Fornecedores de identidade
APLICA-SE A: SDK v4
Um provedor de identidade autentica identidades de usuário ou cliente e emite tokens de segurança consumíveis. Ele fornece autenticação de usuário como um serviço.
Aplicativos cliente, como aplicativos Web, delegam autenticação a um provedor de identidade confiável. Tais aplicativos cliente são ditos federados, ou seja, eles usam identidade federada. Para obter mais informações, consulte Padrão de identidade federada.
Usando um provedor de identidade confiável:
- Permite recursos de logon único (SSO), permitindo que um aplicativo acesse vários recursos protegidos.
- Facilita as conexões entre os recursos de computação em nuvem e os usuários, diminuindo a necessidade de reautenticação dos usuários.
Início de sessão único
O logon único refere-se a um processo de autenticação que permite que um usuário faça logon em um sistema uma vez com um único conjunto de credenciais para acessar vários aplicativos ou serviços.
Um utilizador inicia sessão com um único ID e palavra-passe para obter acesso a qualquer um dos vários sistemas de software relacionados. Para obter mais informações, consulte Logon único.
Muitos provedores de identidade oferecem suporte a uma operação de saída que revoga o token de usuário e encerra o acesso aos aplicativos e serviços associados.
Importante
O SSO melhora a usabilidade reduzindo o número de vezes que um usuário deve inserir credenciais. Ele também fornece melhor segurança, diminuindo a superfície de ataque potencial.
Provedor de identidade do Microsoft Entra ID
O Microsoft Entra ID é o serviço de identidade no Microsoft Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que você entre usuários com segurança usando protocolos padrão do setor, como OAuth2.0.
Você pode escolher entre duas implementações de provedor de identidade do Ative Directory, que têm configurações diferentes, conforme mostrado abaixo.
Nota
Use essas configurações ao definir as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure. Para obter mais informações, consulte Adicionar autenticação a um bot.
A plataforma de identidade da Microsoft (v2.0) — também conhecida como ponto de extremidade Microsoft Entra ID — permite que um bot obtenha tokens para chamar APIs da Microsoft, como o Microsoft Graph ou outras APIs. A plataforma de identidade é uma evolução da plataforma Azure AD (v1.0). Para obter mais informações, consulte a visão geral da plataforma de identidade da Microsoft (v2.0).
Use as configurações do AD v2 abaixo para permitir que um bot acesse dados do Office 365 por meio da API do Microsoft Graph.
Propriedade | Descrição ou valor |
---|---|
Name | Um nome para essa conexão de provedor de identidade. |
Prestador de Serviços | O provedor de identidade a ser usado. Selecione Microsoft Entra ID. |
ID do cliente | A ID do aplicativo (cliente) para seu aplicativo de provedor de identidade do Azure. |
Segredo do cliente | O segredo para seu aplicativo de provedor de identidade do Azure. |
ID do Inquilino | Seu ID de diretório (locatário) ou common . Para obter mais informações, consulte a observação sobre IDs de locatário. |
Âmbitos | Uma lista separada por espaços das permissões de API que você concedeu ao aplicativo do provedor de identidade Microsoft Entra ID, como openid , , profile , , User.Read Mail.Read Mail.Send e .User.ReadBasic.All |
Token Exchange URL | Para um bot de habilidade habilitado para SSO, use a URL de troca de token associada à conexão OAuth, caso contrário, deixe isso vazio. Para obter informações sobre a URL de troca de token SSO, consulte Criar uma configuração de conexão OAuth. |
Nota
Se você selecionou uma das seguintes opções, insira a ID do locatário que você registrou para o aplicativo do provedor de identidade Microsoft Entra ID :
- Contas somente neste diretório organizacional (somente Microsoft - Locatário único)
- Contas em qualquer diretório organizacional(diretório Microsoft AAD - Multilocatário)
Se você selecionou Contas em qualquer diretório organizacional (Qualquer diretório de ID do Microsoft Entra - Multilocatário e contas pessoais da Microsoft, por exemplo, Skype, Xbox, Outlook.com), digite common
.
Caso contrário, o aplicativo do provedor de identidade Microsoft Entra ID usará o locatário para verificar a ID selecionada e excluir contas pessoais da Microsoft.
Para obter mais informações, consulte:
- Por que atualizar para a plataforma de identidade da Microsoft (v2.0)?
- Plataforma de identidade da Microsoft (Microsoft Entra ID para desenvolvedores).
Outros provedores de identidade
O Azure dá suporte a vários provedores de identidade. Você pode obter uma lista completa, juntamente com os detalhes relacionados, executando os seguintes comandos do console do Azure:
az login
az bot authsetting list-providers
Você também pode ver a lista desses provedores no portal do Azure ao definir as configurações de conexão OAuth para um aplicativo de registro de bot.
Provedores genéricos OAuth
O Azure dá suporte ao OAuth2 genérico, que permite que você use seu próprio provedor de identidade.
Você pode escolher entre duas implementações genéricas de provedor de identidade, que têm configurações diferentes, conforme mostrado abaixo.
Nota
Use as configurações descritas aqui ao configurar as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure.
Use esse provedor para configurar qualquer provedor de identidade OAuth2 genérico que tenha expectativas semelhantes às do provedor de ID do Microsoft Entra, particularmente o AD v2. Para esse tipo de conexão, as cadeias de caracteres de consulta e as cargas úteis do corpo da solicitação são fixas.
Propriedade | Descrição ou valor |
---|---|
Name | Um nome para essa conexão de provedor de identidade. |
Prestador de Serviços | O provedor de identidade a ser usado. Selecione Oauth Genérico 2. |
ID do cliente | Seu ID de cliente obtido do provedor de identidade. |
Segredo do cliente | O segredo do seu cliente foi obtido a partir do registo do fornecedor de identidade. |
URL de autorização | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
Token URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
Atualizar URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
Token Exchange URL | Deixe este campo vazio. |
Âmbitos | Uma lista separada por vírgulas das permissões de API que você concedeu ao aplicativo do provedor de identidade. |