Konfigurieren Ihrer App in Microsoft Entra ID

Microsoft Entra-ID bietet App-Benutzern Zugriff auf Ihren Bot oder Ihre Nachrichtenerweiterungs-App. Der App-Benutzer, der sich bei Teams angemeldet hat, kann Zugriff auf Ihre App erhalten.

SSO-Konfiguration im Microsoft Entra Admin Center

Die Bot- und Nachrichtenerweiterungs-Apps verwenden Bot Framework für die Kommunikation mit App-Benutzern und die Implementierung der Authentifizierung.

Zum Konfigurieren des einmaligen Anmeldens für Ihren Bot oder Ihre Nachrichtenerweiterungs-App müssen Sie Folgendes ausführen:

• Konfigurieren einer Botressource in Microsoft Entra ID
• Konfigurieren der App in Microsoft Entra ID

Hinweis

Stellen Sie sicher, dass Sie eine App und eine Botressource in Microsoft Entra ID erstellt haben.

• Weitere Informationen zum Erstellen einer App in Microsoft Entra ID finden Sie unter Registrieren einer neuen App in Microsoft Entra ID.
• Weitere Informationen zum Erstellen und Konfigurieren Ihrer Botressource in Microsoft Entra-ID finden Sie unter Erstellen eines Teams-Konversationsbots.

Sie können Ihre Botressource und Ihre App in Microsoft Entra ID für Ihren Bot oder Ihre Nachrichtenerweiterungs-App auf eine der folgenden zwei Arten konfigurieren:

• Konfigurieren des einmaligen Anmeldens mithilfe der Botressource und Konfigurieren Microsoft Entra App: Sie können zunächst SSO für Ihre Botressource konfigurieren und einmaliges Anmelden für Ihre Microsoft Entra-App aktivieren. Sie konfigurieren Folgendes:

  • Für Botressource: Messagingendpunkt und OAuth-Verbindung.

    Hinweis

    Wenn Sie Ihre Botressource in Microsoft Entra ID erstellen, können Sie die Option zum Erstellen einer neuen App-ID auswählen oder eine vorhandene App-ID verwenden, wenn Sie Ihre App bereits in Microsoft Entra ID registriert haben.

  • Für Microsoft Entra App: App-ID-URI, Bereich und Berechtigungen, vertrauenswürdige Client-IDs, Zugriffstokenversion, geheimer Clientschlüssel und Umleitungs-URL.

• Konfigurieren des einmaligen Anmeldens mithilfe Microsoft Entra App und anschließendes Konfigurieren der Botressource: Sie können zunächst Ihre Microsoft Entra-App konfigurieren und diese App-ID dann in der Botressource verwenden, wenn Sie einmaliges Anmelden für sie aktivieren. Sie konfigurieren Folgendes:

  • Für Microsoft Entra App: App-ID-URI, Zugriffstoken, vertrauenswürdige Client-IDs, Zugriffstokenversion, geheimer Clientschlüssel und Umleitungs-URL.

  • Für Botressource: Messagingendpunkt und OAuth-Verbindung.

    Hinweis

    Konfigurieren Sie die Botressource mithilfe der App-ID, die von Microsoft Entra ID generiert wurde, als Sie Ihre App registriert haben.

Aktivieren von SSO in Microsoft Entra ID

Am Ende dieses Tutorials erfahren Sie, wie Sie Folgendes konfigurieren:

• Anwendungs-ID
• Bot-ID
• Zugriffstoken
  • Anwendungs-ID-URI
  • Bereich, Berechtigungen und autorisierte Client-IDs
  • Geheimer Clientschlüssel
  • Umleitungs-URL
• Messagingendpunkt und OAuth-Verbindung

Wählen Sie eine der beiden folgenden Möglichkeiten zum Konfigurieren des einmaligen Anmeldens für Ihre Botressource aus:

Verwenden einer Botressource und Konfigurieren Microsoft Entra App

So aktivieren Sie SSO für Ihre App in Microsoft Entra ID:

• Konfigurieren des Messagingendpunkts
• Konfigurieren des einmaligen Anmeldens für Microsoft Entra App:
  • Konfigurieren des Bereichs für das Zugriffstoken
  • Konfigurieren der Zugriffstokenversion
  • Erstellen eines geheimen Clientschlüssels
  • Konfigurieren der Umleitungs-URL
• Konfigurieren einer OAuth-Verbindung

Wichtig

Stellen Sie sicher, dass Sie beim Erstellen Ihrer Botressource die Option zum Erstellen einer neuen App-ID auswählen. Sie können auch eine vorhandene App-ID verwenden, wenn Sie bereits eine App im Microsoft Entra Admin Center registriert haben.

Konfigurieren des Messagingendpunkts

Der Messagingendpunkt ist der Ort, an dem Nachrichten an Ihren Bot gesendet werden. Es ermöglicht die Kommunikation mit Ihrem Bot.

So konfigurieren Sie den Messagingendpunkt für Ihre Botressource

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser. Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Botressource in das Suchfeld ein, und drücken Sie die EINGABETASTE , um sie zu öffnen.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Geben Sie die Messagingendpunkt-URL ein, an die Ihr Bot die Nachrichten des App-Benutzers empfängt.

   

5. Wählen Sie Anwenden aus.

   Der Messagingendpunkt ist konfiguriert.

Sie haben den Messagingendpunkt für Ihre Botressource konfiguriert. Als Nächstes müssen Sie SSO für die Microsoft Entra-App aktivieren.

