使用 SSO 身份验证生成的机器人 - Teams

Microsoft Teams 中的对话机器人执行由用户启动的重复自动化任务，例如客户服务。用户需要多次登录，而无需单一登录 (SSO) 身份验证。使用 SSO 身份验证方法，用户无需多次登录到机器人。

机器人的行为方式不同，具体取决于它所涉及的对话：

频道和群组聊天聊天中的机器人需要用户访问 @mention 机器人。
一对一对话中的机器人不要求 @mention。用户发送的所有消息都路由到机器人。

本分步指南可帮助你生成具有 SSO 身份验证的机器人。你将看到以下输出：

成功完成分步指南后具有 SSO 身份验证输出的机器人的屏幕截图。

先决条件

剩余 18 分钟

确保安装以下工具并设置开发环境：

	安装	用于使用...
	Microsoft Teams	Microsoft Teams，在一个位置通过聊天、会议和通话应用与你合作的每个人进行协作。
	Visual Studio 2022	可以在 Visual Studio 2022 中安装企业版，并安装 ASP.NET 和 Web 开发工作负载。使用最新版本。
	Microsoft 365 开发人员帐户	具有安装应用的相应权限的 Teams 帐户的访问权限。
	开发隧道	Teams 应用功能 (对话机器人、消息扩展和传入 Webhook) 需要入站连接。隧道将开发系统连接到 Teams。开发隧道是一种功能强大的工具，用于安全地将 localhost 打开到 Internet 并控制谁有权访问。 Visual Studio 2022 版本 17.7.0 或更高版本中提供了开发隧道。或者还可以使用 ngrok 作为隧道，将开发系统连接到 Teams。对于仅包含选项卡的应用，这不是必需的。此包使用 npm `devDependencies`) 安装在项目目录 (中。

注意

下载 ngrok 后，注册并安装 authtoken。

设置 Teams 开发租户

租户类似于空间或容器，你可以在 Teams 中为组织聊天、共享文件和运行会议。还可以上传和测试自定义应用。

检查自定义应用上传选项

创建应用后，必须在 Teams 中加载应用，而无需分发它。此过程称为自定义应用上传。登录到 Microsoft 365 帐户以查看此选项。

注意

自定义应用上传对于在 Teams 本地环境中预览和测试应用是必需的。启用应用上传以在本地 Teams 中预览和测试应用。

是否已拥有租户，并且是否具有管理员访问权限？让我们来看看你是否真的这样做了！

在 Teams 中验证自定义上传应用：

在 Teams 客户端中，选择“ 应用” 图标。
选择“管理应用”。
选择 “上传应用”
查找“ 上传自定义应用”选项。如果看到选项，则表示已启用自定义应用上传。

注意

如果没有上传自定义应用的选项，请联系 Teams 管理员。

创建免费的 Teams 开发人员租户 (可选)

如果没有 Teams 开发人员帐户，可以免费获取它。加入 Microsoft 365 开发人员计划！

转到 Microsoft 365 开发人员计划。
选择“ 立即加入 ”，然后按照屏幕上的说明进行操作。
在欢迎屏幕中，选择 “设置 E5 订阅”。
设置管理员帐户。完成后，将显示以下屏幕。
使用刚设置的新管理员帐户登录到 Teams。验证是否已在 Teams 中 “上传自定义应用 ”选项。

设置本地环境

剩余 17 分钟

打开 Microsoft-Teams-Samples。
选择“ 代码”。
在下拉菜单中，选择“ 使用 GitHub Desktop 打开”。
选择“ 克隆”。

Microsoft Entra 应用注册

剩余 16 分钟

以下步骤可帮助你在 Azure 门户中创建和注册机器人：

创建并注册 Azure 应用。
创建客户端密码以启用机器人的 SSO 身份验证。
添加 Teams 频道以部署机器人。
使用开发隧道创建到 Web 服务器终结点的隧道， (建议) 或 ngrok。
将消息传送终结点添加到你创建的开发隧道。

