身分識別提供者

適用于： SDK v4

身分識別提供者會驗證使用者或用戶端身分識別，併發出消費性安全性權杖。 它提供使用者驗證即服務。

用戶端應用程式，例如 Web 應用程式，會將驗證委派給受信任的識別提供者。 這類用戶端應用程式據說是同盟，也就是說，它們會使用同盟身分識別。 如需詳細資訊，請參閱 同盟身分識別模式 。

使用受信任的識別提供者：

• 啟用單一登入 （SSO） 功能，讓應用程式能夠存取多個受保護的資源。
• 協助雲端運算資源和使用者之間的連線，減少使用者重新驗證的需求。

單一登入

單一登入是指一個驗證程式，可讓使用者使用單一組認證登入系統，以存取多個應用程式或服務。

使用者以單一識別碼和密碼登入，以存取數個相關軟體系統中的任何一個。 如需詳細資訊，請參閱 單一登入 。

許多識別提供者都支援登出作業，以撤銷使用者權杖，並終止對相關聯應用程式和服務的存取權。

重要

SSO 藉由減少使用者必須輸入認證次數來增強可用性。 其也透過減少潛在的受攻擊面，來提供更好的安全性。

Microsoft Entra ID 識別提供者

Microsoft Entra ID 是 Microsoft Azure 中的身分識別服務，可提供身分識別管理和存取控制功能。 它可讓您使用 OAuth2.0 等 業界標準通訊協定安全地登入使用者。

您可以選擇兩個 Active Directory 身分識別提供者實作，其中有不同的設定，如下所示。

注意

在 Azure Bot 註冊應用程式中設定 OAuth 連線ion 設定 時 ，請使用這些設定。 如需詳細資訊，請參閱 將驗證新增至 Bot 。

Microsoft Entra ID

Microsoft 身分識別平臺 （v2.0）——也稱為 Microsoft Entra ID 端點—可讓 Bot 取得權杖來呼叫 Microsoft API，例如 Microsoft Graph 或其他 API。 身分識別平臺是 Azure AD 平臺 （v1.0） 的演進。 如需詳細資訊，請參閱 Microsoft 身分識別平臺 （v2.0） 概觀 。

使用下列 AD v2 設定，讓 Bot 能夠透過 Microsoft Graph API 存取 Office 365 資料。

屬性	描述或值
名稱	此識別提供者連線的名稱。
服務提供者	要使用的識別提供者。 選取 [Microsoft Entra ID]。
用戶端識別碼	Azure 識別提供者應用程式的應用程式 （用戶端） 識別碼。
用戶端密碼	Azure 識別提供者應用程式的秘密。
租用戶識別碼	您的目錄（租使用者）識別碼或 common 。 如需詳細資訊，請參閱租使用者 識別碼的相關 注意事項。
範圍	您授與 Microsoft Entra ID 識別提供者應用程式之 API 許可權的空間分隔清單，例如 openid 、 profile 、 Mail.Read 、、 Mail.Send 、 User.Read 和 User.ReadBasic.All 。
權杖交換 URL	若為 已啟用 SSO 的技能 Bot ，請使用與 OAuth 連線相關聯的權杖交換 URL，否則請將此保留空白。 如需 SSO 權杖交換 URL 的相關資訊，請參閱 建立 OAuth 連線設定 。

Azure AD v1

Azure AD v1

使用如下所示的設定來設定 Microsoft Entra ID 開發人員平臺 （v1.0），也稱為 Azure AD v1 端點。 這可讓您建置應用程式，以使用 Microsoft 公司或學校帳戶安全地登入使用者。 如需詳細資訊，請參閱 適用于開發人員的 Microsoft Entra ID （v1.0） 概觀 。

屬性	描述或值
名稱	此識別提供者連線的名稱。
服務提供者	要使用的識別提供者。 選取 [Microsoft Entra ID]。
用戶端識別碼	Azure 識別提供者應用程式的應用程式 （用戶端） 識別碼。
用戶端密碼	Azure 識別提供者應用程式的秘密。
授與類型	authorization_code
登入 URL	https://login.microsoftonline.com
租用戶識別碼	您的目錄（租使用者）識別碼或 common 。 如需詳細資訊，請參閱下列關於 租使用者識別碼的 附注。
資源 URL	https://graph.microsoft.com/
範圍	將此選項維持空白。
權杖交換 URL	將此選項維持空白。