Konfigurieren des einmaligen Anmeldens für Microsoft Entra-App

Sie müssen Berechtigungen und Bereiche konfigurieren, Clientanwendungen autorisieren, das App-Manifest (zuvor teams-App-Manifest genannt) aktualisieren und einen geheimen Clientschlüssel für Ihre Microsoft Entra-App erstellen. Diese Konfigurationen helfen beim Aufrufen des einmaligen Anmeldens für Ihre Bot-App.

Konfigurieren des Bereichs für das Zugriffstoken

Konfigurieren Sie Bereichsoptionen (Berechtigungsoptionen) für das Senden von Zugriffstoken an den Teams-Client und autorisieren Sie vertrauenswürdige Clientanwendungen, um einmaliges Anmelden zu aktivieren.

Du brauchst:

• So konfigurieren Sie den Anwendungs-ID-URI: Konfigurieren Sie Bereichsoptionen (Berechtigungsoptionen) für Ihre App. Sie machen eine Web-API verfügbar und konfigurieren den Anwendungs-ID-URI.
• Um den API-Bereich zu konfigurieren: Definieren Sie den Bereich für die API und die Benutzer, die einem Bereich zustimmen können. Sie können festlegen, dass nur Admins die Zustimmung für höher privilegierte Berechtigungen erteilen.
• Um autorisierte Clientanwendung zu konfigurieren: Erstellen Sie autorisierte Client-IDs für Anwendungen, die Sie vorab autorisieren möchten. Dadurch kann der App-Benutzer auf die von Ihnen konfigurierten App-Bereiche (Berechtigungen) zugreifen, ohne dass eine weitere Zustimmung erforderlich ist. Autorisieren Sie nur die Clientanwendungen, denen Sie vertrauen, vorab, da Ihre App-Benutzer nicht die Möglichkeit haben, die Zustimmung abzulehnen.

So konfigurieren Sie den Anwendungs-ID-URI

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser.

   Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Botressource in das Suchfeld ein, und drücken Sie dann die EINGABETASTE , um sie zu öffnen.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Wählen Sie Verwalten aus.

   

   Die Seite Microsoft Entra App wird angezeigt.

   Die neue App-ID (Client-ID) für die App wird auf dieser Seite angezeigt. Notieren und speichern Sie diese App-ID. Sie müssen es später im App-Manifest aktualisieren. Wenn Sie beim Erstellen der Botressource die ID einer vorhandenen App verwendet haben, wird die ID dieser App auf dieser Seite angezeigt.

   

5. Wählen Sie im linken Bereich Verwalten>Eine API verfügbar machen aus.

   Die Seite API verfügbar machen wird angezeigt.

6. Wählen Sie Hinzufügen aus, um den Anwendungs-ID-URI zu generieren.

   

   Der Abschnitt zum Festlegen des Anwendungs-ID-URI wird angezeigt.

7. Geben Sie den Anwendungs-ID-URI in dem hier erläuterten Format ein.

   

   • Der Anwendungs-ID-URI ist vorab mit der App-ID (GUID) im Format api://{AppID}ausgefüllt.

   Wichtig

   • Vertrauliche Informationen: Der Anwendungs-ID-URI wird im Rahmen des Authentifizierungsprozesses protokolliert und darf keine vertraulichen Informationen enthalten.

   • Eigenständiger Bot: Wenn Sie einen eigenständigen Bot erstellen, geben Sie den Anwendungs-ID-URI als api://botid-{YourBotId} ein. Hier ist {YourBotId} Ihre Microsoft Entra Anwendungs-ID.

   • Anwendungs-ID-URI für Eine App mit mehreren Funktionen: Wenn Sie eine App mit einem Bot, einer Messagingerweiterung und einer Registerkarte erstellen, geben Sie den Anwendungs-ID-URI als api://fully-qualified-domain-name.com/botid-{YourClientId}ein, wobei {YourClientId} Ihre Bot-App-ID ist.

   • Format für Domänenname: Verwenden Sie Kleinbuchstaben für Domänennamen. Verwenden Sie keine Großbuchstaben.

     Um beispielsweise einen App-Dienst oder eine Web-App mit dem Ressourcennamen „demoapplication“ zu erstellen:

     Wenn der verwendete Basisressourcenname wie folgt lautet	Die URL wird folgende sein...	Format wird unterstützt auf...
     demoapplication	https://demoapplication.example.net	Alle Plattformen.
     DemoApplication	https://DemoApplication.example.net	Nur Desktop, Web und iOS. Sie wird auf Android nicht unterstützt.

     Verwenden Sie die Kleinbuchstabenoptionsdemoanwendung als Basisressourcennamen.

8. Klicken Sie auf Speichern.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der Anwendungs-ID-URI aktualisiert wurde.

   

   Der Anwendungs-ID-URI wird auf der Seite angezeigt.

   

9. Notieren und speichern Sie den Anwendungs-ID-URI. Sie benötigen es später zum Aktualisieren des App-Manifests.

Der Anwendungs-ID-URI ist konfiguriert. Sie können jetzt Bereich und Berechtigungen für Ihre App definieren.

So konfigurieren Sie den API-Bereich

1. Wählen Sie + Bereich hinzufügen im Abschnitt Bereiche, die von dieser API definiert werden aus.

   

   Die Seite Einen Bereich hinzufügen wird angezeigt.

2. Geben Sie die Details zum Konfigurieren des Bereichs ein.

   

   1. Geben Sie den Bereichsnamen ein.

   2. Wählen Sie den Benutzer aus, der die Zustimmung für diesen Bereich erteilen kann. Die Standardoption ist Nur Administratoren.