添加应用注册

转到 Azure 门户。
选择“应用注册”。
选择“ + 新建注册”。
输入应用的名称。
选择 任何组织目录中的帐户 (任何Microsoft Entra ID 租户 - 多租户) 。
选择“注册”。

应用在 Entra ID Microsoft注册。此时会显示应用概述页。

注意

保存 应用程序 (客户端的应用 ID) ID 和 目录 (租户) ID 以供进一步使用。

创建隧道

开发隧道
ngrok

打开 Visual Studio。
选择 “创建新项目”。
在搜索框中，输入 “ASP.NET”。在搜索结果中，选择“ ASP.NET 核心 Web 应用”。
选择 下一步。
输入 “项目名称 ”，然后选择“ 下一步”。
选择“创建”。

此时会显示概述窗口。
在调试下拉列表中，选择“ 开发隧道 (无活动隧道) >创建隧道...”。

将出现一个弹出窗口。
在弹出窗口中更新以下详细信息：
1. 帐户：输入Microsoft或 GitHub 帐户。
2. 名称：输入隧道的名称。
3. 隧道类型：从下拉列表中选择“ 临时”。
4. 访问：从下拉列表中选择“ 公共”。
选择“确定”。

此时会显示一个弹出窗口，显示已成功创建开发隧道。
选择“确定”。

可以在调试下拉列表中找到已创建的隧道，如下所示：
选择 F5 以在调试模式下运行应用程序。
如果出现 “安全警告 ”对话框，请选择“ 是”。

将出现一个弹出窗口。
选择继续。

开发隧道主页将在新的浏览器窗口中打开，开发隧道现在处于活动状态。
转到 Visual Studio，选择“ 查看 > 输出”。
在 “输出 控制台”下拉菜单中，选择“ 开发隧道”。

输出控制台显示开发隧道 URL。

使用 ngrok 或命令提示符创建到本地运行的 Web 服务器的公开可用 HTTPS 终结点的隧道。在 ngrok 中运行以下命令：

ngrok http --host-header=localhost 3978

提示

如果遇到 ERR_NGROK_4018，请按照命令提示符中提供的步骤注册并验证 ngrok。然后运行命令 ngrok http --host-header=localhost 3978 。

窗口显示 HTTPS URL。

屏幕截图显示了 ngrok HTTPS URL。

添加 Web 身份验证

在左窗格中的 “管理”下，选择“ 身份验证”。
选择 “添加平台>Web”。
通过将追加 auth-end 到完全限定的域名，输入应用的重定向 URI。例如，https://your-devtunnel-domain/auth-end 或 https://your-ngrok-domain/auth-end。
在 “隐式授予和混合流”下，选中“ 访问令牌 和 ID 令牌 ”复选框。
选择“配置”。
在 “Web”下，选择“ 添加 URI”。
输入 https://token.botframework.com/.auth/web/redirect。
选择“保存”。

创建客户端密码

在左窗格中的 “管理”下，选择“ 证书 & 机密”。
在 “客户端机密”下，选择“ + 新建客户端密码”。

此时会显示 “添加客户端机密 ”窗口。
输入 “说明”。
选择“添加”。
在“ 值”下，选择“ 复制到剪贴板 ”以保存客户端密码值以供进一步使用。

添加 API 权限

在左窗格中，选择“ API 权限”。
选择“ + 添加权限”。
选择 Microsoft Graph。
选择“委托的权限”。
选择“ User>User.Read”。
选择 添加权限。

注意

如果未向应用授予 IT 管理员同意，用户必须在首次使用应用时提供同意。仅当 Microsoft Entra 应用注册到其他租户中时，用户才需要同意 API 权限。

应用程序 ID URI。

在左窗格中的 “管理”下，选择“ 公开 API”。
在 “应用程序 ID URI”旁边，选择“ 添加”。
以格式更新 应用程序 ID URI ， api://botid-{AppID} 然后选择“ 保存”。

