Share via

Autentikasi penyewa tunggal dan multipenyewa untuk pengguna Microsoft 365

  • Artikel

Artikel ini memberi Anda wawasan tentang proses autentikasi untuk aplikasi penyewa tunggal dan multipenyewa, ID Microsoft Entra (ID Microsoft Entra). Anda dapat menggunakan autentikasi saat membangun pengalaman panggilan untuk pengguna Microsoft 365 dengan kit pengembangan perangkat lunak (SDK) Panggilan yang disediakan Azure Communication Services . Kasus penggunaan dalam artikel ini juga memecah artefak autentikasi individual.

Kasus 1: Contoh aplikasi penyewa tunggal

Perusahaan Fabrikam telah membangun aplikasi untuk penggunaan internal. Semua pengguna aplikasi memiliki ID Microsoft Entra. Akses ke Azure Communication Services dikendalikan oleh kontrol akses berbasis peran Azure (Azure RBAC).

Diagram yang menguraikan proses autentikasi untuk aplikasi panggilan Fabrikam untuk pengguna Microsoft 365 dan sumber daya Azure Communication Services-nya.

Diagram urutan berikut merinci autentikasi penyewa tunggal.

Diagram urutan yang merinci autentikasi pengguna Microsoft 365 Fabrikam. Aplikasi klien mendapatkan token akses Azure Communication Services untuk satu penyewa aplikasi Microsoft Entra.

Sebelum kita mulai:

  • Alice atau administrator Microsoft Entra-nya perlu memberikan persetujuan aplikasi Teams kustom, sebelum upaya pertama untuk masuk. Pelajari selengkapnya tentang persetujuan.
  • Admin sumber daya Azure Communication Services perlu memberikan izin Kepada Alice untuk melakukan perannya. Pelajari selengkapnya tentang penetapan peran Azure RBAC.

Langkah-langkah:

  1. Mengautentikasi Alice menggunakan ID Microsoft Entra: Alice diautentikasi menggunakan alur OAuth standar dengan Microsoft Authentication Library (MSAL). Jika autentikasi berhasil, aplikasi klien menerima token akses Microsoft Entra, dengan nilai A1 dan ID Objek pengguna Microsoft Entra dengan nilai A2. Token diuraikan nanti dalam artikel ini. Autentikasi dari perspektif pengembang dieksplorasi dalam mulai cepat ini.
  2. Dapatkan token akses untuk Alice: Aplikasi Fabrikam dengan menggunakan artefak autentikasi kustom dengan nilai B melakukan logika otorisasi untuk memutuskan apakah Alice memiliki izin untuk menukar token akses Microsoft Entra dengan token akses Azure Communication Services. Setelah otorisasi berhasil, aplikasi Fabrikam melakukan logika sarana kontrol, menggunakan artefak A1, A2, dan A3. Token D akses Azure Communication Services dihasilkan untuk Alice dalam aplikasi Fabrikam. Token akses ini dapat digunakan untuk tindakan sarana data di Azure Communication Services, seperti Panggilan. A2 Artefak dan A3 diteruskan bersama dengan artefak A1 untuk validasi. Validasi memastikan bahwa Microsoft Entra Token dikeluarkan untuk pengguna yang diharapkan. Aplikasi ini mencegah penyerang menggunakan token akses Microsoft Entra yang dikeluarkan untuk aplikasi lain atau pengguna lain. Untuk informasi selengkapnya tentang cara mendapatkan A artefak, lihat Menerima token pengguna Microsoft Entra dan ID objek melalui pustaka MSAL dan Mendapatkan ID Aplikasi.
  3. Hubungi Bob: Alice melakukan panggilan ke pengguna Microsoft 365 Bob, dengan aplikasi Fabrikam. Panggilan terjadi melalui SDK Panggilan dengan token akses Azure Communication Services. Pelajari selengkapnya tentang mengembangkan aplikasi untuk pengguna Microsoft 365.

Artefak:

  • Artefak A1
    • Jenis: Token akses Microsoft Entra
    • Audiens: Azure Communication Services, sarana kontrol
    • Sumber: Penyewa Microsoft Entra Fabrikam
    • Izin: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Artefak A2
    • Jenis: ID Objek pengguna Microsoft Entra
    • Sumber: Penyewa Microsoft Entra Fabrikam
    • Otoritas: https://login.microsoftonline.com/<tenant>/
  • Artefak A3
    • Jenis: ID aplikasi Microsoft Entra
    • Sumber: Penyewa Microsoft Entra Fabrikam
  • Artefak B
    • Jenis: Artefak otorisasi Fabrikam Kustom (dikeluarkan baik oleh ID Microsoft Entra atau layanan otorisasi yang berbeda)
  • Artefak C
    • Jenis: Artefak otorisasi sumber daya Azure Communication Services.
    • Sumber: Header HTTP "Otorisasi" dengan token pembawa untuk autentikasi Microsoft Entra atau payload Kode Autentikasi Pesan berbasis Hash (HMAC) dan tanda tangan untuk mengakses autentikasi berbasis kunci.
  • Artefak D
    • Jenis: Token akses Azure Communication Services
    • Audiens: Azure Communication Services, bidang data
    • ID Sumber Daya Azure Communication Services: Fabrikam Azure Communication Services Resource ID

Kasus 2: Contoh aplikasi multipenyewa

Perusahaan Contoso telah membangun aplikasi untuk pelanggan eksternal. Aplikasi ini menggunakan autentikasi kustom dalam infrastruktur Contoso sendiri. Contoso menggunakan string koneksi untuk mengambil token dari aplikasi Fabrikam.