   3. Geben Sie den Anzeigename der Administratoreinwilligung ein.

   4. Geben Sie die Beschreibung für die Administratoreinwilligung ein.

   5. Geben Sie den Anzeigename der Benutzereinwilligung ein.

   6. Geben Sie die Beschreibung der Benutzereinwilligung ein.

   7. Wählen Sie die Option Aktiviert für den Status aus.

   8. Klicken Sie auf Bereich hinzufügen.

      Hinweis

      In diesem Tutorial können Sie das openid-Profil User.Read User.ReadBasic.All als Bereich verwenden. Dieser Bereich eignet sich für die Verwendung des Codebeispiels. Sie können auch weitere Graph-Bereiche und -Berechtigungen hinzufügen. Weitere Informationen finden Sie unter Erweitern Ihrer App mit Microsoft Graph-Berechtigungen und -Bereichen.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der Bereich hinzugefügt wurde.

   

   Hinweis

   Der von Ihnen definierte neue Bereich wird auf der Seite angezeigt. Achten Sie darauf, dass Sie den von Ihnen konfigurierten Bereich notieren und speichern. Sie benötigen sie später, um die OAuth-Verbindung zu aktualisieren.

Der Bereich und die Berechtigungen sind jetzt konfiguriert. Als Nächstes müssen Sie die autorisierten Clientanwendungen für Ihre Microsoft Entra-App konfigurieren.

Konfigurieren einer autorisierten Clientanwendung

1. Navigieren Sie durch die Seite API verfügbar machen zum Abschnitt Autorisierte Clientanwendung, und wählen Sie + Clientanwendung hinzufügen aus.

   

   Die Seite Ein Clientanwendung hinzufügen wird angezeigt.

2. Geben Sie die entsprechende Microsoft 365-Client-ID für die Anwendungen ein, die Sie für die Webanwendung Ihrer App autorisieren möchten.

   

   Hinweis

   • Die Microsoft 365-Client-IDs für mobile, Desktop- und Webanwendungen für Teams, Microsoft 365-Apps und Outlook sind die tatsächlichen IDs, die Sie hinzufügen müssen.
   • Wenn Ihre App über eine Registerkarten-App verfügt, benötigen Sie entweder web oder SPA, da Sie keine mobile oder Desktopclientanwendung in Teams haben können.

3. Wählen Sie eine der folgenden Client-IDs aus:

   Client-ID verwenden	Zum Autorisieren...
   1fec8e78-bce4-4aaf-ab1b-5451cc387264	mobile Teams- oder Desktopanwendung
   5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Teams-Webanwendung
   4765445b-32c6-49b0-83e6-1d93765276ca	Microsoft 365-Webanwendung
   0ec893e0-5785-4de6-99da-4ed124e5296c	Microsoft 365-Desktopanwendung
   d3590ed6-52b3-4102-aeff-aad2292ab01c	Mobile Microsoft 365-Anwendung Outlook-Desktopanwendung
   bc59ab01-8403-45c6-8796-ac3ef710b3e3	Outlook-Webanwendung
   27922004-5251-4030-b22d-91ecd9a37ea4	Mobile Outlook-Anwendung

4. Wählen Sie den Anwendungs-ID-URI aus, den Sie für Ihre App in Autorisierte Bereiche erstellt haben, um den Bereich der Web-API hinzuzufügen, die Sie verfügbar gemacht haben.

5. Wählen Sie Anwendung hinzufügen aus.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass die autorisierte Client-App hinzugefügt wurde.

   

   Die Client-ID der autorisierten App wird auf der Seite angezeigt.

   

   Hinweis

   Sie können mehr als eine Clientanwendung autorisieren. Wiederholen Sie die Schritte dieses Verfahrens zum Konfigurieren einer anderen autorisierten Clientanwendung.

Sie haben app-Bereich, Berechtigungen und Clientanwendungen erfolgreich konfiguriert. Notieren und speichern Sie den Anwendungs-ID-URI. Als Nächstes konfigurieren Sie die Zugriffstokenversion.

Konfigurieren der Zugriffstokenversion

Sie müssen die Zugriffstokenversion für Ihre App im Microsoft Entra App-Manifest definieren.

Definieren der Zugriffstokenversion

1. Wählen Sie im linken Bereich Verwalten>Manifest aus.

   

   Das Microsoft Entra App-Manifest wird angezeigt.

2. Geben Sie 2 als Wert für die Eigenschaft accessTokenAcceptedVersion ein.

   

3. Klicken Sie auf Speichern.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass das App-Manifest erfolgreich aktualisiert wurde.

   

Sie haben die Version des Zugriffstokens aktualisiert. Als Nächstes erstellen Sie einen geheimen Clientschlüssel für Ihre App.

Erstellen eines geheimen Clientschlüssels

Ein geheimer Clientschlüssel ist eine Zeichenfolge, die die Anwendung verwendet, um ihre Identität beim Anfordern eines Tokens nachzuweisen.

So erstellen Sie einen geheimen Clientschlüssel für Ihre App

1. Wählen SieZertifikate & Geheimnisse verwalten> aus.

   

   Die Seite Zertifikate & Geheimnisse wird angezeigt.

2. Wählen Sie + Neuer geheimer Clientschlüssel aus.

   

   Die Seite Geheimen Clientschlüssel hinzufügen wird angezeigt.