添加范围

在左窗格中的 “管理”下，选择“ 公开 API”。
选择“ + 添加范围”。
输入 “access_as_user ”作为 “作用域名称”。
在 “谁可以同意？”下，选择“ 管理员和用户”。
更新其余字段的值，如下所示：
- 输入 Teams 可以访问用户的个人资料 作为 管理员同意显示名称。
- 输入 “允许 Teams 以当前用户身份调用应用的 Web API ”作为 “管理员同意说明”。
- 输入 Teams 可以访问用户配置文件，并代表用户发出请求 作为 用户同意显示名称。
- 输入“启用 Teams”以调用此应用的 API，其权限与用户同意说明相同。
确保将“状态”设置为“已启用”。
选择“添加作用域”。

下图显示了字段和值：

注意

作用域名称必须与末尾追加的应用程序 ID URI /access_as_user 匹配。

添加客户端应用程序

在左窗格中的 “管理”下，选择“ 公开 API”。

在 “授权的客户端应用程序”下，确定要为应用的 Web 应用程序授权的应用程序。
选择“ + 添加客户端应用程序”。
添加 Teams 移动或桌面和 Teams Web 应用程序。
1. 对于 Teams 移动版或桌面版：输入 客户端 ID 作为 1fec8e78-bce4-4aaf-ab1b-5451cc387264。
2. 对于 Teams Web：输入 客户端 ID 作为 5e3ce6c0-2b1f-4285-8d4b-75ee78787346。
选中“ 授权的范围 ”复选框。
选择“添加应用程序”。

下图显示了 客户端 ID：

更新清单

在左窗格中，选择“ 清单”。
将的值 accessTokenAcceptedVersion 设置为 2 ，然后选择“ 保存”。

创建机器人

剩余 11 分钟

创建 Azure 机器人资源

注意

如果已在 Teams 中测试机器人，请注销此应用和 Teams。若要查看此更改，请再次登录。

转到“主页”。
选择“ + 创建资源”。
在搜索框中，输入 Azure 机器人。
选择“Enter”。
选择“ Azure 机器人”。
选择“创建”。
在机器人句柄中输入机器人名称。
从下拉列表中选择订阅。
从下拉列表中选择 资源组 。

如果没有现有的资源组，可以创建新的资源组。若要创建新的资源组，请执行以下步骤：
1. 选择“ 新建”。
2. 输入资源名称，然后选择“ 确定”。
3. 从 “新建资源组 位置”下拉列表中选择一个位置。
在 “定价”下，选择“ 更改计划”。
选择 FO Free>Select。
在 “Microsoft应用 ID”下，选择“ 应用类型 ”作为 “多租户”。
在 “创建类型”中，选择“ 使用现有应用注册”。
输入 应用 ID。

注意

不能使用相同的 Microsoft应用 ID 创建多个机器人。
然后“审阅 + 创建”。
验证通过后，选择“ 创建”。

机器人需要几分钟时间进行预配。
选择“转到资源”。

已成功创建 Azure 机器人。

添加 Teams 频道

在左窗格中，选择“ 频道”。
在 “可用频道”下，选择“ Microsoft Teams”。
选中复选框以接受 服务条款。
选择“ 同意”。
选择“应用”。

添加消息传送终结点

开发隧道
ngrok

使用输出控制台中的开发隧道 URL 作为消息传送终结点。
在左窗格中的 “设置”下，选择“ 配置”。
以格式https://your-devtunnel-domain/api/messages更新消息传送终结点。
选择“应用”。

你已成功在 Azure 机器人服务中设置机器人。

注意

如果 Application Insights 检测密钥 显示错误，请使用 应用 ID 进行更新。

从 ngrok 复制 HTTPS URL。

注意

ngrok 中的 HTTPS URL 是完全限定的域名。 WebAppDomain是不包含https://在中的完全限定域名。
在左窗格中的 “设置”下，选择“ 配置”。
以格式https://your-ngrok-domain/api/messages更新消息传送终结点。
选择“应用”。

