適用対象: SDK v4
ID プロバイダーは、ユーザー ID またはクライアント ID を認証し、使用可能なセキュリティ トークンを発行します。 ユーザー認証をサービスとして提供します。
Web アプリケーションなどのクライアント アプリケーションは、信頼できる ID プロバイダーに認証を委任します。 このようなクライアント アプリケーションはフェデレーションと言われます。つまり、フェデレーション ID を使用します。 詳細については、「 フェデレーション ID パターン」を参照してください。
信頼できる ID プロバイダーの使用:
- シングル サインオン (SSO) 機能を有効にして、アプリケーションが複数のセキュリティで保護されたリソースにアクセスできるようにします。
- クラウド コンピューティング リソースとユーザー間の接続を容易にし、ユーザーが再認証する必要が減ります。
単一サインイン
シングル サインオンとは、ユーザーが 1 つの資格情報セットを使用してシステムに 1 回ログオンして、複数のアプリケーションまたはサービスにアクセスできるようにする認証プロセスを指します。
ユーザーは、1 つの ID とパスワードでログインして、関連する複数のソフトウェア システムのいずれかにアクセスできます。 詳細については、「 シングル サインオン」を参照してください。
多くの ID プロバイダーは、ユーザー トークンを取り消し、関連付けられているアプリケーションとサービスへのアクセスを終了するサインアウト操作をサポートしています。
Von Bedeutung
SSO では、ユーザーが資格情報を入力する必要がある回数を減らすことで、使いやすさが向上します。 また、潜在的な攻撃対象領域を減らすことで、セキュリティが向上します。
Microsoft Entra ID ID プロバイダー
Microsoft Entra ID は、ID 管理とアクセス制御機能を提供する Microsoft Azure の ID サービスです。 これにより、OAuth2.0 などの業界標準のプロトコルを使用してユーザーを安全にサインインできます。
次に示すように、異なる設定を持つ 2 つの Active Directory ID プロバイダーの実装から選択できます。
注
これらの設定は、Azure ボット登録アプリケーションで OAuth 接続設定 を構成するときに使用します。 詳細については、「 ボットに認証を追加する」を参照してください。
Microsoft ID プラットフォーム (v2.0) (Microsoft Entra ID エンドポイントとも呼ばれます) を使用すると、ボットは Microsoft Graph やその他の API などの Microsoft API を呼び出すトークンを取得できます。 ID プラットフォームは、Azure AD プラットフォーム (v1.0) の進化です。 詳細については、「Microsoft ID プラットフォーム (v2.0) の概要」を参照してください。
以下の AD v2 設定を使用して、ボットが Microsoft Graph API 経由で Office 365 データにアクセスできるようにします。
| プロパティ | 説明や値 |
|---|---|
| 名前 | この ID プロバイダー接続の名前。 |
| サービス プロバイダー | 使用する ID プロバイダー。 [Microsoft Entra ID] を選びます。 |
| クライアント ID | Azure ID プロバイダー アプリのアプリケーション (クライアント) ID。 |
| クライアント シークレット | Azure ID プロバイダー アプリのシークレット。 |
| テナント ID | ディレクトリ (テナント) ID または common。 詳細については、 テナント ID に関する注意事項を参照してください。 |
| スコープ |
openid、profile、Mail.Read、Mail.Send、User.Read、User.ReadBasic.Allなど、Microsoft Entra ID ID プロバイダー アプリに付与した API アクセス許可のスペース区切りの一覧。 |
| トークン交換 URL | SSO 対応スキル ボットの場合は、OAuth 接続に関連付けられているトークン交換 URL を使用します。それ以外の場合は、空のままにします。 SSO トークン交換 URL の詳細については、「 OAuth 接続設定の作成」を参照してください。 |
注
次のいずれかを選択した場合は、Microsoft Entra ID ID プロバイダー アプリ用に記録したテナント ID を入力します。
- この組織のディレクトリ内のアカウントのみ (Microsoft のみ - シングル テナント)
- 任意の組織ディレクトリ内のアカウント (Microsoft AAD ディレクトリ - マルチテナント)
任意の組織ディレクトリ (任意の Microsoft Entra ID ディレクトリ - マルチテナントと個人の Microsoft アカウント (Skype、Xbox、Outlook.com など) でアカウントを選択した場合は、common入力します。
それ以外の場合、Microsoft Entra ID ID プロバイダー アプリは、テナントを使用して選択した ID を確認し、個人の Microsoft アカウントを除外します。
詳細については、以下を参照してください。
その他の ID プロバイダー
Azure では、複数の ID プロバイダーがサポートされています。 次の Azure コンソール コマンドを実行すると、関連する詳細と共に完全な一覧を取得できます。
az login
az bot authsetting list-providers
また、ボット登録アプリの OAuth 接続設定を定義するときに、 Azure portal でこれらのプロバイダーの一覧を表示することもできます。
OAuth 汎用プロバイダー
Azure では汎用 OAuth2 がサポートされています。これにより、独自の ID プロバイダーを使用できます。
次に示すように、異なる設定を持つ 2 つの汎用 ID プロバイダー実装から選択できます。
注
Azure ボット登録アプリケーションで OAuth 接続設定 を構成するときに、ここで説明する設定を使用します。
このプロバイダーを使用して、Microsoft Entra ID プロバイダー (特に AD v2) と同様の期待を持つ汎用 OAuth2 ID プロバイダーを構成します。 この接続の種類では、クエリ文字列と要求本文のペイロードが固定されています。
| プロパティ | 説明や値 |
|---|---|
| 名前 | この ID プロバイダー接続の名前。 |
| サービス プロバイダー | 使用する ID プロバイダー。 [汎用 Oauth 2] を選択します。 |
| クライアント ID | ID プロバイダーから取得したクライアント ID。 |
| クライアント シークレット | ID プロバイダーの登録から取得したクライアント シークレット。 |
| Authorization URL (承認 URL) | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Token URL (トークン URL) | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| URL の更新 | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| トークン交換 URL | これは空のままにします。 |
| スコープ | ID プロバイダー アプリに付与した API アクセス許可のコンマ区切りの一覧。 |