Autentikasi penyewa tunggal dan multipenyewa untuk pengguna Microsoft 365
Artikel ini memberi Anda wawasan tentang proses autentikasi untuk aplikasi penyewa tunggal dan multipenyewa, ID Microsoft Entra (ID Microsoft Entra). Anda dapat menggunakan autentikasi saat membangun pengalaman panggilan untuk pengguna Microsoft 365 dengan kit pengembangan perangkat lunak (SDK) Panggilan yang disediakan Azure Communication Services . Kasus penggunaan dalam artikel ini juga memecah artefak autentikasi individual.
Kasus 1: Contoh aplikasi penyewa tunggal
Perusahaan Fabrikam telah membangun aplikasi untuk penggunaan internal. Semua pengguna aplikasi memiliki ID Microsoft Entra. Akses ke Azure Communication Services dikendalikan oleh kontrol akses berbasis peran Azure (Azure RBAC).
Diagram urutan berikut merinci autentikasi penyewa tunggal.
Sebelum kita mulai:
- Alice atau administrator Microsoft Entra-nya perlu memberikan persetujuan aplikasi Teams kustom, sebelum upaya pertama untuk masuk. Pelajari selengkapnya tentang persetujuan.
- Admin sumber daya Azure Communication Services perlu memberikan izin Kepada Alice untuk melakukan perannya. Pelajari selengkapnya tentang penetapan peran Azure RBAC.
Langkah-langkah:
- Mengautentikasi Alice menggunakan ID Microsoft Entra: Alice diautentikasi menggunakan alur OAuth standar dengan Microsoft Authentication Library (MSAL). Jika autentikasi berhasil, aplikasi klien menerima token akses Microsoft Entra, dengan nilai
A1
dan ID Objek pengguna Microsoft Entra dengan nilaiA2
. Token diuraikan nanti dalam artikel ini. Autentikasi dari perspektif pengembang dieksplorasi dalam mulai cepat ini. - Dapatkan token akses untuk Alice: Aplikasi Fabrikam dengan menggunakan artefak autentikasi kustom dengan nilai
B
melakukan logika otorisasi untuk memutuskan apakah Alice memiliki izin untuk menukar token akses Microsoft Entra dengan token akses Azure Communication Services. Setelah otorisasi berhasil, aplikasi Fabrikam melakukan logika sarana kontrol, menggunakan artefakA1
,A2
, danA3
. TokenD
akses Azure Communication Services dihasilkan untuk Alice dalam aplikasi Fabrikam. Token akses ini dapat digunakan untuk tindakan sarana data di Azure Communication Services, seperti Panggilan.A2
Artefak danA3
diteruskan bersama dengan artefakA1
untuk validasi. Validasi memastikan bahwa Microsoft Entra Token dikeluarkan untuk pengguna yang diharapkan. Aplikasi ini mencegah penyerang menggunakan token akses Microsoft Entra yang dikeluarkan untuk aplikasi lain atau pengguna lain. Untuk informasi selengkapnya tentang cara mendapatkanA
artefak, lihat Menerima token pengguna Microsoft Entra dan ID objek melalui pustaka MSAL dan Mendapatkan ID Aplikasi. - Hubungi Bob: Alice melakukan panggilan ke pengguna Microsoft 365 Bob, dengan aplikasi Fabrikam. Panggilan terjadi melalui SDK Panggilan dengan token akses Azure Communication Services. Pelajari selengkapnya tentang mengembangkan aplikasi untuk pengguna Microsoft 365.
Artefak:
- Artefak
A1
- Jenis: Token akses Microsoft Entra
- Audiens:
Azure Communication Services
, sarana kontrol - Sumber: Penyewa Microsoft Entra Fabrikam
- Izin:
https://auth.msft.communication.azure.com/Teams.ManageCalls
,https://auth.msft.communication.azure.com/Teams.ManageChats
- Artefak
A2
- Jenis: ID Objek pengguna Microsoft Entra
- Sumber: Penyewa Microsoft Entra Fabrikam
- Otoritas:
https://login.microsoftonline.com/<tenant>/
- Artefak
A3
- Jenis: ID aplikasi Microsoft Entra
- Sumber: Penyewa Microsoft Entra Fabrikam
- Artefak
B
- Jenis: Artefak otorisasi Fabrikam Kustom (dikeluarkan baik oleh ID Microsoft Entra atau layanan otorisasi yang berbeda)
- Artefak
C
- Jenis: Artefak otorisasi sumber daya Azure Communication Services.
- Sumber: Header HTTP "Otorisasi" dengan token pembawa untuk autentikasi Microsoft Entra atau payload Kode Autentikasi Pesan berbasis Hash (HMAC) dan tanda tangan untuk mengakses autentikasi berbasis kunci.
- Artefak
D
- Jenis: Token akses Azure Communication Services
- Audiens:
Azure Communication Services
, bidang data - ID Sumber Daya Azure Communication Services: Fabrikam
Azure Communication Services Resource ID
Kasus 2: Contoh aplikasi multipenyewa
Perusahaan Contoso telah membangun aplikasi untuk pelanggan eksternal. Aplikasi ini menggunakan autentikasi kustom dalam infrastruktur Contoso sendiri. Contoso menggunakan string koneksi untuk mengambil token dari aplikasi Fabrikam.