已成功在 Azure 机器人服务中设置机器人。

注意

如果 Application Insights 检测密钥 显示带有 应用 ID 的错误更新。

添加 OAuth 连接设置

在左窗格中，选择“ 配置”。
选择“添加 OAuth 连接设置”。
在 “新建连接设置”下，更新以下详细信息：
- 名称：输入新连接设置的名称。可以在机器人服务代码的设置中使用名称。
- 服务提供程序：从下拉列表中选择“ Azure Active Directory v2”。
- 客户端 ID：更新 Microsoft应用 ID。
- 客户端密码：更新客户端机密值。
- 令牌交换 URL：更新 应用程序 ID URI。
- 租户 ID：输入 “通用”。
- 作用域：输入 User.Read。
选择“保存”。

设置应用设置和清单文件

剩余 6 分钟

转到克隆存储库中的 appsettings.json 文件。
打开 appsettings.json 文件并更新以下信息：
- 设置为 "MicrosoftAppId" 机器人 Microsoft应用 ID。
- 将设置为 "MicrosoftAppPassword" 机器人的客户端机密 ID 值。
- 设置为 ConnectionName OAuth 连接名称。
- 设置为 "MicrosoftAppType"MultiTenant。
- 设置为 "MicrosoftAppTenantId"common。
转到克隆存储库中的 manifest.json 文件。
打开 manifest.json 文件并更新以下更改：
- 将的所有匹配项 "{TODO: MicrosoftAppId}" 替换为 Microsoft应用 ID。
- 设置为 "<<domain-name>>" ngrok 或开发隧道域。

生成并运行服务

剩余 4 分钟

打开 Visual Studio。
转到 “文件>打开>项目/解决方案...”。
从 bot-conversation-sso-quickstart>csharp_dotnetcore 文件夹中，选择 “BotConversationSsoQuickstart.sln 文件”。
选择 F5 运行项目。
如果出现 “安全警告 ”对话框，请选择“ 是”。

此时会打开一个网页，并显示消息 “机器人已准备就绪！”。
故障排除

如果收到 “找不到包” 错误，请执行以下步骤：
1. 转到 “工具”>“NuGet 包管理器>”“包管理器设置”。
2. 在出现的 “选项” 窗口中，选择“ NuGet 包管理器>包源”。
3. 选择“添加”。
4. 在 “名称”中，输入 nuget.org ，并在 “源”中输入 https://api.nuget.org/v3/index.json。
5. 选择“ 更新 ”和 “确定”。
6. 重新生成项目。

在 Teams 中上传机器人

剩余 3 分钟

在克隆的存储库中，转到 Microsoft-Teams-Samples>示例>bot-conversation-sso-quickstart>csharp_dotnetcore>BotConversationSsoQuickstart。
使用 appPackage 文件夹中存在的以下文件创建 .zip 文件：
- manifest.json
- outline.png
- color.png
转到 Microsoft Teams。
1. 在 Teams 客户端中，选择“ 应用”。
2. 选择“管理应用”。
3. 选择 “上传应用”。
4. 查找“ 上传自定义应用”选项。
选择“ 打开 ”以上传已在 “清单” 文件夹中创建的 .zip 文件。
选择“ 添加 ”，将机器人添加到聊天。

可以通过向机器人发送消息来与机器人交互。机器人将交换 SSO 令牌并代表你调用图形 API。除非你发送注销消息，否则它会让你保持登录状态。

向机器人发送消息。聊天机器人首次请求同意。
1. 对于桌面：选择“ 继续 ”，向 Teams 客户端授予访问机器人的权限。
  
  注意
  
  现在，你已使用机器人应用配置 SSO，这是你唯一必须同意的时间。
2. 对于移动设备：选择“ 接受”。
  
  注意
  
  现在，你已在移动设备中配置了机器人应用的 SSO，这是你唯一需要同意的时间。

完成挑战

剩余 1 分钟

你想出了这样的东西吗？

成功完成分步指南后输出的屏幕截图。

恭喜！

100% 完成！

你已完成本教程，开始生成具有 SSO 身份验证的机器人。

通过

使用 SSO 身份验证生成机器人