Compartir a través de


Configuración de la aplicación en Microsoft Entra ID

Microsoft Entra ID proporciona a los usuarios de la aplicación acceso a la aplicación de extensión de mensaje o bot. Al usuario de la aplicación que ha iniciado sesión en Teams se le puede conceder acceso a la aplicación.

Configuración del inicio de sesión único en el Centro de administración de Microsoft Entra

Las aplicaciones de extensión de bot y mensaje usan Bot Framework para comunicarse con los usuarios de la aplicación e implementar la autenticación.

Para configurar el inicio de sesión único para la aplicación de extensión de mensaje o bot, deberá hacer lo siguiente:

  • Configuración del recurso de bot en Microsoft Entra ID
  • Configuración de la aplicación en Microsoft Entra ID

Nota:

Asegúrese de que ha creado una aplicación y un recurso de bot en Microsoft Entra ID.

Puede configurar el recurso de bot y la aplicación en Microsoft Entra ID para la aplicación de extensión de bot o mensaje de una de las dos maneras siguientes:

  • Configuración del inicio de sesión único mediante el recurso de bot y configuración de la aplicación Microsoft Entra: puede empezar configurando el inicio de sesión único para el recurso de bot y habilitando el inicio de sesión único para la aplicación Microsoft Entra. Configurará:

    • Para el recurso de bot: punto de conexión de mensajería y conexión de OAuth.

      Nota:

      Al crear el recurso del bot en Microsoft Entra ID, puede seleccionar la opción para crear un nuevo identificador de aplicación o puede usar un identificador de aplicación existente si ya ha registrado la aplicación en Microsoft Entra ID.

    • Para la aplicación Microsoft Entra: URI de id. de aplicación, ámbito y permisos, identificadores de cliente de confianza, versión del token de acceso, secreto de cliente y dirección URL de redireccionamiento.

  • Configurar el inicio de sesión único mediante la aplicación Microsoft Entra y, a continuación, configurar el recurso de bot: puede empezar configurando la aplicación Microsoft Entra y, a continuación, usar este identificador de aplicación en el recurso de bot al habilitar el inicio de sesión único para ella. Configurará:

    • Para la aplicación Microsoft Entra: URI de id. de aplicación, token de acceso, identificadores de cliente de confianza, versión del token de acceso, secreto de cliente y dirección URL de redireccionamiento.

    • Para el recurso de bot: punto de conexión de mensajería y conexión de OAuth.

      Nota:

      Configure el recurso de bot mediante el identificador de aplicación generado por Microsoft Entra ID cuando registró la aplicación.

Habilitación del inicio de sesión único en Microsoft Entra ID

Al final de este tutorial, aprenderá a configurar:

  • Id. de aplicación
  • Id. de bot
  • Token de acceso
    • URI de Id. de la aplicación:
    • Ámbito, permisos e identificadores de cliente autorizados
    • Secreto de cliente
    • Dirección URL de redireccionamiento
  • Punto de conexión de mensajería y conexión de OAuth

Seleccione una de las dos maneras siguientes de configurar el inicio de sesión único para el recurso de bot:

Para habilitar el inicio de sesión único para la aplicación en Microsoft Entra ID:

Importante

Asegúrese de que al crear el recurso del bot, seleccione la opción para crear un nuevo identificador de aplicación. También puede usar un identificador de aplicación existente, si ya ha registrado una aplicación en el Centro de administración de Microsoft Entra.

Configuración del punto de conexión de mensajería

El punto de conexión de mensajería es donde se envían mensajes al bot. Permite la comunicación con el bot.

Para configurar el punto de conexión de mensajería para el recurso de bot

  1. Abra el Azure Portal en el explorador web. Se abre la página Bot de Microsoft Azure.

  2. Escriba el nombre del recurso del bot en el cuadro Buscar y seleccione Entrar para abrirlo.

  3. Seleccione Configuración>.

    Captura de pantalla que muestra el menú Configuración del bot.

    Aparece la página Configuración .

  4. Escriba la dirección URL del punto de conexión de mensajería donde el bot recibe los mensajes del usuario de la aplicación.

    Captura de pantalla que muestra la opción de punto de conexión de mensajería para agregar la dirección URL en la que el bot interactúa con el usuario.

  5. Seleccione Aplicar.

    El punto de conexión de mensajería está configurado.

Ha configurado el punto de conexión de mensajería para el recurso del bot. A continuación, debe habilitar el inicio de sesión único para la aplicación Microsoft Entra.