Diagram urutan yang menunjukkan bagaimana aplikasi Contoso mengautentikasi pengguna Fabrikam dengan sumber daya Azure Communication Services Contoso sendiri.

Diagram urutan berikut merinci autentikasi multipenyewa.

Diagram urutan yang merinci autentikasi pengguna Microsoft 365 dan token akses Azure Communication Services untuk aplikasi Microsoft Entra multipenyewa.

Sebelum kita mulai:

  • Alice atau administrator Microsoft Entra-nya perlu memberikan persetujuan aplikasi Microsoft Entra Contoso sebelum upaya pertama untuk masuk. Pelajari selengkapnya tentang persetujuan.

Langkah-langkah:

  1. Mengautentikasi Alice menggunakan aplikasi Fabrikam: Alice diautentikasi melalui aplikasi Fabrikam. Alur OAuth standar dengan Microsoft Authentication Library (MSAL) digunakan. Pastikan Anda mengonfigurasi MSAL dengan otoritas yang benar. Jika autentikasi berhasil, aplikasi klien Contoso menerima token akses Microsoft Entra dengan nilai A1 dan ID Objek pengguna Microsoft Entra dengan nilai A2. Detail token diuraikan di bawah ini. Autentikasi dari perspektif pengembang dieksplorasi dalam mulai cepat ini.
  2. Dapatkan token akses untuk Alice: Aplikasi Contoso dengan menggunakan artefak autentikasi kustom dengan nilai B melakukan logika otorisasi untuk memutuskan apakah Alice memiliki izin untuk menukar token akses Microsoft Entra dengan token akses Azure Communication Services. Setelah otorisasi berhasil, aplikasi Contoso melakukan logika sarana kontrol, menggunakan artefak A1, A2, dan A3. Token D akses Azure Communication Services dihasilkan untuk Alice dalam aplikasi Contoso. Token akses ini dapat digunakan untuk tindakan sarana data di Azure Communication Services, seperti Panggilan. Artefak A2 dan A3 diteruskan bersama dengan artefak A1. Validasi memastikan bahwa Microsoft Entra Token dikeluarkan untuk pengguna yang diharapkan. Aplikasi ini mencegah penyerang menggunakan token akses Microsoft Entra yang dikeluarkan untuk aplikasi lain atau pengguna lain. Untuk informasi selengkapnya tentang cara mendapatkan A artefak, lihat Menerima token pengguna Microsoft Entra dan ID objek melalui pustaka MSAL dan Mendapatkan ID Aplikasi.
  3. Hubungi Bob: Alice melakukan panggilan ke pengguna Microsoft 365 Bob, dengan aplikasi Fabrikam. Panggilan terjadi melalui SDK Panggilan dengan token akses Azure Communication Services. Pelajari selengkapnya tentang mengembangkan aplikasi untuk pengguna Microsoft 365 dalam mulai cepat ini.

Artefak:

  • Artefak A1
    • Jenis: Token akses Microsoft Entra
    • Audiens: Azure Communication Services, sarana kontrol
    • Sumber: Penyewa Microsoft Entra pendaftaran aplikasi Contoso
    • Izin: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
  • Artefak A2
    • Jenis: ID Objek pengguna Microsoft Entra
    • Sumber: Penyewa Microsoft Entra Fabrikam
    • Otoritas: https://login.microsoftonline.com/<tenant>/ atau https://login.microsoftonline.com/organizations/ (berdasarkan skenario Anda )
  • Artefak A3
    • Jenis: ID aplikasi Microsoft Entra
    • Sumber: Penyewa Microsoft Entra pendaftaran aplikasi Contoso
  • Artefak B
    • Jenis: Artefak otorisasi Contoso Kustom (dikeluarkan baik oleh ID Microsoft Entra atau layanan otorisasi yang berbeda)
  • Artefak C
    • Jenis: Artefak otorisasi sumber daya Azure Communication Services.
    • Sumber: Header HTTP "Otorisasi" dengan token pembawa untuk autentikasi Microsoft Entra atau payload Kode Autentikasi Pesan berbasis Hash (HMAC) dan tanda tangan untuk autentikasi berbasis kunci akses
  • Artefak D
    • Jenis: Token akses Azure Communication Services
    • Audiens: Azure Communication Services, bidang data
    • ID Sumber Daya Azure Communication Services: Contoso Azure Communication Services Resource ID

Langkah berikutnya

Contoh aplikasi berikut mungkin menarik bagi Anda:

  • Coba Aplikasi Sampel, yang menampilkan proses memperoleh token akses Azure Communication Services untuk pengguna Microsoft 365 di aplikasi seluler dan desktop.

  • Untuk melihat bagaimana token akses Azure Communication Services untuk pengguna Microsoft 365 diperoleh dalam aplikasi satu halaman, lihat aplikasi sampel SPA.

  • Untuk mempelajari selengkapnya tentang implementasi server layanan autentikasi untuk Azure Communication Services, lihat sampel hero layanan Autentikasi.