca	Dostawca tożsamości do użycia. Wybierz pozycję Microsoft Entra ID.
Identyfikator klienta	Identyfikator aplikacji (klienta) dla aplikacji dostawcy tożsamości platformy Azure.
Klucz tajny klienta	Wpis tajny aplikacji dostawcy tożsamości platformy Azure.
Typ udzielenia	authorization_code
Adres URL logowania	https://login.microsoftonline.com
Identyfikator dzierżawy	Identyfikator katalogu (dzierżawy) lub common. Aby uzyskać więcej informacji, zobacz poniższą notatkę dotyczącą identyfikatorów dzierżawy.
Adres URL zasobu	https://graph.microsoft.com/
Zakresy	Pozostaw puste.
Adres URL wymiany tokenów	Pozostaw puste.

Uwaga

Jeśli wybrano jedną z następujących opcji, wprowadź identyfikator dzierżawy zarejestrowany dla aplikacji dostawcy tożsamości Microsoft Entra ID:

• Konta tylko w tym katalogu organizacyjnym (tylko firma Microsoft — pojedyncza dzierżawa)
• Konta w dowolnym katalogu organizacyjnym (katalog usługi Microsoft AAD — wiele dzierżaw)

Jeśli wybrano pozycję Konta w dowolnym katalogu organizacyjnym (Dowolny katalog Microsoft Entra ID — wiele dzierżaw i osobistych kont Microsoft, np. Skype, Xbox, Outlook.com), wprowadź .common

W przeciwnym razie aplikacja dostawcy tożsamości Microsoft Entra ID będzie używać dzierżawy do weryfikowania wybranego identyfikatora i wykluczania osobistych kont Microsoft.

Aby uzyskać więcej informacji, zobacz:

• Dlaczego warto zaktualizować Platforma tożsamości Microsoft (wersja 2.0)?
• Platforma tożsamości Microsoft (Microsoft Entra ID dla deweloperów).

Inni dostawcy tożsamości

pomoc techniczna platformy Azure kilku dostawców tożsamości. Pełną listę wraz z powiązanymi szczegółami można uzyskać, uruchamiając następujące polecenia konsoli platformy Azure:

az login
az bot authsetting list-providers

Listę tych dostawców można również wyświetlić w witrynie Azure Portal podczas definiowania ustawień połączenia OAuth dla aplikacji rejestracji bota.

Dostawcy ogólnego protokołu OAuth

pomoc techniczna platformy Azure ogólnego protokołu OAuth2, który umożliwia korzystanie z własnego dostawcy tożsamości.

Możesz wybrać jedną z dwóch ogólnych implementacji dostawcy tożsamości, które mają różne ustawienia, jak pokazano poniżej.

Uwaga

Użyj ustawień opisanych tutaj podczas konfigurowania Ustawienia protokołu OAuth Połączenie ion w aplikacji rejestracji bota platformy Azure.

Ogólny protokół OAuth 2

Użyj tego dostawcy, aby skonfigurować dowolnego ogólnego dostawcę tożsamości OAuth2, który ma podobne oczekiwania co dostawca identyfikatora Entra firmy Microsoft, szczególnie usługi AD w wersji 2. W przypadku tego typu połączenia parametry zapytania i ładunki treści żądania są stałe.

Właściwości	Opis lub wartość
Nazwa/nazwisko	Nazwa tego połączenia dostawcy tożsamości.
Usługodawca	Dostawca tożsamości do użycia. Wybierz pozycję Ogólne Oauth 2.
Identyfikator klienta	Identyfikator klienta uzyskany od dostawcy tożsamości.
Klucz tajny klienta	Klucz tajny klienta uzyskany z rejestracji dostawcy tożsamości.
Adres URL autoryzacji	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Adres URL tokenu	https://login.microsoftonline.com/common/oauth2/v2.0/token
Odśwież adres URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Adres URL wymiany tokenów	Pozostaw puste.
Zakresy	Rozdzielona przecinkami lista uprawnień interfejsu API udzielonych aplikacji dostawcy tożsamości.

Dostawca ogólny OAuth 2

Ten dostawca wymaga większej liczby parametrów konfiguracji, dlatego użyj tej wersji, aby skonfigurować dowolnego ogólnego dostawcę usług OAuth 2, gdy potrzebujesz większej elastyczności. W przypadku tej konfiguracji należy określić szablony adresów URL, szablony ciągów zapytania i szablony treści na potrzeby autoryzacji, odświeżania i konwersji tokenu.

Właściwości	Opis lub wartość
Nazwa/nazwisko	Nazwa tego połączenia dostawcy tożsamości.
Usługodawca	Dostawca tożsamości do użycia. Wybierz pozycję Dostawca ogólny Oauth 2.
Identyfikator klienta	Identyfikator klienta uzyskany od dostawcy tożsamości.
Klucz tajny klienta	Klucz tajny klienta uzyskany z rejestracji dostawcy tożsamości.
Ogranicznik listy zakresów	Znak separatora listy zakresów. Puste spacje ( ) nie są obsługiwane w tym polu, ale mogą być używane w polu Zakresy, jeśli jest to wymagane przez dostawcę tożsamości. W takim przypadku użyj przecinka (,) dla tego pola i spacji ( ) w polu Zakresy .
Szablon adresu URL autoryzacji	Szablon adresu URL autoryzacji zdefiniowany przez dostawcę tożsamości. Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Szablon ciągu zapytania adresu URL autoryzacji	Szablon zapytania na potrzeby autoryzacji dostarczony przez dostawcę tożsamości. Klucze w szablonie ciągu zapytania są różne w zależności od dostawcy tożsamości. Na przykład ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Szablon adresu URL tokenu	https://login.microsoftonline.com/common/oauth2/v2.0/token
Szablon ciągu zapytania adresu URL tokenu	Separator ciągu zapytania dla adresu URL tokenu. Zazwyczaj znak zapytania (?).
Szablon treści tokenu	Szablon treści tokenu. Na przykład code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Odśwież szablon adresu URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Odświeżanie szablonu ciągu zapytania adresu URL	Separator ciągu zapytania adresu URL odświeżania dla adresu URL tokenu. Zazwyczaj znak zapytania (?).
Odśwież szablon treści	Szablon treści odświeżania. Na przykład refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Adres URL wymiany tokenów	Pozostaw puste.
Zakresy	Lista zakresów, dla których uwierzytelnieni użytkownicy mają być zalogowani po zalogowaniu. Upewnij się, że ustawiasz tylko niezbędne zakresy i postępuj zgodnie z zasadą kontroli dostępu z najmniejszymi uprawnieniami. Na przykład User.Read. Jeśli używasz zakresu niestandardowego, użyj pełnego identyfikatora URI, w tym identyfikatora URI uwidocznionego identyfikatora aplikacji.

Następne kroki

Serwer proxy dostawców tożsamości