   

   1. Geben Sie die Beschreibung ein.
   2. Wählen Sie die Gültigkeitsdauer für das Geheimnis aus.

3. Wählen Sie Hinzufügen.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der geheime Clientschlüssel aktualisiert wurde, und der geheime Clientschlüssel wird auf der Seite angezeigt.

   

4. Wählen Sie die Schaltfläche kopieren neben dem Wert des geheimen Clientschlüssels aus.

5. Speichern Sie den wert, den Sie kopiert haben. Sie benötigen ihn später zum Aktualisieren von Code.

   Wichtig

   Stellen Sie sicher, dass Sie den Wert des geheimen Clientschlüssels direkt nach der Erstellung kopieren. Der Wert ist nur zum Zeitpunkt der Erstellung des geheimen Clientschlüssels sichtbar und kann danach nicht mehr angezeigt werden.

Sie haben den geheimen Clientschlüssel konfiguriert. Als Nächstes müssen Sie die Umleitungs-URL konfigurieren.

Konfigurieren der Umleitungs-URL

Die Konfiguration für die Authentifizierung hängt von der Plattform oder dem Gerät ab, auf die Bzw. auf dem Sie Ihre App als Ziel verwenden möchten. Möglicherweise müssen Sie Umleitungs-URIs, Authentifizierungseinstellungen oder plattformspezifische Details konfigurieren.

Hinweis

• Wenn Ihrer Bot-App keine Zustimmung des IT-Administrators erteilt wurde, müssen App-Benutzer ihre Einwilligung erteilen, wenn sie Ihre App zum ersten Mal auf einer anderen Plattform verwenden.
• Die implizite Genehmigung ist nicht erforderlich, wenn SSO für eine Bot-App aktiviert ist.

Sie können die Authentifizierung für mehrere Plattformen konfigurieren, solange die URL eindeutig ist.

So konfigurieren Sie die Umleitungs-URL

1. Öffnen Sie die App, die Sie im Azure-Portal registriert haben.

2. Wählen Sie im linken Bereich Verwalten>Authentifizierung aus.

   

   Die Seite Plattformkonfigurationen wird angezeigt.

3. Wählen Sie Plattform hinzufügen + aus.

   

   Die Seite Plattformen konfigurieren wird angezeigt.

4. Wählen Sie die Plattform aus, die Sie für Ihre App konfigurieren möchten. Sie können den Plattformtyp unter Web oder SPA auswählen.

   

   Die Webseite Konfigurieren wird angezeigt.

   Hinweis

   Die Konfigurationen sind je nach ausgewählter Plattform unterschiedlich.

5. Geben Sie die Konfigurationsdetails für die Plattform ein.

   

   1. Geben Sie den Umleitungs-URI ein. Der URI sollte eindeutig sein.

      Hinweis

      Die unter Umleitungs-URIs erwähnte URL ist ein Beispiel.

   2. Geben Sie die URL für Front-Channel-Abmeldung ein.

   3. Wählen Sie die Token aus, die Microsoft Entra-ID für Ihre App gesendet werden sollen.

6. Wählen Sie Konfigurieren aus.

   Die Plattform wird konfiguriert und auf der Seite Plattformkonfigurationen angezeigt.

Die Microsoft Entra App-Konfiguration ist abgeschlossen. Jetzt müssen Sie die SSO-Unterstützung für Ihre Botressource aktivieren, indem Sie die OAuth-Verbindung konfigurieren.

Konfigurieren einer OAuth-Verbindung

Damit ein Bot SSO unterstützt, müssen Sie seine OAuth-Verbindungseinstellungen aktualisieren. Dieser Prozess ordnet den Bot den App-Details zu, die Sie für Ihre Microsoft Entra-App konfiguriert haben:

• Microsoft Entra App-ID, die die Client-ID darstellt
• Mandanten-ID
• Bereich und Berechtigungen

Nachdem die App-ID (Client) und der geheime Clientschlüssel angegeben sind, tauscht der Bot Framework-Tokenspeicher das Token gegen ein Graphtoken mit definierten Berechtigungen aus.

So aktualisieren Sie die OAuth-Verbindung

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser. Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Microsoft Entra-App in das Suchfeld ein, und öffnen Sie Die App.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Navigieren Sie zur Seite Konfiguration , und wählen Sie OAuth-Verbindungseinstellungen hinzufügen aus.

   

   Die Seite Neue Verbindungseinstellung wird angezeigt.

5. Geben Sie die OAuth-Konfigurationseinstellungen für den Azure-Bot ein.

   

   1. Geben Sie einen Namen für die Konfigurationseinstellung ein.

   2. Wählen Sie den Dienstanbieter aus.

      Die verbleibenden Konfigurationsdetails werden angezeigt.

      

   3. Geben Sie die App-ID (Client) für die Microsoft Entra-App ein.

   4. Geben Sie den geheimen Clientschlüssel ein, den Sie für Ihren Bot erstellt haben.

   5. Geben Sie den Anwendungs-ID-URI Ihres Bots in die Tokenaustausch-URL ein.

   6. Geben Sie die Mandanten-ID ein.

   7. Geben Sie den Bereich ein, den Sie beim Konfigurieren des Bereichs und der Berechtigungen definiert haben.

6. Wählen Sie Speichern.

7. Wählen Sie Anwenden aus.

   Nachdem Sie die OAuth-Verbindung konfiguriert haben, können Sie Verbindung testen auswählen, um zu überprüfen, ob die OAuth-Verbindung erfolgreich ist.