Configuración del inicio de sesión único para la aplicación Microsoft Entra

Debe configurar permisos y ámbitos, autorizar aplicaciones cliente, actualizar el manifiesto de aplicación (anteriormente denominado manifiesto de aplicación de Teams) y crear un secreto de cliente para la aplicación Microsoft Entra. Estas configuraciones ayudan a invocar el inicio de sesión único para la aplicación de bot.

Configuración del ámbito para el token de acceso

Configure las opciones de ámbito (permiso) para enviar el token de acceso al cliente de Teams y autorizar aplicaciones cliente de confianza para habilitar el inicio de sesión único.

Te hace falta:

  • Para configurar el URI del identificador de aplicación: configure las opciones de ámbito (permiso) para la aplicación. Expondrá una API web y configurará el URI del identificador de aplicación.
  • Para configurar el ámbito de la API: defina el ámbito de la API y los usuarios que pueden dar su consentimiento para un ámbito. Solo puede permitir que los administradores den su consentimiento para permisos con privilegios superiores.
  • Para configurar la aplicación cliente autorizado: cree Id. de cliente autorizados para las aplicaciones que desea autorizar previamente. Permite al usuario de la aplicación acceder a los ámbitos de la aplicación (permisos) que ha configurado, sin necesidad de ningún consentimiento adicional. Autorice previamente solo las aplicaciones cliente en las que confíe, ya que los usuarios de la aplicación no tendrán la oportunidad de rechazar el consentimiento.

Para configurar el URI del identificador de aplicación

  1. Abra el Azure Portal en el explorador web.

    Se abre la página Bot de Microsoft Azure.

  2. Escriba el nombre del recurso del bot en el cuadro Buscar y, a continuación, seleccione Entrar para abrirlo.

  3. Seleccione Configuración>.

    Captura de pantalla que muestra el menú Configuración del bot en Configuración.

    Aparece la página Configuración .

  4. Haga clic en Administrar.

    Captura de pantalla que muestra la configuración de recursos del bot.

    Aparece la página de la aplicación Microsoft Entra.

    El nuevo identificador de aplicación (id. de cliente) de la aplicación aparece en esta página. Tenga en cuenta y guarde este identificador de aplicación. Tendrá que actualizarlo en el manifiesto de la aplicación más adelante. Si usó el identificador de una aplicación existente al crear el recurso de bot, el identificador de esa aplicación aparece en esta página.

    Captura de pantalla que muestra la página de la aplicación Bot con el identificador de cliente de aplicación resaltado.

  5. Seleccione Administrar>Exponer una API en el panel izquierdo.

    Aparece la página Exponer una API.

  6. Seleccione Agregar para generar el URI del identificador de aplicación.

    Captura de pantalla que muestra la opción Establecer del URI del identificador de aplicación.

    Aparece la sección para establecer el URI del ID de la aplicación.

  7. Introduzca el URI del ID de la aplicación en el formato que se explica aquí.

    Captura de pantalla que muestra el URI del identificador de aplicación agregado.

    • El URI del identificador de aplicación se rellena previamente con el identificador de aplicación (GUID) en el formato api://{AppID}.

    Importante

    • Información confidencial: el URI del identificador de aplicación se registra como parte del proceso de autenticación y no debe contener información confidencial.

    • Bot independiente: si va a compilar un bot independiente, escriba el URI del identificador de aplicación como api://botid-{YourBotId}. Aquí, {YourBotId} es el identificador de la aplicación Microsoft Entra.

    • URI de identificador de aplicación para la aplicación con varias funcionalidades: si va a compilar una aplicación con un bot, una extensión de mensajería y una pestaña, escriba el URI del identificador de aplicación como api://fully-qualified-domain-name.com/botid-{YourClientId}, donde {YourClientId} es el identificador de la aplicación de bot.

    • Formato para el nombre de dominio: use letras minúsculas para el nombre de dominio. No use mayúsculas.

      Por ejemplo, para crear un servicio de aplicaciones o una aplicación web con el nombre del recurso, "demoapplication":

      Si el nombre del recurso base usado es La dirección URL será... El formato es compatible con...
      demoapplication https://demoapplication.example.net Todas las plataformas
      DemoApplication https://DemoApplication.example.net Solo para escritorio, web e iOS. No es compatible con Android.

      Use la opción en minúsculas demoapplication como nombre de recurso base.

  8. Haga clic en Guardar.

    Aparece un mensaje en el explorador que indica que se actualizó el URI del identificador de aplicación.

