Megosztás a következőn keresztül:

Bot Framework – Biztonsági és adatvédelmi gyakori kérdések

  • GYIK

Ez a cikk választ ad a gyakori biztonsági és adatvédelmi kérdésekre.

A KÖVETKEZŐKRE VONATKOZIK: SDK v4

Gyűjtenek személyes adatokat a Bot Frameworkben regisztrált robotok? Ha igen, hogyan győződhetek meg arról, hogy az adatok biztonságosak és biztonságosak? Mi a helyzet az adatvédelemmel?

Minden robot saját szolgáltatással rendelkezik, és ezen szolgáltatások fejlesztői a Fejlesztői viselkedési szabályzat alapján kötelesek a Szolgáltatási feltételek és az adatvédelmi nyilatkozatok biztosítására. További információkért tekintse meg a robotok áttekintésére vonatkozó irányelveket.

Üzemeltethetem a robotjaimat saját kiszolgálóimon?

Igen. A robot bárhol üzemeltethető az interneten. Saját kiszolgálókon, az Azure-ban vagy bármely más adatközpontban. Az egyetlen követelmény, hogy a robotnak közzé kell tennie egy nyilvánosan elérhető HTTPS-végpontot.

Hogyan tilthatja ki vagy távolíthatja el a robotokat a szolgáltatásból?

A felhasználók a címtárban található névjegykártyán keresztül jelenthetnek helytelenül viselkedő robotot. A fejlesztőknek be kell tartaniuk a Microsoft szolgáltatási feltételeit a szolgáltatásban való részvételhez.

Milyen konkrét URL-címeket kell engedélyeznem a vállalati tűzfalamon a Bot Framework-szolgáltatások eléréséhez?

Ha olyan kimenő tűzfallal rendelkezik, amely blokkolja a robotról az internetre irányuló forgalmat, engedélyeznie kell a következő URL-címeket a tűzfalon:

  • login.botframework.com (Robothitelesítés)
  • login.microsoftonline.com (Robothitelesítés)
  • westus.api.cognitive.microsoft.com (Luis.ai NLP-integrációhoz)
  • *.botframework.com (csatornák)
  • state.botframework.com (visszamenőleges kompatibilitás)
  • login.windows.net (Windows-bejelentkezés)
  • login.windows.com (Windows-bejelentkezés)
  • sts.windows.net (Windows-bejelentkezés)
  • Egyéb URL-címek adott Bot Framework-csatornákhoz

Megjegyzés:

A Language Understanding (LUIS) 2025. október 1-jén megszűnik. 2023. április 1-től nem hozhat létre új LUIS-erőforrásokat. Az Azure AI Language részeként már elérhető a nyelvértés újabb verziója.

Az Azure AI Language egyik funkciója, a beszélgetési nyelv megértése (CLU) a LUIS frissített verziója. További információ a Bot Framework SDK nyelvfelismerési támogatásáról: Természetes nyelvfelismerés.

Megjegyzés:

<channel>.botframework.com Használhatja, ha nem szeretné engedélyezni egy csillaggal rendelkező URL-címet. <channel> egyenlő minden csatornával, amelyet a robot használ, például directline.botframework.com, webchat.botframework.comés slack.botframework.com. Érdemes figyelni a tűzfalon keresztüli forgalmat is, miközben teszteli a robotot, hogy lássa, milyen forgalmat blokkol.

Letilthatom a robot összes forgalmát, kivéve a Bot Framework Szolgáltatásból érkező forgalmat?

A Bot Framework Services az Azure-adatközpontokban üzemel világszerte, és az Azure IP-címek listája folyamatosan változik. Ez azt jelenti, hogy bizonyos IP-címek engedélyezési listázása egy nap működni fog, és az Azure IP-címek változásakor megtörheti a következőt.

Milyen RBAC-szerepkörre van szükség robot létrehozásához és üzembe helyezéséhez?