Diagram urutan berikut merinci autentikasi multipenyewa.
Sebelum kita mulai:
- Alice atau administrator Microsoft Entra-nya perlu memberikan persetujuan aplikasi Microsoft Entra Contoso sebelum upaya pertama untuk masuk. Pelajari selengkapnya tentang persetujuan.
Langkah-langkah:
- Mengautentikasi Alice menggunakan aplikasi Fabrikam: Alice diautentikasi melalui aplikasi Fabrikam. Alur OAuth standar dengan Microsoft Authentication Library (MSAL) digunakan. Pastikan Anda mengonfigurasi MSAL dengan otoritas yang benar. Jika autentikasi berhasil, aplikasi klien Contoso menerima token akses Microsoft Entra dengan nilai
A1
dan ID Objek pengguna Microsoft Entra dengan nilaiA2
. Detail token diuraikan di bawah ini. Autentikasi dari perspektif pengembang dieksplorasi dalam mulai cepat ini. - Dapatkan token akses untuk Alice: Aplikasi Contoso dengan menggunakan artefak autentikasi kustom dengan nilai
B
melakukan logika otorisasi untuk memutuskan apakah Alice memiliki izin untuk menukar token akses Microsoft Entra dengan token akses Azure Communication Services. Setelah otorisasi berhasil, aplikasi Contoso melakukan logika sarana kontrol, menggunakan artefakA1
,A2
, danA3
. TokenD
akses Azure Communication Services dihasilkan untuk Alice dalam aplikasi Contoso. Token akses ini dapat digunakan untuk tindakan sarana data di Azure Communication Services, seperti Panggilan. ArtefakA2
danA3
diteruskan bersama dengan artefakA1
. Validasi memastikan bahwa Microsoft Entra Token dikeluarkan untuk pengguna yang diharapkan. Aplikasi ini mencegah penyerang menggunakan token akses Microsoft Entra yang dikeluarkan untuk aplikasi lain atau pengguna lain. Untuk informasi selengkapnya tentang cara mendapatkanA
artefak, lihat Menerima token pengguna Microsoft Entra dan ID objek melalui pustaka MSAL dan Mendapatkan ID Aplikasi. - Hubungi Bob: Alice melakukan panggilan ke pengguna Microsoft 365 Bob, dengan aplikasi Fabrikam. Panggilan terjadi melalui SDK Panggilan dengan token akses Azure Communication Services. Pelajari selengkapnya tentang mengembangkan aplikasi untuk pengguna Microsoft 365 dalam mulai cepat ini.
Artefak:
- Artefak
A1
- Jenis: Token akses Microsoft Entra
- Audiens:
Azure Communication Services
, sarana kontrol - Sumber: Penyewa Microsoft Entra pendaftaran aplikasi Contoso
- Izin:
https://auth.msft.communication.azure.com/Teams.ManageCalls
,https://auth.msft.communication.azure.com/Teams.ManageChats
- Artefak
A2
- Jenis: ID Objek pengguna Microsoft Entra
- Sumber: Penyewa Microsoft Entra Fabrikam
- Otoritas:
https://login.microsoftonline.com/<tenant>/
atauhttps://login.microsoftonline.com/organizations/
(berdasarkan skenario Anda )
- Artefak
A3
- Jenis: ID aplikasi Microsoft Entra
- Sumber: Penyewa Microsoft Entra pendaftaran aplikasi Contoso
- Artefak
B
- Jenis: Artefak otorisasi Contoso Kustom (dikeluarkan baik oleh ID Microsoft Entra atau layanan otorisasi yang berbeda)
- Artefak
C
- Jenis: Artefak otorisasi sumber daya Azure Communication Services.
- Sumber: Header HTTP "Otorisasi" dengan token pembawa untuk autentikasi Microsoft Entra atau payload Kode Autentikasi Pesan berbasis Hash (HMAC) dan tanda tangan untuk autentikasi berbasis kunci akses
- Artefak
D
- Jenis: Token akses Azure Communication Services
- Audiens:
Azure Communication Services
, bidang data - ID Sumber Daya Azure Communication Services: Contoso
Azure Communication Services Resource ID
Langkah berikutnya
- Pelajari selengkapnya tentang autentikasi.
- Coba mulai cepat ini untuk mengautentikasi pengguna Microsoft 365.
- Coba mulai cepat ini untuk memanggil pengguna Microsoft 365.
Contoh aplikasi berikut mungkin menarik bagi Anda:
Coba Aplikasi Sampel, yang menampilkan proses memperoleh token akses Azure Communication Services untuk pengguna Microsoft 365 di aplikasi seluler dan desktop.
Untuk melihat bagaimana token akses Azure Communication Services untuk pengguna Microsoft 365 diperoleh dalam aplikasi satu halaman, lihat aplikasi sampel SPA.
Untuk mempelajari selengkapnya tentang implementasi server layanan autentikasi untuk Azure Communication Services, lihat sampel hero layanan Autentikasi.