    Captura de pantalla que muestra el mensaje actualizado del URI del identificador de aplicación.

    El URI del identificador de aplicación se muestra en la página.

    Captura de pantalla que muestra el URI del identificador de aplicación actualizado.

  9. Tenga en cuenta y guarde el URI del identificador de aplicación. Lo necesitará para actualizar el manifiesto de la aplicación más adelante.

El URI del identificador de aplicación está configurado. Ahora puede definir el ámbito y los permisos para la aplicación.

Para configurar el ámbito de la API

  1. Seleccione + Agregar un ámbito en la sección Ámbitos definidos por esta API.

    Captura de pantalla que muestra la opción Agregar un ámbito resaltada.

    Aparece la página Agregar un ámbito.

  2. Introduzca los detalles para configurar el ámbito.

    Captura de pantalla que muestra cómo agregar detalles de ámbito en Azure.

    1. Introduzca el nombre del ámbito.

    2. Seleccione el usuario que puede dar su consentimiento para este ámbito. La opción predeterminada es Solo administradores.

    3. Introduzca el nombre para mostrar del consentimiento del administrador.

    4. Introduzca la descripción para el consentimiento del administrador.

    5. Introduzca el nombre para mostrar del consentimiento del usuario.

    6. Escriba la descripción del consentimiento del usuario.

    7. Seleccione la opción Habilitado para el estado.

    8. Seleccione Agregar ámbito.

      Nota:

      En este tutorial, puede usar el perfil User.Read User.ReadBasic.All openid como ámbito. Este ámbito es adecuado para usar el ejemplo de código. También puede agregar más ámbitos y permisos de Graph. Para obtener más información, consulte Extensión de la aplicación con permisos y ámbitos de Microsoft Graph.

    Aparece un mensaje en el explorador que indica que se agregó el ámbito.

    Captura de pantalla que muestra el mensaje De ámbito agregado.

    Nota:

    El nuevo ámbito definido se muestra en la página. Asegúrese de anotar y guardar el ámbito que ha configurado. Necesitará que actualice la conexión de OAuth más adelante.

El ámbito y los permisos ahora están configurados. A continuación, debe configurar las aplicaciones cliente autorizadas para la aplicación Microsoft Entra.

Para configurar la aplicación cliente autorizada

  1. Desplácese por la página Exponer una API hasta la sección Aplicación cliente autorizada, y seleccione + Agregar una aplicación cliente.

    Captura de pantalla que muestra la opción Agregar una aplicación cliente resaltada en Aplicaciones cliente autorizadas.

    Aparece la página Agregar una aplicación cliente.

  2. Escriba el identificador de cliente de Microsoft 365 adecuado para las aplicaciones que desea autorizar para la aplicación web de la aplicación.

    Captura de pantalla que muestra el identificador de cliente agregado.

    Nota:

    • Los identificadores de cliente de Microsoft 365 para aplicaciones móviles, de escritorio y web para Teams, la aplicación de Microsoft 365 y Outlook son los identificadores reales que debe agregar.
    • Si la aplicación tiene una aplicación de pestaña, necesitará web o SPA, ya que no puede tener una aplicación cliente de escritorio o móvil en Teams.
  3. Seleccione uno de los siguientes identificadores de cliente:

    Usar Id. de cliente Para autorizar...
    1fec8e78-bli4-4aaf-ab1b-5451cc387264 Aplicación móvil o de escritorio de Teams
    5e3ce6c0-2b1f-4285-8d4b-75ee78787346 Aplicación web de Teams
    4765445b-32c6-49b0-83e6-1d93765276ca Aplicación web de Microsoft 365
    0ec893e0-5785-4de6-99da-4ed124e5296c Aplicación de escritorio de Microsoft 365
    d3590ed6-52b3-4102-aeff-aad2292ab01c Aplicación móvil de Microsoft 365 Para
    aplicaciones de escritorio de Outlook
    bc59ab01-8403-45c6-8796-ac3ef710b3e3 Aplicación web de Outlook
    27922004-5251-4030-b22d-91ecd9a37ea4 Aplicación móvil de Outlook
  4. Seleccione el URI de identificador de aplicación que creó para la aplicación en Ámbitos autorizados para agregar el ámbito a la API web que ha expuesto.

  5. Seleccione Agregar aplicación.

    Aparece un mensaje en el explorador que indica que se agregó la aplicación cliente autorizada.