   

   Wenn die Verbindung nicht erfolgreich ist, zeigt Microsoft Entra ID einen Fehler an. Sie können alle Konfigurationen überprüfen und erneut testen.

Herzlichen Glückwunsch! Sie haben die folgenden App-Konfigurationen in Microsoft Entra ID abgeschlossen, die erforderlich ist, um einmaliges Anmelden für Ihre Bot-App zu aktivieren:

• Anwendungs-ID
• Bot-ID
• Zugriffstoken
  • Anwendungs-ID-URI
  • Bereich, Berechtigungen und autorisierte Client-IDs
  • Geheimer Clientschlüssel
  • Umleitungs-URL
• Messagingendpunkt und OAuth-Verbindung

Verwenden Microsoft Entra App und anschließendes Konfigurieren der Botressource

So erstellen und konfigurieren Sie Ihre App für die Aktivierung des einmaligen Anmeldens in Microsoft Entra ID:

• Konfigurieren Ihrer Microsoft Entra-App für SSO
  • Konfigurieren des Bereichs für das Zugriffstoken
  • Konfigurieren der Zugriffstokenversion
  • Erstellen eines geheimen Clientschlüssels für Ihre App
  • Konfigurieren der Umleitungs-URL für Ihre App
• Konfigurieren einer Botressource in Microsoft Entra ID
  • Konfigurieren des Messagingendpunkts für Ihre Botressource
  • Konfigurieren einer OAuth-Verbindung für Ihre Botressource

Konfigurieren Ihrer Microsoft Entra-App für SSO

Sie müssen Berechtigungen und Bereiche konfigurieren, Clientanwendungen autorisieren, das App-Manifest aktualisieren und einen geheimen Clientschlüssel für Ihre Microsoft Entra-App erstellen. Diese Konfigurationen helfen beim Aufrufen von SSO für Ihre Bot-App.

Wichtig

Stellen Sie sicher, dass Sie Ihre App in Microsoft Entra ID registriert haben. Bei der Registrierung generiert Microsoft Entra ID eine neue App-ID, die Sie notieren müssen. Sie müssen es später in der App-Manifestdatei aktualisieren.

Konfigurieren des Bereichs für das Zugriffstoken

Sie müssen Bereichsoptionen (Berechtigungsoptionen) für Ihre Microsoft Entra-App konfigurieren. Sie benötigen es zum Senden eines Zugriffstokens an den Teams-Client und zum Autorisieren vertrauenswürdiger Clientanwendungen.

Um den Bereich zu konfigurieren und vertrauenswürdige Clientanwendungen zu autorisieren, benötigen Sie Folgendes:

• So konfigurieren Sie den Anwendungs-ID-URI für Ihre App: Konfigurieren Sie Bereichsoptionen (Berechtigungsoptionen) für Ihre App. Sie machen eine Web-API verfügbar und konfigurieren den Anwendungs-ID-URI.
• So konfigurieren Sie den API-Bereich für Ihre App: Definieren Sie den Bereich für die API und die Benutzer, die für einen Bereich zustimmen können. Sie können festlegen, dass nur Admins die Zustimmung für höher privilegierte Berechtigungen erteilen.
• So konfigurieren Sie eine autorisierte Clientanwendung: Erstellen Sie autorisierte Client-IDs für Anwendungen, die Sie vorab autorisieren möchten. Dadurch kann der App-Benutzer auf die von Ihnen konfigurierten App-Bereiche (Berechtigungen) zugreifen, ohne dass eine weitere Zustimmung erforderlich ist. Autorisieren Sie nur diejenigen Clientanwendungen, denen Sie vertrauen, da Ihre App-Benutzer nicht die Möglichkeit haben, die Zustimmung abzulehnen.

So konfigurieren Sie den Anwendungs-ID-URI für Ihre App

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser.

   Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Botressource in das Suchfeld ein, und drücken Sie dann die EINGABETASTE , um sie zu öffnen.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Wählen Sie Verwalten aus.

   

   Die Seite Microsoft Entra App wird angezeigt.

   Die neue App-ID (Client-ID) für die App wird auf dieser Seite angezeigt. Notieren und speichern Sie diese App-ID. Sie müssen es später im App-Manifest aktualisieren. Wenn Sie beim Erstellen der Botressource die ID einer vorhandenen App verwendet haben, wird die ID dieser App auf dieser Seite angezeigt.

   

5. Wählen Sie im linken Bereich Verwalten>Eine API verfügbar machen aus.

   Die Seite API verfügbar machen wird angezeigt.

6. Wählen Sie Hinzufügen aus, um den Anwendungs-ID-URI zu generieren.

   

   Der Abschnitt zum Festlegen des Anwendungs-ID-URI wird angezeigt.

7. Geben Sie den Anwendungs-ID-URI in dem hier erläuterten Format ein.

   

   • Der Anwendungs-ID-URI wird mit der App-ID (GUID) im Format api://{AppID} vorausgefüllt.

   Wichtig

   • Eigenständiger Bot: Wenn Sie einen eigenständigen Bot erstellen, geben Sie den Anwendungs-ID-URI als api://botid-{YourBotId} ein. Hier ist {YourBotId} Ihre Microsoft Entra Anwendungs-ID.

   • Anwendungs-ID-URI für Eine App mit mehreren Funktionen: Wenn Sie eine App mit einem Bot, einer Messagingerweiterung und einer Registerkarte erstellen, geben Sie den Anwendungs-ID-URI als api://fully-qualified-domain-name.com/botid-{YourClientId}ein, wobei {YourClientId} Ihre Bot-App-ID ist.

