Olvasás angol nyelven

Megosztás a következőn keresztül:


Egy-bérlős és több-bérlős hitelesítés Microsoft 365-felhasználók számára

Ez a cikk bemutatja az egybérlős és több-bérlős Microsoft Entra ID (Microsoft Entra ID) alkalmazások hitelesítési folyamatát. Hitelesítést akkor használhat, ha hívási élményt hoz létre a Microsoft 365-felhasználók számára az Azure Communication Services által elérhetővé tesz hívó szoftverfejlesztői készlettel (SDK). A cikkben szereplő használati esetek az egyes hitelesítési összetevőket is lebontják.

1. eset: Példa egy egybérlős alkalmazásra

A Fabrikam vállalat egy belső használatra készült alkalmazást hozott létre. Az alkalmazás minden felhasználója rendelkezik Microsoft Entra-azonosítóval. Az Azure Communication Serviceshez való hozzáférést az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) szabályozza.

Egy diagram, amely a Fabrikam Microsoft 365-felhasználók számára készült hívásalkalmazásának hitelesítési folyamatát és az Azure Communication Services-erőforrást ismerteti.

Az alábbi szekvenciadiagram az egybérlős hitelesítést ismerteti.

A Fabrikam Microsoft 365-felhasználóinak hitelesítését részletező sorozatdiagram. Az ügyfélalkalmazás egy Azure Communication Services hozzáférési jogkivonatot kap egyetlen bérlői Microsoft Entra-alkalmazáshoz.

Mielőtt elkezdenénk:

  • Alice-nek vagy a Microsoft Entra rendszergazdájának az első bejelentkezési kísérlet előtt meg kell adnia az egyéni Teams-alkalmazás hozzájárulását. További információ a hozzájárulásról.
  • Az Azure Communication Services erőforrás-rendszergazdájának engedélyt kell adnia Alice-nek a szerepköre végrehajtásához. További információ az Azure RBAC-szerepkör-hozzárendelésről.

Lépések:

  1. Alice hitelesítése Microsoft Entra-azonosítóval: Alice hitelesítése szabványos OAuth-folyamattal történik a Microsoft Authentication Library (MSAL) használatával. Ha a hitelesítés sikeres, az ügyfélalkalmazás egy Microsoft Entra hozzáférési jogkivonatot kap, amelynek értéke A1 és egy Microsoft Entra-felhasználó objektumazonosítója a következő értékkel rendelkezik A2: . A jogkivonatokat a cikk későbbi részében ismertetjük. Ebben a rövid útmutatóban megismerheti a fejlesztői szempontból történő hitelesítést.
  2. Hozzáférési jogkivonat beszerzése Alice-hez: A Fabrikam-alkalmazás egy egyéni hitelesítési összetevő értékével B engedélyezési logikát hajt végre annak eldöntéséhez, hogy Alice rendelkezik-e engedéllyel a Microsoft Entra hozzáférési jogkivonat cseréjére egy Azure Communication Services hozzáférési jogkivonathoz. A sikeres engedélyezés után a Fabrikam alkalmazás vezérlősík-logikát hajt végre az összetevők A1A2A3és a . Az Azure Communication Services hozzáférési jogkivonata D Alice számára jön létre a Fabrikam alkalmazásban. Ez a hozzáférési jogkivonat adatsík-műveletekhez használható az Azure Communication Servicesben, például a Hívás szolgáltatásban. A A2 rendszer A3 az összetevővel együtt átadja az összetevőket A1 az ellenőrzéshez. Az ellenőrzés biztosítja, hogy a Microsoft Entra Tokent a várt felhasználónak adták ki. Az alkalmazás megakadályozza, hogy a támadók más alkalmazások vagy más felhasználók számára kiadott Microsoft Entra hozzáférési jogkivonatokat használjanak. Az összetevők lekéréséről A további információt a Microsoft Entra felhasználói jogkivonatának és objektumazonosítójának fogadása az MSAL-kódtáron keresztül és az alkalmazásazonosító lekérése című témakörben talál.
  3. Bob hívása: Alice a Fabrikam alkalmazásával meghívja a Microsoft 365 felhasználóját, Bobot. A hívás az Azure Communication Services hozzáférési jogkivonatával a hívó SDK-on keresztül történik. További információ a Microsoft 365-felhasználók alkalmazásának fejlesztéséről.

Leletek:

  • Tárgy A1
    • Típus: Microsoft Entra hozzáférési jogkivonat
    • Célközönség: Azure Communication Services, vezérlősík
    • Forrás: Fabrikam Microsoft Entra-bérlője
    • Engedélyek: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Tárgy A2
    • Típus: Microsoft Entra-felhasználó objektumazonosítója
    • Forrás: Fabrikam Microsoft Entra-bérlője
    • Hatóság: https://login.microsoftonline.com/<tenant>/
  • Tárgy A3
    • Típus: Microsoft Entra alkalmazásazonosító
    • Forrás: Fabrikam Microsoft Entra-bérlője
  • Tárgy B
    • Típus: Egyéni Fabrikam engedélyezési összetevő (amelyet a Microsoft Entra ID vagy egy másik engedélyezési szolgáltatás állít ki)
  • Tárgy C
  • Tárgy D
    • Típus: Azure Communication Services hozzáférési jogkivonat
    • Célközönség: Azure Communication Services, adatsík
    • Az Azure Communication Services erőforrás-azonosítója: Fabrikam's Azure Communication Services Resource ID

2. eset: Példa több-bérlős alkalmazásra

A Contoso vállalat egy alkalmazást hozott létre külső ügyfelek számára. Ez az alkalmazás egyéni hitelesítést használ a Contoso saját infrastruktúráján belül. A Contoso egy kapcsolati sztring használ jogkivonatok lekéréséhez a Fabrikam alkalmazásából.

