Identitásszolgáltatók

A KÖVETKEZŐKRE VONATKOZIK: SDK v4

Az identitásszolgáltató hitelesíti a felhasználói vagy ügyfélidentitásokat, és problémákat tapasztal a fogyasztható biztonsági jogkivonatokkal. Szolgáltatásként felhasználói hitelesítést biztosít.

Az ügyfélalkalmazások, például a webalkalmazások, delegálják a hitelesítést egy megbízható identitásszolgáltatónak. Az ilyen ügyfélalkalmazások állítólag összevontak, vagyis összevont identitást használnak. További információ: Összevont identitásminta.

Megbízható identitásszolgáltató használata:

• Lehetővé teszi az egyszeri bejelentkezés (SSO) funkcióit, így az alkalmazások több biztonságos erőforráshoz is hozzáférhetnek.
• Megkönnyíti a felhőbeli számítási erőforrások és a felhasználók közötti kapcsolatokat, csökkentve a felhasználók újbóli hitelesítésének szükségességét.

Egyszeri bejelentkezés

Az egyszeri bejelentkezés egy olyan hitelesítési folyamatra utal, amely lehetővé teszi, hogy a felhasználók egyszeri bejelentkezéssel jelentkezzenek be a rendszerbe egyetlen hitelesítő adatokkal, hogy több alkalmazáshoz vagy szolgáltatáshoz férhessenek hozzá.

A felhasználók egyetlen azonosítóval és jelszóval jelentkeznek be, hogy hozzáférjenek a számos kapcsolódó szoftverrendszerhez. További információ: Egyszeri bejelentkezés.

Számos identitásszolgáltató támogatja a bejelentkezési műveletet, amely visszavonja a felhasználói jogkivonatot, és megszünteti a hozzáférést a társított alkalmazásokhoz és szolgáltatásokhoz.

Fontos

Az egyszeri bejelentkezés növeli a használhatóságot azáltal, hogy csökkenti a felhasználó hitelesítő adatainak megadásának számát. Emellett a potenciális támadási felület csökkentésével is nagyobb biztonságot nyújt.

Microsoft Entra id identitásszolgáltató

A Microsoft Entra ID a Microsoft Azure identitásszolgáltatása, amely identitáskezelési és hozzáférés-vezérlési képességeket biztosít. Lehetővé teszi a felhasználók biztonságos bejelentkezését az olyan szabványos iparági protokollok használatával, mint az OAuth2.0.

Két Active Directory-identitásszolgáltatói implementáció közül választhat, amelyek különböző beállításokkal rendelkeznek az alábbiak szerint.

Megjegyzés:

Ezeket a beállításokat az OAuth Csatlakozás ion Gépház azure-beli robotregisztrációs alkalmazásban való konfigurálásakor használhatja. További információ: Hitelesítés hozzáadása robothoz.

Microsoft Entra-azonosító

A Microsoft Identitásplatform (2.0-s verzió) – más néven a Microsoft Entra ID végpont – lehetővé teszi, hogy a robot jogkivonatokat szerezzen be a Microsoft API-k, például a Microsoft Graph vagy más API-k meghívásához. Az identitásplatform az Azure AD-platform (1.0-s verzió) fejlődése. További információ: Microsoft Identitásplatform (2.0-s verzió) áttekintése.

Az alábbi AD v2-beállítások használatával engedélyezheti, hogy egy robot hozzáférjen az Office 365-adatokhoz a Microsoft Graph API-n keresztül.

