Sdílet prostřednictvím

Základy ověřování bot Framework

  • Článek

PLATÍ PRO: SDK v4

Robot často musí přistupovat k chráněným prostředkům, například e-mailový účet jménem uživatele. Aby to bylo možné udělat, musí být robot autorizovaný na základě přihlašovacích údajů uživatele. Před tím musí být uživatel nejprve ověřen . Robot musí být známá entita, tj. musí být ověřená v kontextu služby Azure AI Bot Service. K tomu dochází před tím, než robot má oprávnění pracovat jménem uživatele.

Pojďme se podívat, jestli můžeme tuto sadu rozbalit tak, že začneme pohledem ptáka na kontext ověřování bot Frameworku.

Bot authentication context

  • Když zaregistrujete robota v Azure prostřednictvím prostředku Azure Bot , Azure vytvoří aplikaci pro registraci ID Microsoft Entra. Tato aplikace má ID aplikace (MicrosoftAppId) a tajný klíč klienta (MicrosoftAppPassword). Tyto hodnoty použijete v konfiguračních souborech robota, jak je popsáno níže.

  • Microsoft Entra ID je cloudová služba identit, která umožňuje vytvářet aplikace, které bezpečně přihlašují uživatele pomocí standardních oborových protokolů, jako je OAuth 2.0. Vytvoříte aplikaci Active Directory a pomocí jejího ID a hesla vyberete zprostředkovatele identity a vygenerujete ověřovací připojení. Toto připojení přidáte k prostředku robota. Do konfiguračních souborů robota přidáte také název připojení, jak je popsáno níže.

  • Robot je identifikovaný svým ID a heslem aplikace prostředku Azure Bot. Související hodnoty přidáte do konfiguračního souboru robota nebo do tajného kódu nebo správce klíčů. Přidáte také název připojení. Robot používá token založený na ID aplikace a hesle pro přístup k chráněným prostředkům. Robot používá pro přístup k chráněným prostředkům uživatele různé tokeny na základě připojení ověřování.

Ověřování a autorizace robota

Následuje hlavní postup ověření robota a jeho autorizace pro přístup k chráněným prostředkům uživatele:

  1. Vytvořte aplikaci pro registraci kanálu robota.
  2. Do konfiguračního souboru robota přidejte ID a heslo registrační aplikace. To umožňuje, aby byl robot ověřený pro přístup k chráněným prostředkům.
  3. Vytvořte aplikaci Microsoft Entra ID pro výběr zprostředkovatele identity pro ověření uživatele.
  4. Vytvořte ověřovací připojení a přidejte ho do nastavení registrace kanálu.
  5. Přidejte název připojení ke konfiguračním souborům robota. To umožňuje, aby robot měl oprávnění pro přístup k chráněným prostředkům uživatele.

Úplný příklad najdete v tématu Přidání ověřování do robota.

Osvědčené postupy

  • Udržujte registraci aplikace Microsoft Entra ID omezena na původní účel služby na aplikaci služby.
  • Vytvořte další aplikaci Microsoft Entra ID pro libovolného uživatele, který bude provádět ověřování, a tím bude mít větší kontrolu nad zakázáním ověřovacích připojení, průběžnými tajnými kódy nebo opětovným použitím aplikace Microsoft Entra ID s jinými aplikacemi.

Některé problémy, se kterými se setkáte, pokud k ověřování používáte také registrační aplikaci Microsoft Entra ID:

  • Pokud se certifikát připojený k registraci aplikace Microsoft Entra ID musí obnovit, bude mít vliv na uživatele, kteří se ověřili v jiných službách Microsoft Entra ID pomocí certifikátu.
  • Obecně platí, že vytvoří jediný bod selhání a řízení pro všechny aktivity související s ověřováním s robotem.

Následující články obsahují podrobné informace a příklady o ověřování v rámci služby Bot Framework. Začněte tím, že se podíváte na typy ověřování a potom na zprostředkovatele identity.

Článek Popis
Typy ověřování Popisuje dva typy ověřování bot Framework a tokeny, které používají.
Zprostředkovatelé identit Popisuje použití zprostředkovatelů identity. Umožňují vytvářet aplikace, které bezpečně přihlašují uživatele pomocí standardních oborových protokolů, jako je OAuth2.0.
Ověřování uživatelů Popisuje ověřování uživatele a související token k autorizaci robota k provádění úloh jménem uživatele.
Jednotné přihlašování Popisuje ověřování jednoho uživatele pro přístup k více chráněným prostředkům.
Registrace robota v Azure Ukazuje, jak zaregistrovat robota ve službě Azure AI Bot Service.
Pokyny pro zabezpečení služby Bot Framework Popisuje zabezpečení obecně a jak se vztahuje na bot Framework.
Přidání ověřování do robota Ukazuje, jak vytvořit registraci kanálu robota, vytvořit ověřovací připojení a připravit kód.
Přidání jednotného přihlašování do robota Ukazuje, jak do robota přidat ověřování pomocí jednotného přihlašování.