    Captura de pantalla que muestra el mensaje de id. de cliente agregado.

    El identificador de cliente de la aplicación autorizada se muestra en la página.

    Captura de pantalla que muestra el id. de cliente recién agregado en la pantalla Aplicaciones cliente autorizadas.

    Nota:

    Puede autorizar más de una aplicación cliente. Repita los pasos de este procedimiento para configurar otra aplicación cliente autorizada.

Ha configurado correctamente el ámbito de la aplicación, los permisos y las aplicaciones cliente. Asegúrese de anotar y guardar el URI del identificador de aplicación. A continuación, configure la versión del token de acceso.

Configuración de la versión del token de acceso

Debe definir la versión del token de acceso de la aplicación en el manifiesto de la aplicación Microsoft Entra.

Para definir la versión del token de acceso

  1. Seleccione Administrar>manifiesto en el panel izquierdo.

    Captura de pantalla que muestra el manifiesto del Centro de administración de Microsoft Entra.

    Aparece el manifiesto de la aplicación Microsoft Entra.

  2. Introduzca 2 como valor de la accessTokenAcceptedVersion propiedad.

    Captura de pantalla que muestra el valor de la versión del token de acceso aceptado.

  3. Haga clic en Guardar.

    Aparece un mensaje en el explorador que indica que el manifiesto de la aplicación se actualizó correctamente.

    Captura de pantalla que muestra el mensaje Manifiesto actualizado.

Ha actualizado la versión del token de acceso. A continuación, creará un secreto de cliente para la aplicación.

Creación de un secreto de cliente

Un secreto de cliente es una cadena que la aplicación usa para demostrar su identidad al solicitar un token.

Para crear un secreto de cliente para la aplicación

  1. Seleccione Administrar>certificados & secretos.

    Captura de pantalla que muestra la opción de menú Certificados y secretos.

    Aparece la página Certificados & secretos .

  2. Seleccione + Nuevo secreto de cliente.

    Captura de pantalla que muestra la opción Nuevo secreto de cliente resaltada para agregar un nuevo secreto de cliente.

    Aparece la página Agregar un secreto de cliente .

    Captura de pantalla que muestra la página Agregar un secreto de cliente para proporcionar los detalles necesarios.

    1. Escriba la descripción.
    2. Seleccione la duración de validez del secreto.
  3. Seleccione Agregar.

    Aparece un mensaje en el explorador que indica que el secreto de cliente se actualizó y el secreto de cliente se muestra en la página.

    Captura de pantalla que muestra el mensaje agregado del secreto de cliente.

  4. Seleccione el botón copiar situado junto al valor del secreto de cliente.

  5. Guarde el valor que copió. Lo necesitará más adelante para actualizar el código.

    Importante

    Asegúrese de copiar el valor del secreto de cliente justo después de crearlo. El valor solo está visible en el momento en que se crea el secreto de cliente y no se puede ver después de eso.

Ha configurado el secreto de cliente. A continuación, debe configurar la dirección URL de redireccionamiento.

Configuración de la dirección URL de redireccionamiento

La configuración para la autenticación depende de la plataforma o dispositivo en el que quiera dirigirse a la aplicación. Es posible que tenga que configurar uri de redireccionamiento, opciones de autenticación o detalles específicos de la plataforma.

Nota:

  • Si a la aplicación de bot no se le ha concedido el consentimiento del administrador de TI, los usuarios de la aplicación tendrán que proporcionar su consentimiento la primera vez que usen la aplicación en otra plataforma.
  • La concesión implícita no es necesaria si el inicio de sesión único está habilitado en una aplicación de bot.

Puede configurar la autenticación para varias plataformas siempre que la dirección URL sea única.

Para configurar la dirección URL de redireccionamiento

  1. Abra la aplicación que registró en el Azure Portal.

  2. Seleccione Administrarautenticación>en el panel izquierdo.

    Captura de pantalla que muestra la opción Autenticación en Administrar.

    Aparece la página Configuraciones de la plataforma.

  3. Seleccione + Agregar una plataforma.

    Captura de pantalla que muestra la opción Agregar una plataforma en Autenticación.

    Aparece la página Configurar plataformas.

  4. Seleccione la plataforma que desea configurar para la aplicación. Puede seleccionar el tipo de plataforma en Web o SPA.

    Captura de pantalla que muestra la selección de la plataforma web.

    Aparece la página Configurar web .

    Nota:

    Las configuraciones serán diferentes en función de la plataforma que seleccione.