Property	Leírás vagy érték
Név	Az identitásszolgáltatói kapcsolat neve.
Szolgáltató	A használni kívánt identitásszolgáltató. Válassza a Microsoft Entra-azonosítót.
Ügyfélazonosító	Az Azure-identitásszolgáltató alkalmazás (ügyfél) azonosítója.
Titkos ügyfélkód	Az Azure Identity Provider-alkalmazás titkos kódja.
Bérlőazonosító	A címtár (bérlő) azonosítója vagy common. További információ: a bérlőazonosítók megjegyzése.
Hatókörök	A Microsoft Entra ID identitásszolgáltató alkalmazáshoz megadott API-engedélyek szóközzel tagolt listája, például openid: , profile, Mail.Read, Mail.SendUser.Readés User.ReadBasic.All.
Token Exchange URL-címe	SSO-kompatibilis képességrobot esetén használja az OAuth-kapcsolathoz társított tokencsere URL-címét, ellenkező esetben hagyja üresen. Az SSO-jogkivonat csere URL-címével kapcsolatos információkért lásd : OAuth-kapcsolat beállításainak létrehozása.

Azure AD v1

Azure AD v1

Az alábbi beállítások segítségével konfigurálhatja a Microsoft Entra ID fejlesztői platformot (v1.0), más néven Azure AD v1-végpontot . Ez lehetővé teszi olyan alkalmazások készítését, amelyek biztonságosan bejelentkeznek a felhasználókba Egy Microsoft munkahelyi vagy iskolai fiókkal. További információ: Microsoft Entra ID for developers (v1.0) – áttekintés.

Property	Leírás vagy érték
Név	Az identitásszolgáltatói kapcsolat neve.
Szolgáltató	A használni kívánt identitásszolgáltató. Válassza a Microsoft Entra-azonosítót.
Ügyfélazonosító	Az Azure-identitásszolgáltató alkalmazás (ügyfél) azonosítója.
Titkos ügyfélkód	Az Azure Identity Provider-alkalmazás titkos kódja.
Támogatás típusa	authorization_code
Bejelentkezési URL-cím	https://login.microsoftonline.com
Bérlőazonosító	A címtár (bérlő) azonosítója vagy common. További információkért tekintse meg az alábbi megjegyzést a bérlőazonosítókról.
Erőforrás URL-címe	https://graph.microsoft.com/
Hatókörök	Hagyja üresen.
Token Exchange URL-címe	Hagyja üresen.

Megjegyzés:

Ha az alábbiak egyikét választotta, adja meg a Microsoft Entra ID identitásszolgáltató alkalmazáshoz rögzített bérlőazonosítót :

• Csak ebben a szervezeti címtárban lévő fiókok (csak Microsoft – Egyetlen bérlő)
• Bármely szervezeti címtárban lévő fiókok (Microsoft AAD-címtár – Több-bérlős)

Ha valamelyik szervezeti címtárban a Fiókok (Bármely Microsoft Entra ID címtár – Több-bérlős és személyes Microsoft-fiókok, például Skype, Xbox, Outlook.com) lehetőséget választotta, írja be a következőtcommon: .

Ellenkező esetben a Microsoft Entra id identitásszolgáltató alkalmazás a bérlő használatával ellenőrzi a kiválasztott azonosítót, és kizárja a személyes Microsoft-fiókokat.

For more information, see:

• Miért érdemes frissíteni a Microsoft Identitásplatform (2.0-s verzió) verzióra?
• Microsoft Identitásplatform (Microsoft Entra-azonosító fejlesztőknek).

Egyéb identitásszolgáltatók

Azure-támogatás több identitásszolgáltatót is. A következő Azure-konzolparancsok futtatásával teljes listát kaphat a kapcsolódó részletekkel együtt:

az login
az bot authsetting list-providers

Ezen szolgáltatók listáját az Azure Portalon is megtekintheti, amikor megadja a robotregisztrációs alkalmazás OAuth-kapcsolati beállításait.

OAuth általános szolgáltatók

Azure-támogatás általános OAuth2-t használ, amely lehetővé teszi a saját identitásszolgáltató használatát.

Két általános identitásszolgáltatói implementáció közül választhat, amelyek különböző beállításokkal rendelkeznek az alábbiak szerint.

Megjegyzés:

Az OAuth Csatlakozás ion Gépház azure-beli robotregisztrációs alkalmazásban való konfigurálásakor használja az itt leírt beállításokat.