注意

如果您選取下列其中一項，請輸入 您為 Microsoft Entra ID 識別提供者應用程式記錄的租 使用者識別碼：

• 僅限此組織目錄中的帳戶（僅限 Microsoft - 單一租使用者）
• 任何組織目錄中的帳戶（Microsoft AAD 目錄 - 多租使用者）

如果您在任何組織目錄中選取 [帳戶] （任何 Microsoft Entra ID 目錄 - 多租使用者和個人 Microsoft 帳戶，例如 Skype、Xbox、Outlook.com）， 請輸入 common 。

否則，Microsoft Entra ID 識別提供者應用程式會使用租使用者來驗證選取的識別碼，並排除個人 Microsoft 帳戶。

如需詳細資訊，請參閱

• 為什麼要更新至 Microsoft 身分識別平臺 （v2.0）？
• Microsoft 身分識別平臺 （適用于開發人員的 Microsoft Entra ID）。

其他識別提供者

Azure 支援數個識別提供者。 您可以執行下列 Azure 主控台命令，以取得完整清單以及相關詳細資料：

az login
az bot authsetting list-providers

當您定義 Bot 註冊應用程式的 OAuth 連線設定時，您也可以在Azure 入口網站 中看到 這些提供者的清單。

OAuth 泛型提供者

Azure 支援泛型 OAuth2，可讓您使用自己的識別提供者。

您可以選擇兩個一般識別提供者實作，其設定不同，如下所示。

注意

在 Azure Bot 註冊應用程式中設定 OAuth 連線ion 設定 時 ，請使用此處所述的設定。

一般 OAuth 2

使用此提供者來設定任何一般 OAuth2 識別提供者，其預期與 Microsoft Entra ID 提供者類似，尤其是 AD v2。 針對此連線類型，會修正查詢字串和要求主體承載。

屬性	描述或值
名稱	此識別提供者連線的名稱。
服務提供者	要使用的識別提供者。 選取 [一般 Oauth 2 ]。
用戶端識別碼	從識別提供者取得的用戶端識別碼。
用戶端密碼	從識別提供者註冊取得的用戶端密碼。
授權 URL	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
權杖 URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
重新整理 URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
權杖交換 URL	將此選項維持空白。
範圍	您授與給識別提供者應用程式的 API 許可權逗號分隔清單。

OAuth 2 泛型提供者

此提供者需要更多組態參數，因此當您需要更多彈性時，請使用此版本來設定任何一般 OAuth 2 服務提供者。 使用此組態時，您可以指定 URL 範本、查詢字串範本，以及授權、重新整理和權杖轉換的主體範本。

屬性	描述或值
名稱	此識別提供者連線的名稱。
服務提供者	要使用的識別提供者。 選取 [Oauth 2 泛型提供者 ]。
用戶端識別碼	從識別提供者取得的用戶端識別碼。
用戶端密碼	從識別提供者註冊取得的用戶端密碼。
範圍清單分隔符號	範圍清單的分隔符號字元。 此欄位不支援空白空格 （），但如果識別提供者需要，則可以在 [範圍 ] 欄位中使用。 在此情況下，請將逗號 （，） 用於此欄位，並在 [範圍 ] 欄位中使用空格 （ ）。
授權 URL 範本	授權的 URL 範本，由您的識別提供者定義。 例如： https://login.microsoftonline.com/common/oauth2/v2.0/authorize 。
授權 URL 查詢字串範本	授權的查詢範本，由您的識別提供者提供。 查詢字串範本中的鍵會視識別提供者而不同。 例如： ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State} 。
權杖 URL 範本	https://login.microsoftonline.com/common/oauth2/v2.0/token
權杖 URL 查詢字串範本	權杖 URL 的查詢字串分隔符號。 通常是問號（？）。
權杖本文範本	權杖主體的範本。 例如： code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret} 。
重新整理 URL 範本	https://login.microsoftonline.com/common/oauth2/v2.0/token
重新整理 URL 查詢字串範本	權杖 URL 的重新整理 URL 查詢字串分隔符號。 通常是問號（？）。
重新整理本文範本	重新整理本文的範本。 例如： refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret} 。
權杖交換 URL	將此選項維持空白。
範圍	您希望已驗證的使用者登入一次的範圍清單。 請確定您只設定必要的範圍，並遵循 最低許可權存取控制原則 。 例如： User.Read 。 如果您使用自訂範圍，請使用完整的 URI，包括公開的應用程式識別碼 URI。

下一步

識別提供者 Proxy