Egy-bérlős és több-bérlős hitelesítés Microsoft 365-felhasználók számára
Ez a cikk bemutatja az egybérlős és több-bérlős Microsoft Entra ID (Microsoft Entra ID) alkalmazások hitelesítési folyamatát. Hitelesítést akkor használhat, ha hívási élményt hoz létre a Microsoft 365-felhasználók számára az Azure Communication Services által elérhetővé tesz hívó szoftverfejlesztői készlettel (SDK). A cikkben szereplő használati esetek az egyes hitelesítési összetevőket is lebontják.
A Fabrikam vállalat egy belső használatra készült alkalmazást hozott létre. Az alkalmazás minden felhasználója rendelkezik Microsoft Entra-azonosítóval. Az Azure Communication Serviceshez való hozzáférést az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) szabályozza.
Az alábbi szekvenciadiagram az egybérlős hitelesítést ismerteti.
Mielőtt elkezdenénk:
- Alice-nek vagy a Microsoft Entra rendszergazdájának az első bejelentkezési kísérlet előtt meg kell adnia az egyéni Teams-alkalmazás hozzájárulását. További információ a hozzájárulásról.
- Az Azure Communication Services erőforrás-rendszergazdájának engedélyt kell adnia Alice-nek a szerepköre végrehajtásához. További információ az Azure RBAC-szerepkör-hozzárendelésről.
Lépések:
- Alice hitelesítése Microsoft Entra-azonosítóval: Alice hitelesítése szabványos OAuth-folyamattal történik a Microsoft Authentication Library (MSAL) használatával. Ha a hitelesítés sikeres, az ügyfélalkalmazás egy Microsoft Entra hozzáférési jogkivonatot kap, amelynek értéke
A1
és egy Microsoft Entra-felhasználó objektumazonosítója a következő értékkel rendelkezikA2
: . A jogkivonatokat a cikk későbbi részében ismertetjük. Ebben a rövid útmutatóban megismerheti a fejlesztői szempontból történő hitelesítést. - Hozzáférési jogkivonat beszerzése Alice-hez: A Fabrikam-alkalmazás egy egyéni hitelesítési összetevő értékével
B
engedélyezési logikát hajt végre annak eldöntéséhez, hogy Alice rendelkezik-e engedéllyel a Microsoft Entra hozzáférési jogkivonat cseréjére egy Azure Communication Services hozzáférési jogkivonathoz. A sikeres engedélyezés után a Fabrikam alkalmazás vezérlősík-logikát hajt végre az összetevőkA1
A2
A3
és a . Az Azure Communication Services hozzáférési jogkivonataD
Alice számára jön létre a Fabrikam alkalmazásban. Ez a hozzáférési jogkivonat adatsík-műveletekhez használható az Azure Communication Servicesben, például a Hívás szolgáltatásban. AA2
rendszerA3
az összetevővel együtt átadja az összetevőketA1
az ellenőrzéshez. Az ellenőrzés biztosítja, hogy a Microsoft Entra Tokent a várt felhasználónak adták ki. Az alkalmazás megakadályozza, hogy a támadók más alkalmazások vagy más felhasználók számára kiadott Microsoft Entra hozzáférési jogkivonatokat használjanak. Az összetevők lekérésérőlA
további információt a Microsoft Entra felhasználói jogkivonatának és objektumazonosítójának fogadása az MSAL-kódtáron keresztül és az alkalmazásazonosító lekérése című témakörben talál. - Bob hívása: Alice a Fabrikam alkalmazásával meghívja a Microsoft 365 felhasználóját, Bobot. A hívás az Azure Communication Services hozzáférési jogkivonatával a hívó SDK-on keresztül történik. További információ a Microsoft 365-felhasználók alkalmazásának fejlesztéséről.
Leletek:
- Tárgy
A1
- Típus: Microsoft Entra hozzáférési jogkivonat
- Célközönség:
Azure Communication Services
, vezérlősík - Forrás: Fabrikam Microsoft Entra-bérlője
- Engedélyek:
https://auth.msft.communication.azure.com/Teams.ManageCalls
,https://auth.msft.communication.azure.com/Teams.ManageChats
- Tárgy
A2
- Típus: Microsoft Entra-felhasználó objektumazonosítója
- Forrás: Fabrikam Microsoft Entra-bérlője
- Hatóság:
https://login.microsoftonline.com/<tenant>/
- Tárgy
A3
- Típus: Microsoft Entra alkalmazásazonosító
- Forrás: Fabrikam Microsoft Entra-bérlője
- Tárgy
B
- Típus: Egyéni Fabrikam engedélyezési összetevő (amelyet a Microsoft Entra ID vagy egy másik engedélyezési szolgáltatás állít ki)
- Tárgy
C
- Típus: Azure Communication Services-erőforrás-engedélyezési összetevő.
- Forrás: "Engedélyezés" HTTP-fejléc a Microsoft Entra-hitelesítés tulajdonosi jogkivonatával vagy kivonatalapú üzenethitelesítési kóddal (HMAC) és a hozzáférési kulcsalapú hitelesítéshez szükséges aláírással.
- Tárgy
D
- Típus: Azure Communication Services hozzáférési jogkivonat
- Célközönség:
Azure Communication Services
, adatsík - Az Azure Communication Services erőforrás-azonosítója: Fabrikam's
Azure Communication Services Resource ID
A Contoso vállalat egy alkalmazást hozott létre külső ügyfelek számára. Ez az alkalmazás egyéni hitelesítést használ a Contoso saját infrastruktúráján belül. A Contoso egy kapcsolati sztring használ jogkivonatok lekéréséhez a Fabrikam alkalmazásából.