   • Format für Domänenname: Verwenden Sie Kleinbuchstaben für Domänennamen. Verwenden Sie keine Großbuchstaben.

     Um beispielsweise einen App-Dienst oder eine Web-App mit dem Ressourcennamen „demoapplication“ zu erstellen:

     Wenn der verwendete Basisressourcenname wie folgt lautet	Die URL wird folgende sein...	Format wird unterstützt auf...
     demoapplication	https://demoapplication.example.net	Alle Plattformen.
     DemoApplication	https://DemoApplication.example.net	Nur Desktop, Web und iOS. Sie wird auf Android nicht unterstützt.

     Verwenden Sie die Kleinbuchstabenoptionsdemoanwendung als Basisressourcennamen.

8. Klicken Sie auf Speichern.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der Anwendungs-ID-URI aktualisiert wurde.

   

   Der Anwendungs-ID-URI wird auf der Seite angezeigt.

   

9. Notieren und speichern Sie den Anwendungs-ID-URI. Sie benötigen es später zum Aktualisieren des App-Manifests.

Der Anwendungs-ID-URI ist konfiguriert. Sie können jetzt Bereich und Berechtigungen für Ihre App definieren.

So konfigurieren Sie den API-Bereich für Ihre App

1. Wählen Sie + Bereich hinzufügen im Abschnitt Bereiche, die von dieser API definiert werden aus.

   

   Die Seite Einen Bereich hinzufügen wird angezeigt.

2. Geben Sie die Details zum Konfigurieren des Bereichs ein.

   

   1. Geben Sie den Bereichsnamen ein.

   2. Wählen Sie den Benutzer aus, der die Zustimmung für diesen Bereich erteilen kann. Die Standardoption ist Nur Administratoren.

   3. Geben Sie den Anzeigename der Administratoreinwilligung ein.

   4. Geben Sie die Beschreibung für die Administratoreinwilligung ein.

   5. Geben Sie den Anzeigename der Benutzereinwilligung ein.

   6. Geben Sie die Beschreibung der Benutzereinwilligung ein.

   7. Wählen Sie die Option Aktiviert für den Status aus.

   8. Klicken Sie auf Bereich hinzufügen.

      Hinweis

      Für dieses Tutorial können Sie das openid-Profil User.Read User.ReadBasic.All als Bereich verwenden. Dieser Bereich eignet sich für die Verwendung des Codebeispiels. Sie können auch weitere Graph-Bereiche und -Berechtigungen hinzufügen. Weitere Informationen finden Sie unter Erweitern Ihrer App mit Microsoft Graph-Berechtigungen und -Bereichen.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der Bereich hinzugefügt wurde.

   

   Hinweis

   Der von Ihnen definierte neue Bereich wird auf der Seite angezeigt. Achten Sie darauf, dass Sie den von Ihnen konfigurierten Bereich notieren und speichern. Sie benötigen sie später, um die OAuth-Verbindung zu aktualisieren.

Der Bereich und die Berechtigungen sind jetzt konfiguriert. Als Nächstes müssen Sie die autorisierten Clientanwendungen für Ihre Microsoft Entra-App konfigurieren.

So konfigurieren Sie eine autorisierte Clientanwendung

1. Navigieren Sie durch die Seite API verfügbar machen zum Abschnitt Autorisierte Clientanwendung, und wählen Sie + Clientanwendung hinzufügen aus.

   

   Die Seite Ein Clientanwendung hinzufügen wird angezeigt.

2. Geben Sie die entsprechende Microsoft 365-Client-ID für die Anwendungen ein, die Sie für die Webanwendung Ihrer App autorisieren möchten.

   

   Hinweis

   • Die Microsoft 365-Client-IDs für mobile, Desktop- und Webanwendungen für Teams, Microsoft 365-Apps und Outlook sind die tatsächlichen IDs, die Sie hinzufügen müssen.
   • Wenn Ihre App über eine Registerkarten-App verfügt, benötigen Sie entweder web oder SPA, da Sie keine mobile oder Desktopclientanwendung in Teams haben können.

3. Wählen Sie eine der folgenden Client-IDs aus:

   Client-ID verwenden	Zum Autorisieren...
   1fec8e78-bce4-4aaf-ab1b-5451cc387264	mobile Teams- oder Desktopanwendung
   5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Teams-Webanwendung
   4765445b-32c6-49b0-83e6-1d93765276ca	Microsoft 365-Webanwendung
   0ec893e0-5785-4de6-99da-4ed124e5296c	Microsoft 365-Desktopanwendung
   d3590ed6-52b3-4102-aeff-aad2292ab01c	Mobile Microsoft 365-Anwendung Outlook-Desktopanwendung
   bc59ab01-8403-45c6-8796-ac3ef710b3e3	Outlook-Webanwendung
   27922004-5251-4030-b22d-91ecd9a37ea4	Mobile Outlook-Anwendung

4. Wählen Sie den Anwendungs-ID-URI aus, den Sie für Ihre App in Autorisierte Bereiche erstellt haben, um den Bereich der Web-API hinzuzufügen, die Sie verfügbar gemacht haben.

5. Wählen Sie Anwendung hinzufügen aus.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass die autorisierte Client-App hinzugefügt wurde.

   

   Die Client-ID der autorisierten App wird auf der Seite angezeigt.

   

   Hinweis

   Sie können mehr als eine Clientanwendung autorisieren. Wiederholen Sie die Schritte dieses Verfahrens zum Konfigurieren einer anderen autorisierten Clientanwendung.