  5. Introduzca los detalles de configuración de la plataforma.

    Captura de pantalla que muestra la página Configurar web para proporcionar entradas.

    1. Introduzca el URI de redireccionamiento. El URI debe ser único.

      Nota:

      La dirección URL mencionada en URI de redireccionamiento es un ejemplo.

    2. Introduzca la URL de cierre de sesión del canal frontal.

    3. Seleccione los tokens que quiere que microsoft Entra ID envíe para la aplicación.

  6. Seleccione Configurar.

    La plataforma se configura y se muestra en la página Configuraciones de la plataforma.

La configuración de la aplicación Microsoft Entra está completa y ahora debe habilitar la compatibilidad con SSO para el recurso del bot mediante la configuración de la conexión de OAuth.

Configuración de la conexión de OAuth

Para que un bot admita SSO, debe actualizar su configuración de conexión de OAuth. Este proceso asocia el bot con los detalles de la aplicación que configuró para la aplicación Microsoft Entra:

  • Identificador de aplicación de Microsoft Entra, que es el identificador de cliente
  • Identificación del inquilino
  • Ámbito y permisos

Con el identificador de aplicación (cliente) y el secreto de cliente proporcionados, Bot Framework Token Store intercambia el token por un token de grafo con permisos definidos.

Para actualizar la conexión de OAuth

  1. Abra el Azure Portal en el explorador web. Se abre la página Bot de Microsoft Azure.

  2. Escriba el nombre de la aplicación Microsoft Entra en el cuadro Buscar y abra la aplicación.

  3. Seleccione Configuración>.

    Captura de pantalla que muestra la configuración de OAUth para la aplicación de bot.

    Aparece la página Configuración .

  4. Vaya a la página Configuración y seleccione Agregar configuración de conexión de OAuth.

    Captura de pantalla que muestra la opción Agregar configuración de conexión de OAuth resaltada.

    Aparece la página Nueva configuración de conexión .

  5. Escriba los valores de configuración de OAuth para el bot de Azure.

    Captura de pantalla que muestra la nueva configuración de conexión para proporcionar los detalles.

    1. Escriba un nombre para la configuración.

    2. Seleccione el proveedor de servicios.

      Aparecen los detalles de configuración restantes.

      Captura de pantalla que muestra los campos adicionales de Nueva configuración de conexión.

    3. Escriba el identificador de aplicación (cliente) de la aplicación Microsoft Entra.

    4. Escriba el secreto de cliente que ha creado para el bot.

    5. Escriba el URI del identificador de aplicación del bot en la dirección URL de Token Exchange.

    6. Escriba el identificador de inquilino.

    7. Escriba el ámbito que definió al configurar el ámbito y los permisos.

  6. Seleccione Guardar.

  7. Seleccione Aplicar.

    Después de configurar la conexión de OAuth, puede seleccionar Probar conexión para comprobar si la conexión de OAuth se ha realizado correctamente.

    Captura de pantalla que muestra la opción Probar la conexión de OAuth para el recurso del bot.

    Si la conexión no se realiza correctamente, Microsoft Entra ID muestra un error. Puede comprobar todas las configuraciones y volver a probarlas.

Enhorabuena. Ha completado las siguientes configuraciones de aplicación en Microsoft Entra ID necesarias para habilitar el inicio de sesión único para la aplicación bot:

  • Id. de aplicación
  • Id. de bot
  • Token de acceso
    • URI de Id. de la aplicación:
    • Ámbito, permisos e identificadores de cliente autorizados
    • Secreto de cliente
    • Dirección URL de redireccionamiento
  • Punto de conexión de mensajería y conexión de OAuth

Procedimientos recomendados

  • Mantenga el registro de la aplicación Microsoft Entra restringido a su propósito original de servicio a aplicación de servicio.
  • Para un mejor control sobre la deshabilitación de conexiones de autenticación, la puesta en marcha de secretos o la reutilización de la aplicación Microsoft Entra con otras aplicaciones, cree una aplicación de Microsoft Entra adicional para que cualquier usuario realice la autenticación de servicio.

Si usa la aplicación de registro de Microsoft Entra para la autenticación, es posible que encuentre los siguientes problemas:

  • Si renueva el certificado adjunto al registro de la aplicación Microsoft Entra, afecta a los usuarios que se han autenticado con otros servicios de Microsoft Entra mediante el certificado.
  • Crea un único punto de error y control para todas las actividades relacionadas con la autenticación con el bot.

Paso siguiente