为基于 API 的消息扩展启用身份验证

身份验证是安全性的一个基本方面,充当第一道防线,确保仅向具有已验证凭据的用户授予对系统、应用程序和数据的访问权限。 基于 API 的消息扩展的身份验证对于以下原因至关重要:

  • 安全性:防止未经授权的访问和潜在违规行为,保护用户数据和系统的完整性。

  • 数据隐私:确保只有具有正确权限的用户才能访问个人信息和敏感信息。

  • 用户信任:建立用户的信心,即他们与应用的交互是安全的,这对于用户采用和参与至关重要。

可以在基于 API 的消息扩展中实现身份验证,以提供对应用程序的安全和无缝访问。 如果消息扩展需要身份验证,请在应用清单的 下composeExtensions添加 authorization 属性,并通过在 下authorization设置 authType 属性来定义应用程序的身份验证类型。 若要为消息扩展启用身份验证,请使用以下任一身份验证方法更新应用清单:

  • API 密钥身份验证:实现 API 密钥身份验证,以使用只有应用和 API 服务知道的密钥令牌对请求进行身份验证。 API 密钥身份验证涉及使用唯一密钥来验证通过 API 访问基于 API 的消息扩展应用的用户或应用的身份。 密钥必须在 Microsoft Teams 中注册。 当用户与基于 API 的消息扩展交互时,Teams 使用 API 密钥通过 API 进行身份验证。 可以通过 Teams 开发人员门户注册,并使用适当的配置更新应用清单。 有关详细信息,请参阅 API 密钥身份验证

  • SSO 身份验证:Microsoft Entra 是一种全面的标识和访问管理解决方案,可为基于 API 的消息扩展提供安全身份验证。 它确保只有经过身份验证的用户才能在 Microsoft Teams 中访问应用的功能。

    可以在基于 API 的消息扩展中实现身份验证,以提供对应用的安全和无缝访问。 如果消息扩展需要身份验证,请更新应用清单,如下所示:

    • authorization在 下composeExtensions添加 属性。

    • 通过在 下authorization设置 authType 属性来定义应用的身份验证类型。

      有关详细信息,请参阅在 Microsoft Entra ID 中配置应用

  • none 当 API 不需要对用户进行任何身份验证时,更新为 基于 API 的消息扩展中的 的值 authorization 。 当 Teams 服务向 API 发送请求时,它不提供任何身份验证信息。

        "authorization": {
          "authType": "none"
          }
    

另请参阅