Sie haben app-Bereich, Berechtigungen und Clientanwendungen erfolgreich konfiguriert. Notieren und speichern Sie den Anwendungs-ID-URI. Als Nächstes konfigurieren Sie die Zugriffstokenversion.

Konfigurieren der Zugriffstokenversion

Sie müssen die Zugriffstokenversion für Ihre App im Microsoft Entra App-Manifest definieren.

So definieren Sie die Zugriffstokenversion

1. Wählen Sie im linken Bereich Verwalten>Manifest aus.

   

   Das Microsoft Entra App-Manifest wird angezeigt.

2. Geben Sie 2 als Wert für die Eigenschaft accessTokenAcceptedVersion ein.

   

3. Klicken Sie auf Speichern.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass das App-Manifest erfolgreich aktualisiert wurde.

   

Sie haben die Version des Zugriffstokens aktualisiert. Der nächste Schritt besteht darin, als Nächstes einen geheimen Clientschlüssel für Ihre App zu erstellen.

Erstellen eines geheimen Clientschlüssels für Ihre App

Ein geheimer Clientschlüssel ist eine Zeichenfolge, die die Anwendung verwendet, um ihre Identität beim Anfordern eines Tokens nachzuweisen.

So erstellen Sie einen geheimen Clientschlüssel

1. Wählen SieZertifikate & Geheimnisse verwalten> aus.

   

   Die Seite Zertifikate & Geheimnisse wird angezeigt.

2. Wählen Sie + Neuer geheimer Clientschlüssel aus.

   

   Die Seite Geheimen Clientschlüssel hinzufügen wird angezeigt.

   

   1. Geben Sie die Beschreibung ein.
   2. Wählen Sie die Gültigkeitsdauer für das Geheimnis aus.

3. Wählen Sie Hinzufügen.

   Im Browser wird eine Meldung mit dem Hinweis angezeigt, dass der geheime Clientschlüssel aktualisiert wurde, und der geheime Clientschlüssel wird auf der Seite angezeigt.

   

4. Wählen Sie die Schaltfläche kopieren neben dem Wert des geheimen Clientschlüssels aus.

5. Speichern Sie den wert, den Sie kopiert haben. Sie benötigen ihn später zum Aktualisieren von Code.

   Wichtig

   Stellen Sie sicher, dass Sie den Wert des geheimen Clientschlüssels direkt nach der Erstellung kopieren. Der Wert ist nur zum Zeitpunkt der Erstellung des geheimen Clientschlüssels sichtbar und kann danach nicht mehr angezeigt werden.

Konfigurieren der Umleitungs-URL für Ihre App

Die Konfiguration für die Authentifizierung hängt von der Plattform oder dem Gerät ab, auf die Bzw. auf dem Sie Ihre App als Ziel verwenden möchten. Möglicherweise müssen Sie Umleitungs-URIs, Authentifizierungseinstellungen oder plattformspezifische Details konfigurieren.

Hinweis

• Wenn Ihrer Bot-App keine Zustimmung des IT-Administrators erteilt wurde, müssen App-Benutzer ihre Einwilligung erteilen, wenn sie Ihre App zum ersten Mal auf einer anderen Plattform verwenden.
• Die implizite Genehmigung ist nicht erforderlich, wenn SSO für eine Bot-App aktiviert ist.

Sie können die Authentifizierung für mehrere Plattformen konfigurieren, solange die URL eindeutig ist.

So konfigurieren Sie die Umleitungs-URL für Ihre App

1. Öffnen Sie die App, die Sie im Azure-Portal registriert haben.

2. Wählen Sie im linken Bereich Verwalten>Authentifizierung aus.

   

   Die Seite Plattformkonfigurationen wird angezeigt.

3. Wählen Sie Plattform hinzufügen + aus.

   

   Die Seite Plattformen konfigurieren wird angezeigt.

4. Wählen Sie die Plattform aus, die Sie für Ihre App konfigurieren möchten. Sie können den Plattformtyp im Web oder im SPA auswählen.

   

   Die Webseite Konfigurieren wird angezeigt.

   Hinweis

   Die Konfigurationen sind je nach ausgewählter Plattform unterschiedlich.

5. Geben Sie die Konfigurationsdetails für die Plattform ein.

   

   1. Geben Sie den Umleitungs-URI ein. Der URI sollte eindeutig sein.

      Hinweis

      Die unter Umleitungs-URIs erwähnte URL ist ein Beispiel.

   2. Geben Sie die URL für Front-Channel-Abmeldung ein.

   3. Wählen Sie die Token aus, die Microsoft Entra-ID für Ihre App gesendet werden sollen.

6. Wählen Sie Konfigurieren aus.

   Die Plattform wird konfiguriert und auf der Seite Plattformkonfigurationen angezeigt.

Die Konfiguration für Microsoft Entra App ist abgeschlossen, und Jetzt können Sie Ihre Botressource für die Aktivierung von SSO konfigurieren.

Konfigurieren einer Botressource in Microsoft Entra ID

Bevor Sie einmaliges Anmelden für Ihre Bot-App aktivieren, müssen Sie Ihre Botressource in Microsoft Entra ID erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen eines Teams-Konversationsbots.

Hinweis

Stellen Sie sicher, dass Sie beim Erstellen Ihrer Botressource die Anwendungs-ID Ihrer Microsoft Entra App auswählen, die Sie registriert haben.