Általános OAuth 2

Ezzel a szolgáltatóval konfigurálhat minden olyan általános OAuth2-identitásszolgáltatót, amely hasonló elvárásokkal rendelkezik, mint a Microsoft Entra ID-szolgáltató, különösen az AD v2. Ebben a kapcsolattípusban a lekérdezési sztringek és a kérelem törzsének hasznos adatai javítva vannak.

Property	Leírás vagy érték
Név	Az identitásszolgáltatói kapcsolat neve.
Szolgáltató	A használni kívánt identitásszolgáltató. Válassza az Általános Oauth 2 lehetőséget.
Ügyfélazonosító	Az identitásszolgáltatótól beszerzett ügyfél-azonosító.
Titkos ügyfélkód	Az identitásszolgáltató regisztrációjából beszerzett titkos ügyfélkód.
Engedélyezési URL-cím	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Jogkivonat URL-címe	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-cím frissítése	https://login.microsoftonline.com/common/oauth2/v2.0/token
Token Exchange URL-címe	Hagyja üresen.
Hatókörök	Az identitásszolgáltató alkalmazásnak megadott API-engedélyek vesszővel tagolt listája.

OAuth 2 Általános szolgáltató

Ez a szolgáltató több konfigurációs paramétert igényel, ezért ezzel a verzióval konfigurálhat minden általános OAuth 2-szolgáltatót, ha nagyobb rugalmasságra van szüksége. Ezzel a konfigurációval megadhatja az URL-sablonokat, a lekérdezési sztringsablonokat és a törzssablonokat az engedélyezéshez, frissítéshez és jogkivonat-átalakításhoz.

Property	Leírás vagy érték
Név	Az identitásszolgáltatói kapcsolat neve.
Szolgáltató	A használni kívánt identitásszolgáltató. Válassza az Oauth 2 Általános szolgáltató lehetőséget.
Ügyfélazonosító	Az identitásszolgáltatótól beszerzett ügyfél-azonosító.
Titkos ügyfélkód	Az identitásszolgáltató regisztrációjából beszerzett titkos ügyfélkód.
Hatókörlista-elválasztó	A hatókörlista elválasztó karaktere. Az üres szóközök () nem támogatottak ebben a mezőben, de a Hatókörök mezőben használhatók, ha az identitásszolgáltató megköveteli. Ebben az esetben használjon vesszőt (,) ehhez a mezőhöz, és szóközöket () a Hatókörök mezőben.
Engedélyezési URL-sablon	Az identitásszolgáltató által definiált engedélyezési URL-sablon. For example, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Engedélyezési URL-lekérdezési sztringsablon	Az identitásszolgáltató által biztosított engedélyezési lekérdezéssablon. A lekérdezési sztringsablon kulcsai az identitásszolgáltatótól függően változnak. For example, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Jogkivonat URL-sablonja	https://login.microsoftonline.com/common/oauth2/v2.0/token
Jogkivonat URL-lekérdezési sztringsablonja	A jogkivonat URL-címének lekérdezési sztringelválasztója. Általában kérdőjel (?).
Jogkivonat törzssablonja	A jogkivonat törzsének sablonja. For example, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
URL-sablon frissítése	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-lekérdezési sztringsablon frissítése	A jogkivonat URL-címének frissítési URL-lekérdezési sztringelválasztója. Általában kérdőjel (?).
Törzssablon frissítése	A frissítési törzs sablonja. For example, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Token Exchange URL-címe	Hagyja üresen.
Hatókörök	Azon hatókörök listája, amelyeket a hitelesített felhasználóknak be kell jelentkeztetniük. Győződjön meg arról, hogy csak a szükséges hatóköröket állítja be, és kövesse a Minimális jogosultságú hozzáférés-vezérlés elvét. For example, User.Read. Ha egyéni hatókört használ, használja a teljes URI-t, beleértve a közzétett alkalmazásazonosító URI-t is.

Következő lépések

Identitásszolgáltatók proxyja