Integración de un complemento de API con una API protegida con OAuth

  • 2 minutos

Otro patrón común de protección de LAS API es mediante OAuth. OAuth es un protocolo estándar del sector para la autorización. OAuth protege el acceso a los recursos mediante tokens de acceso. Para obtener un token de acceso, registre una aplicación con el proveedor de identidades y especifique su tipo, como cliente público o confidencial. En función del tipo de aplicación, es posible que tenga que configurar opciones adicionales, como un secreto o un certificado.

Cuando los usuarios abren la aplicación, inicia el proceso de obtención de un token de acceso. Los pasos exactos que sigue la aplicación dependen del tipo de aplicación y del flujo que use. Cuando los usuarios completan el flujo de autorización, obtienen un token de acceso que pueden usar para llamar a la API.

Al integrar complementos de API con API protegida con OAuth, necesita el identificador de cliente y el secreto de cliente de la aplicación que protege la API. También necesita los puntos de conexión de autorización, token y actualización opcional del proveedor de identidades. Microsoft 365 Copilot usa esta información para autenticarse con la API en nombre del usuario actual y obtener un token de acceso. Dado que la información es confidencial, la almacena de forma segura en la ubicación de almacenamiento seguro de Microsoft 365, también conocida como almacén. A continuación, en la aplicación, hace referencia al identificador de la entrada del almacén. En tiempo de ejecución, el agente declarativo carga el complemento (2) y recupera la información de la entrada designada (3a). El agente declarativo sigue el tipo de concesión de código de autorización, también conocido como flujo de código de autenticación, para obtener un token de acceso (3b) que usa para llamar a la API (3c). En el esquema siguiente, se muestra este proceso.

Diagrama de cómo un agente declarativo ejecuta un complemento de API conectado a una API protegida con OAuth.

Al configurar la información de OAuth para el complemento, puede habilitar opcionalmente la clave de prueba para intercambio de código (PKCE). Aunque proteja el complemento de API con un cliente confidencial, Microsoft recomienda usar PKCE porque agrega una capa adicional de seguridad a la aplicación con una sobrecarga mínima.

Almacenar la información de OAuth en el almacén le permite mantenerla segura y no exponerla al cliente. Dado que el complemento solo hace referencia a la entrada, también puede actualizar el secreto de cliente sin tener que volver a implementar el complemento.

Durante el desarrollo, puede registrar la información de OAuth de desarrollo en el almacén manualmente, ya sea en el Portal para desarrolladores de Teams y en la sección Herramientas que abre el registro de cliente de OAuth o mediante microsoft 365 Agents Toolkit. En producción, normalmente un administrador registra la información de OAuth y le proporciona el identificador de la entrada del almacén que se va a usar en el complemento de API.

Captura de pantalla de la página de registro de cliente de OAuth en el Portal para desarrolladores de Teams.