So aktivieren Sie einmaliges Anmelden für Ihre Botressource:

• Konfigurieren des Messagingendpunkts für Ihre Botressource
• Konfigurieren einer OAuth-Verbindung für Ihre Botressource

Konfigurieren des Messagingendpunkts für Ihre Botressource

Der Messagingendpunkt ist der Ort, an dem Nachrichten an Ihren Bot gesendet werden. Es ermöglicht die Kommunikation mit Ihrem Bot.

So konfigurieren Sie den Messagingendpunkt

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser. Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Botressource in das Suchfeld ein, und drücken Sie die EINGABETASTE , um sie zu öffnen.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Geben Sie die Messagingendpunkt-URL ein, an die Ihr Bot die Nachrichten des App-Benutzers empfängt.

   

5. Wählen Sie Anwenden aus.

   Der Messagingendpunkt ist konfiguriert.

Nun müssen Sie die OAuth-Verbindung konfigurieren, um einmaliges Anmelden für Ihre Botressource zu aktivieren.

Konfigurieren einer OAuth-Verbindung für Ihre Botressource

Damit ein Bot SSO unterstützt, müssen Sie seine OAuth-Verbindungseinstellungen aktualisieren. Dieser Prozess ordnet den Bot den App-Details zu, die Sie für Ihre Microsoft Entra-App konfiguriert haben:

• Microsoft Entra App-ID, die die Client-ID darstellt
• Mandanten-ID
• Bereich und Berechtigungen

Nachdem die App-ID (Client) und der geheime Clientschlüssel angegeben sind, tauscht der Bot Framework-Tokenspeicher das Token gegen ein Graphtoken mit definierten Berechtigungen aus.

So aktualisieren Sie die OAuth-Verbindung für Ihre Botressource

1. Öffnen Sie das Azure-Portal in Ihrem Webbrowser. Die Seite Microsoft Azure Bot wird geöffnet.

2. Geben Sie den Namen Ihrer Microsoft Entra-App in das Suchfeld ein, und öffnen Sie Die App.

3. Wählen Sie Einstellungen>Konfiguration aus.

   

   Die Seite Konfiguration wird angezeigt.

4. Navigieren Sie zur Seite Konfiguration , und wählen Sie OAuth-Verbindungseinstellungen hinzufügen aus.

   Die Seite Neue Verbindungseinstellung wird angezeigt.

5. Geben Sie die OAuth-Konfigurationseinstellungen für den Azure-Bot ein.

   

   1. Geben Sie einen Namen für die Konfigurationseinstellung ein.

   2. Wählen Sie den Dienstanbieter aus.

      Die verbleibenden Konfigurationsdetails werden angezeigt.

      

   3. Geben Sie die Client-ID ein, die beim Erstellen der Bot-App generiert wurde.

   4. Geben Sie den geheimen Clientschlüssel ein, den Sie für Ihren Bot erstellt haben.

   5. Geben Sie den Anwendungs-ID-URI Ihres Bots in die Tokenaustausch-URL ein.

   6. Geben Sie die Mandanten-ID ein.

   7. Geben Sie den Bereich ein, den Sie beim Konfigurieren der Berechtigungen definiert haben.

      Hinweis

      Für dieses Tutorial können Sie das openid-Profil User.Read User.ReadBasic.All als Bereich verwenden. Dieser Bereich eignet sich für die Verwendung des Codebeispiels.

6. Wählen Sie Speichern.

7. Wählen Sie Anwenden aus.

Nachdem Sie die OAuth-Verbindung konfiguriert haben, können Sie Verbindung testen auswählen, um zu überprüfen, ob die OAuth-Verbindung erfolgreich ist.

Wenn die Verbindung nicht erfolgreich ist, zeigt Microsoft Entra ID einen Fehler an. Sie können alle Konfigurationen überprüfen und erneut testen.

Herzlichen Glückwunsch! Sie haben die folgenden App-Konfigurationen in Microsoft Entra ID abgeschlossen, die erforderlich ist, um einmaliges Anmelden für Ihre Bot-App zu aktivieren:

• Anwendungs-ID
• Bot-ID
• Zugriffstoken
  • Anwendungs-ID-URI
  • Bereich, Berechtigungen und autorisierte Client-IDs
  • Geheimer Clientschlüssel
  • Umleitungs-URL
• Messagingendpunkt und OAuth-Verbindung

Bewährte Methoden

• Halten Sie die Microsoft Entra App-Registrierung auf ihren ursprünglichen Zweck der Dienst-zu-Dienst-Anwendung beschränkt.
• Um eine bessere Kontrolle über das Deaktivieren von Authentifizierungsverbindungen, das Parallelieren von Geheimnissen oder die Wiederverwendung der Microsoft Entra-App mit anderen Anwendungen zu ermöglichen, erstellen Sie eine zusätzliche Microsoft Entra-App für jeden Benutzer, um die Authentifizierung zu verwalten.

Wenn Sie die Microsoft Entra-Registrierungs-App für die Authentifizierung verwenden, können die folgenden Probleme auftreten:

• Wenn Sie das Zertifikat erneuern, das der Microsoft Entra App-Registrierung zugeordnet ist, wirkt sich dies auf die Benutzer aus, die sich mit anderen Microsoft Entra Diensten authentifiziert haben, die das Zertifikat verwenden.
• Es erstellt einen Single Point of Failure und kontrolle für alle Authentifizierungsaktivitäten mit dem Bot.

Nächster Schritt

Hinzufügen von Code zum Aktivieren von SSO