Szekvenciadiagram, amely bemutatja, hogy a Contoso alkalmazás hogyan hitelesíti a Fabrikam-felhasználókat a Contoso saját Azure Communication Services-erőforrásával.

Az alábbi sorozatdiagram a több-bérlős hitelesítést mutatja be.

A Microsoft 365-felhasználók és az Azure Communication Services hozzáférési jogkivonatainak hitelesítését részletező sorozatdiagram több-bérlős Microsoft Entra-alkalmazásokhoz.

Mielőtt elkezdenénk:

  • Alice-nek vagy a Microsoft Entra rendszergazdájának a Bejelentkezés első kísérlete előtt meg kell adnia a Contoso Microsoft Entra-alkalmazásának hozzájárulását. További információ a hozzájárulásról.

Lépések:

  1. Alice hitelesítése a Fabrikam alkalmazással: Alice hitelesítése a Fabrikam alkalmazásán keresztül történik. A rendszer egy szabványos OAuth-folyamatot használ a Microsoft Authentication Library (MSAL) használatával. Győződjön meg arról, hogy az MSAL-t megfelelő szolgáltatóval konfigurálja. Ha a hitelesítés sikeres, a Contoso ügyfélalkalmazás egy Microsoft Entra hozzáférési jogkivonatot kap egy Microsoft Entra-felhasználó objektumazonosítójával és értékével A1 A2. A jogkivonat részleteit alább ismertetjük. Ebben a rövid útmutatóban megismerheti a fejlesztői szempontból történő hitelesítést.
  2. Hozzáférési jogkivonat beszerzése Alice-hez: A Contoso-alkalmazás egy egyéni hitelesítési összetevővel, értékkel B végrehajtja az engedélyezési logikát annak eldöntéséhez, hogy Alice rendelkezik-e engedéllyel a Microsoft Entra hozzáférési jogkivonat cseréjére egy Azure Communication Services hozzáférési jogkivonathoz. A sikeres engedélyezés után a Contoso alkalmazás vezérlősík-logikát hajt végre összetevők A1A2A3és . Egy Azure Communication Services-hozzáférési jogkivonat D jön létre Alice számára a Contoso-alkalmazásban. Ez a hozzáférési jogkivonat adatsík-műveletekhez használható az Azure Communication Servicesben, például a Hívás szolgáltatásban. A3 Az A2 és az összetevők az összetevővel A1együtt lesznek átadva. Az ellenőrzés biztosítja, hogy a Microsoft Entra Tokent a várt felhasználónak adták ki. Az alkalmazás megakadályozza, hogy a támadók más alkalmazások vagy más felhasználók számára kiadott Microsoft Entra hozzáférési jogkivonatokat használjanak. Az összetevők lekéréséről A további információt a Microsoft Entra felhasználói jogkivonatának és objektumazonosítójának fogadása az MSAL-kódtáron keresztül és az alkalmazásazonosító lekérése című témakörben talál.
  3. Bob hívása: Alice a Fabrikam alkalmazásával meghívja a Microsoft 365 felhasználóját, Bobot. A hívás az Azure Communication Services hozzáférési jogkivonatával a hívó SDK-on keresztül történik. Ebben a rövid útmutatóban további információt olvashat a Microsoft 365-felhasználók alkalmazásainak fejlesztéséről.

Leletek:

  • Tárgy A1
    • Típus: Microsoft Entra hozzáférési jogkivonat
    • Célközönség: Azure Communication Services, vezérlősík
    • Forrás: Contoso-alkalmazásregisztráció Microsoft Entra-bérlője
    • Engedély: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Tárgy A2
    • Típus: Microsoft Entra-felhasználó objektumazonosítója
    • Forrás: Fabrikam Microsoft Entra-bérlője
    • Szolgáltató: https://login.microsoftonline.com/<tenant>/ vagy https://login.microsoftonline.com/organizations/ (az Ön forgatókönyve alapján)
  • Tárgy A3
    • Típus: Microsoft Entra alkalmazásazonosító
    • Forrás: Contoso-alkalmazásregisztráció Microsoft Entra-bérlője
  • Tárgy B
    • Típus: Egyéni Contoso engedélyezési összetevő (amelyet a Microsoft Entra ID vagy egy másik engedélyezési szolgáltatás állít ki)
  • Tárgy C
    • Típus: Azure Communication Services-erőforrás-engedélyezési összetevő.
    • Forrás: "Engedélyezés" HTTP-fejléc a Microsoft Entra-hitelesítés tulajdonosi jogkivonatával vagy kivonatalapú üzenethitelesítési kóddal (HMAC) és a hozzáférési kulcsalapú hitelesítéshez szükséges aláírással
  • Tárgy D
    • Típus: Azure Communication Services hozzáférési jogkivonat
    • Célközönség: Azure Communication Services, adatsík
    • Azure Communication Services-erőforrás-azonosító: Contoso Azure Communication Services Resource ID

Következő lépések

A következő mintaalkalmazások lehetnek érdekesek Önnek:

  • Próbálja ki a mintaalkalmazást, amely bemutatja az Azure Communication Services hozzáférési jogkivonatainak beszerzését a Microsoft 365-felhasználók számára mobil- és asztali alkalmazásokban.

  • A Microsoft 365-felhasználók Azure Communication Services-hozzáférési jogkivonatainak egyoldalas alkalmazásban való beszerzéséhez tekintse meg a SPA-mintaalkalmazást.

  • Ha többet szeretne megtudni az Azure Communication Services hitelesítési szolgáltatásának kiszolgálói implementációjáról, tekintse meg a hitelesítési szolgáltatás főkiszolgálói mintáját.