Az alábbi sorozatdiagram a több-bérlős hitelesítést mutatja be.
Mielőtt elkezdenénk:
- Alice-nek vagy a Microsoft Entra rendszergazdájának a Bejelentkezés első kísérlete előtt meg kell adnia a Contoso Microsoft Entra-alkalmazásának hozzájárulását. További információ a hozzájárulásról.
Lépések:
- Alice hitelesítése a Fabrikam alkalmazással: Alice hitelesítése a Fabrikam alkalmazásán keresztül történik. A rendszer egy szabványos OAuth-folyamatot használ a Microsoft Authentication Library (MSAL) használatával. Győződjön meg arról, hogy az MSAL-t megfelelő szolgáltatóval konfigurálja. Ha a hitelesítés sikeres, a Contoso ügyfélalkalmazás egy Microsoft Entra hozzáférési jogkivonatot kap egy Microsoft Entra-felhasználó objektumazonosítójával és értékével
A1
A2
. A jogkivonat részleteit alább ismertetjük. Ebben a rövid útmutatóban megismerheti a fejlesztői szempontból történő hitelesítést. - Hozzáférési jogkivonat beszerzése Alice-hez: A Contoso-alkalmazás egy egyéni hitelesítési összetevővel, értékkel
B
végrehajtja az engedélyezési logikát annak eldöntéséhez, hogy Alice rendelkezik-e engedéllyel a Microsoft Entra hozzáférési jogkivonat cseréjére egy Azure Communication Services hozzáférési jogkivonathoz. A sikeres engedélyezés után a Contoso alkalmazás vezérlősík-logikát hajt végre összetevőkA1
A2
A3
és . Egy Azure Communication Services-hozzáférési jogkivonatD
jön létre Alice számára a Contoso-alkalmazásban. Ez a hozzáférési jogkivonat adatsík-műveletekhez használható az Azure Communication Servicesben, például a Hívás szolgáltatásban.A3
AzA2
és az összetevők az összetevővelA1
együtt lesznek átadva. Az ellenőrzés biztosítja, hogy a Microsoft Entra Tokent a várt felhasználónak adták ki. Az alkalmazás megakadályozza, hogy a támadók más alkalmazások vagy más felhasználók számára kiadott Microsoft Entra hozzáférési jogkivonatokat használjanak. Az összetevők lekérésérőlA
további információt a Microsoft Entra felhasználói jogkivonatának és objektumazonosítójának fogadása az MSAL-kódtáron keresztül és az alkalmazásazonosító lekérése című témakörben talál. - Bob hívása: Alice a Fabrikam alkalmazásával meghívja a Microsoft 365 felhasználóját, Bobot. A hívás az Azure Communication Services hozzáférési jogkivonatával a hívó SDK-on keresztül történik. Ebben a rövid útmutatóban további információt olvashat a Microsoft 365-felhasználók alkalmazásainak fejlesztéséről.
Leletek:
- Tárgy
A1
- Típus: Microsoft Entra hozzáférési jogkivonat
- Célközönség:
Azure Communication Services
, vezérlősík - Forrás: Contoso-alkalmazásregisztráció Microsoft Entra-bérlője
- Engedély:
https://auth.msft.communication.azure.com/Teams.ManageCalls
,https://auth.msft.communication.azure.com/Teams.ManageChats
- Tárgy
A2
- Tárgy
A3
- Típus: Microsoft Entra alkalmazásazonosító
- Forrás: Contoso-alkalmazásregisztráció Microsoft Entra-bérlője
- Tárgy
B
- Típus: Egyéni Contoso engedélyezési összetevő (amelyet a Microsoft Entra ID vagy egy másik engedélyezési szolgáltatás állít ki)
- Tárgy
C
- Típus: Azure Communication Services-erőforrás-engedélyezési összetevő.
- Forrás: "Engedélyezés" HTTP-fejléc a Microsoft Entra-hitelesítés tulajdonosi jogkivonatával vagy kivonatalapú üzenethitelesítési kóddal (HMAC) és a hozzáférési kulcsalapú hitelesítéshez szükséges aláírással
- Tárgy
D
- Típus: Azure Communication Services hozzáférési jogkivonat
- Célközönség:
Azure Communication Services
, adatsík - Azure Communication Services-erőforrás-azonosító: Contoso
Azure Communication Services Resource ID
- További információ a hitelesítésről.
- Próbálja ki ezt a rövid útmutatót a Microsoft 365-felhasználók hitelesítéséhez.
- Ezzel a rövid útmutatóval meghívhat egy Microsoft 365-felhasználót.
A következő mintaalkalmazások lehetnek érdekesek Önnek:
Próbálja ki a mintaalkalmazást, amely bemutatja az Azure Communication Services hozzáférési jogkivonatainak beszerzését a Microsoft 365-felhasználók számára mobil- és asztali alkalmazásokban.
A Microsoft 365-felhasználók Azure Communication Services-hozzáférési jogkivonatainak egyoldalas alkalmazásban való beszerzéséhez tekintse meg a SPA-mintaalkalmazást.
Ha többet szeretne megtudni az Azure Communication Services hitelesítési szolgáltatásának kiszolgálói implementációjáról, tekintse meg a hitelesítési szolgáltatás főkiszolgálói mintáját.