Az Azure Portalon robot létrehozásához Közreműködői hozzáférésre van szükség az előfizetésben vagy adott erőforráscsoportban. Az erőforráscsoportban közreműködői szerepkörrel rendelkező felhasználók létrehozhatnak egy új robotot az adott erőforráscsoportban. Az előfizetés közreműködői szerepkörében lévő felhasználók létrehozhatnak egy robotot egy új vagy meglévő erőforráscsoportban.

Az Azure CLI használatával a szerepköralapú hozzáférés-vezérlési megközelítés támogathatja az egyéni szerepköröket. Ha korlátozottabb engedélyekkel szeretne egyéni szerepkört létrehozni, az alábbi készlettel a felhasználó létrehozhat és üzembe helyezhet egy olyan robotot, amely támogatja a LUIS, a QnA Maker és az Alkalmazás Elemzések is.

"Microsoft.Web/*",
"Microsoft.BotService/*",
"Microsoft.Storage/*",
"Microsoft.Resources/deployments/*",
"Microsoft.CognitiveServices/*",
"Microsoft.Search/searchServices/*",
"Microsoft.Insights/*",
"Microsoft.Insights/components/*"

Megjegyzés:

Az Azure AI QnA Maker 2025. március 31-én megszűnik. 2022. október 1-től nem hozhat létre új QnA Maker-erőforrásokat vagy tudásbázis.

A Language Understanding (LUIS) 2025. október 1-jén megszűnik. 2023. április 1-től nem hozhat létre új LUIS-erőforrásokat.

A jelen szolgáltatások újabb verziói már elérhetők az Azure AI Language részeként. A Bot Framework SDK kérdés-válasz és nyelvfelismerés támogatásával kapcsolatos további információkért lásd : Természetes nyelvfelismerés.

Megjegyzés:

A LUIS-hoz és a QnA Makerhez Azure AI-szolgáltatásokra van szükség. A QnA Maker keresési engedélyeket is igényel. Egyéni szerepkör létrehozásakor ne feledje, hogy az örökölt megtagadási engedélyek felülírják ezeket az engedélyezési engedélyeket.

Mi védi a robotomat a Bot Framework Szolgáltatást megszemélyesítő ügyfelektől?

  1. Minden hiteles Bot Framework-kéréshez egy JWT-jogkivonat tartozik, amelynek titkosítási aláírása a hitelesítési útmutatót követve ellenőrizhető. A jogkivonat úgy lett kialakítva, hogy a támadók ne tudják megszemélyesíteni a megbízható szolgáltatásokat.
  2. A robotnak küldött minden kérést kísérő biztonsági jogkivonaton belül van a ServiceUrl kódolva, ami azt jelenti, hogy még ha egy támadó is hozzáfér a jogkivonathoz, nem tudja átirányítani a beszélgetést egy új ServiceUrl-be. Ezt az SDK összes implementációja érvényesíti, és a hitelesítési referenciaanyagainkban dokumentáljuk.
  3. Ha a bejövő jogkivonat hiányzik vagy helytelenül van formázva, a Bot Framework SDK nem hoz létre jogkivonatot válaszként. Ez korlátozza, hogy mennyi kárt lehet tenni, ha a robot helytelenül van konfigurálva.
  4. A roboton belül manuálisan ellenőrizheti a jogkivonatban megadott ServiceUrl-t. Ez sebezhetőbbé teszi a robotot, ha a szolgáltatástopológia megváltozik, így bár ez lehetséges, nem ajánlott.

Megjegyzés:

Ezek a robotból az internetre irányuló kimenő kapcsolatok. Nincs olyan IP-cím vagy DNS-név, amelyet a Bot Framework Csatlakozás or szolgáltatás használ a robottal való beszélgetéshez. A bejövő IP-címek engedélyezési listázása nem támogatott.

Mi a bűvös kód célja a hitelesítés során?

A webchat vezérlőben két mechanizmus biztosítja, hogy a megfelelő felhasználó be legyen jelentkezve.

  1. Mágikus kód. A bejelentkezési folyamat végén a felhasználó egy véletlenszerűen létrehozott 6 jegyű kóddal (magic code) jelenik meg. A felhasználónak be kell írnia ezt a kódot a beszélgetésbe a bejelentkezési folyamat befejezéséhez. Ez általában rossz felhasználói élményt eredményez. Emellett továbbra is érzékeny az adathalászati támadásokra. A rosszindulatú felhasználók becsaphatnak egy másik felhasználót, hogy jelentkezzen be, és adathalászattal szerezze be a mágikus kódot.

    Figyelmeztetés:

    A varázskód használata elavult. Ehelyett a direct line továbbfejlesztett hitelesítést kell használnia, az alábbiakban leírtak szerint.

  2. Közvetlen vonalas továbbfejlesztett hitelesítés. A magic code megközelítéssel kapcsolatos problémák miatt az Azure AI Bot Service megszüntette az igényét. Az Azure AI Bot Service garantálja, hogy a bejelentkezési folyamat csak ugyanabban a böngésző-munkamenetben hajtható végre, mint maga a webchat. A védelem engedélyezéséhez webchat egy direct line jogkivonattal kell kezdenie, amely tartalmazza a megbízható források listáját, más néven megbízható tartományokat, amelyek a robot webchat-ügyfelet üzemeltethetik. A továbbfejlesztett hitelesítési beállításokkal statikusan megadhatja a megbízható források listáját a Direct Line konfigurációs oldalán. További információ: Direct Line továbbfejlesztett hitelesítés.

Hogyan kezeli a Bot Framework az identitás- és hozzáférés-kezelést?

Az identitás- és hozzáférés-kezelés (IAM) egy keretrendszer (szabályzatok és technológiák), amely lehetővé teszi a megfelelő személyek számára, hogy megfelelő hozzáféréssel rendelkezzenek a technológiai erőforrásokhoz. További információ: Identitáskezelés.

A Bot Framework a következő azonosítási mechanizmusokat biztosítja:

  • Robothitelesítés. Megállapítja, hogy egy kérés jogos forrásból származik-e. Ezt a robotösszekötő szolgáltatás vezérli, és biztonságos kommunikációt tesz lehetővé egy robot és egy csatorna között. További információ: Robothitelesítés.

  • Felhasználói hitelesítés. Lehetővé teszi a robot számára, hogy biztonságos online erőforrásokhoz férhessen hozzá a felhasználó nevében. Az iparági szabvány OAuth használatával hitelesíti a felhasználót, és engedélyezi a robot számára az erőforrások elérését. További információ: Felhasználói hitelesítés.

Összefoglalva, a Bot Framework kezeli a szolgáltatásközi hitelesítést (robothitelesítést), amely lényegében ellenőrzi, hogy a kérés valóban egy megfelelő csatornáról érkezett-e. A robot felelős az alacsonyabb szintű hitelesítésért. Alkalmazhat szűrőt, hogy a robot csak egy adott bérlőazonosítótól érkező kéréseket fogadjon el, vagy megkövetelheti a felhasználóktól, hogy valamilyen OAuth szolgáltatással (felhasználói hitelesítéssel) hitelesítsék magukat.

Hogyan csak a bérlőhöz tartozó felhasználókra korlátozza a robot használatát?

A robot által feldolgozott bejövő üzenetek korlátozására két különböző lehetőség közül választhat.

  • Ha biztonságos adatokkal foglalkozik, mindenképpen ajánlott az OAuth használatával hitelesíteni a felhasználókat.

  • A köztes szoftver használata egy másik jó lehetőség. A Teams-csatornában létrehozhat például köztes szoftvereket, hogy lekérje a bérlőazonosítót a Teams-csatorna adataiból. A köztes szoftver ezután eldöntheti, hogy hagyja-e tovább a bejövő tevékenységet a robotlogikában, vagy inkább hibaüzenetet ad vissza.

    Figyelmeztetés:

    Nem akadályozhatja meg, hogy a Teams üzeneteket küldjön Önnek különböző bérlőktől, és nem akadályozhatja meg, hogy valaki telepítse a robotot, ha rendelkezik az alkalmazásjegyzékével. Mindössze annyit tehet, hogy megakadályozza, hogy a robot feldolgozhassa a nem kívánt üzeneteket.