Share via

Veelgestelde vragen over Beveiliging en privacy van Bot Framework

  • Veelgestelde vragen

In dit artikel worden veelgestelde vragen over beveiliging en privacy beantwoord.

VAN TOEPASSING OP: SDK v4

Verzamelen de bots die zijn geregistreerd bij Bot Framework persoonlijke gegevens? Zo ja, hoe kan ik er zeker van zijn dat de gegevens veilig en veilig zijn? En privacy?

Elke bot is een eigen service, en ontwikkelaars van deze services zijn verplicht om servicevoorwaarden en privacyverklaringen op te geven conform de gedragscode voor ontwikkelaars. Zie de richtlijnen voor botbeoordeling voor meer informatie.

Kan ik mijn bot op mijn eigen servers hosten?

Ja. Uw bot kan overal op internet worden gehost. Op uw eigen servers, in Azure of in een ander datacenter. De enige vereiste is dat de bot een openbaar toegankelijk HTTPS-eindpunt moet weergeven.

Hoe kunt u bots uit de service verbieden of verwijderen?

Gebruikers kunnen een foutief gedragen bot melden via het visitekaartje van de bot in de adreslijst. Ontwikkelaars moeten zich houden aan de servicevoorwaarden van Microsoft om deel te nemen aan de service.

Welke specifieke URL's moet ik toestaan in mijn bedrijfsfirewall om toegang te krijgen tot Bot Framework-services?

Als u een uitgaande firewall hebt die verkeer van uw bot naar internet blokkeert, moet u de volgende URL's in die firewall toestaan:

  • login.botframework.com (Botverificatie)
  • login.microsoftonline.com (Botverificatie)
  • westus.api.cognitive.microsoft.com (voor Luis.ai NLP-integratie)
  • *.botframework.com (kanalen)
  • state.botframework.com (compatibiliteit met eerdere versies)
  • login.windows.net (Windows-aanmelding)
  • login.windows.com (Windows-aanmelding)
  • sts.windows.net (Windows-aanmelding)
  • Andere URL's voor specifieke Bot Framework-kanalen

Notitie

Language Understanding (LUIS) wordt op 1 oktober 2025 buiten gebruik gesteld. Vanaf 1 april 2023 kunt u geen nieuwe LUIS-resources maken. Er is nu een nieuwere versie van taalkennis beschikbaar als onderdeel van Azure AI Language.

Conversational Language Understanding (CLU), een functie van Azure AI Language, is de bijgewerkte versie van LUIS. Zie Natuurlijke taalkennis voor meer informatie over ondersteuning voor taalkennis in de Bot Framework SDK.

Notitie

U kunt dit gebruiken <channel>.botframework.com als u een URL met een sterretje liever niet wilt toestaan. <channel> is gelijk aan elk kanaal dat uw bot gebruikt, zoals directline.botframework.com, webchat.botframework.comen slack.botframework.com. Het is ook de moeite waard om verkeer via uw firewall te bekijken tijdens het testen van de bot om te zien welk verkeer het blokkeert.

Kan ik al het verkeer naar mijn bot blokkeren, behalve verkeer van de Bot Framework Service?

Bot Framework Services wordt wereldwijd gehost in Azure-datacenters en de lijst met Ip-adressen van Azure verandert voortdurend. Dit betekent dat het toestaan van bepaalde IP-adressen één dag kan werken en de volgende kan worden verbroken wanneer de Azure IP-adressen worden gewijzigd.

Welke RBAC-rol is vereist voor het maken en implementeren van een bot?

Voor het maken van een bot in Azure Portal is Inzender-toegang vereist voor het abonnement of een specifieke resourcegroep. Een gebruiker met de rol Inzender in een resourcegroep kan een nieuwe bot maken in die specifieke resourcegroep. Een gebruiker in de rol Inzender voor een abonnement kan een bot maken in een nieuwe of bestaande resourcegroep.

Met behulp van de Azure CLI kan een op rollen gebaseerd toegangsbeheer de aangepaste rollen ondersteunen. Als u een aangepaste rol wilt maken met meer beperkte machtigingen, kan de gebruiker met de onderstaande set een bot maken en implementeren die ook ONDERSTEUNING biedt voor LUIS, QnA Maker en Application Insights.

"Microsoft.Web/*",
"Microsoft.BotService/*",
"Microsoft.Storage/*",
"Microsoft.Resources/deployments/*",
"Microsoft.CognitiveServices/*",
"Microsoft.Search/searchServices/*",
"Microsoft.Insights/*",
"Microsoft.Insights/components/*"

Notitie

Azure AI QnA Maker wordt op 31 maart 2025 buiten gebruik gesteld. Vanaf 1 oktober 2022 kunt u geen nieuwe resources of kennisbanken voor QnA Maker maken.

Language Understanding (LUIS) wordt op 1 oktober 2025 buiten gebruik gesteld. Vanaf 1 april 2023 kunt u geen nieuwe LUIS-resources maken.

Nieuwere versies van deze services zijn nu beschikbaar als onderdeel van Azure AI Language. Zie Natuurlijke taalbegrip voor meer informatie over ondersteuning voor vraag en antwoord en taalbegrip in de Bot Framework SDK.

Notitie

VOOR LUIS en QnA Maker zijn machtigingen voor Azure AI-services vereist. QnA Maker vereist ook zoekmachtigingen. Wanneer u een aangepaste rol maakt, moet u er rekening mee houden dat overgenomen weigeringsmachtigingen deze machtigingen vervangen.

Wat zorgt ervoor dat mijn bot veilig blijft voor clients die de Bot Framework Service imiteren?

  1. Alle authentieke Bot Framework-aanvragen worden vergezeld van een JWT-token waarvan de cryptografische handtekening kan worden geverifieerd door de verificatiehandleiding te volgen. Het token is zo ontworpen dat aanvallers geen vertrouwde services kunnen imiteren.
  2. Het beveiligingstoken dat bij elke aanvraag aan uw bot hoort, heeft de ServiceUrl erin gecodeerd. Dit betekent dat zelfs als een aanvaller toegang krijgt tot het token, het gesprek niet kan worden omgeleid naar een nieuwe ServiceUrl. Dit wordt afgedwongen door alle implementaties van de SDK en gedocumenteerd in onze referentiemateriaal voor verificatie.
  3. Als het binnenkomende token ontbreekt of onjuist is ingedeeld, genereert de Bot Framework SDK geen token als reactie. Hiermee wordt beperkt hoeveel schade kan worden uitgevoerd als de bot onjuist is geconfigureerd.
  4. In de bot kunt u de ServiceUrl in het token handmatig controleren. Dit maakt de bot kwetsbaarder als de servicetopologie verandert, dus hoewel dit mogelijk is, wordt dit niet aanbevolen.

Notitie

Dit zijn uitgaande verbindingen van de bot naar internet. Er is geen lijst met IP-adressen of DNS-namen die het Bot Framework Verbinding maken or Service gebruikt om met de bot te communiceren. Acceptatielijst voor inkomend IP-adres wordt niet ondersteund.

Wat is het doel van de magic-code tijdens verificatie?

In de Webchat controle zijn er twee mechanismen om ervoor te zorgen dat de juiste gebruiker is aangemeld.

  1. Magic code. Aan het einde van het aanmeldingsproces krijgt de gebruiker een willekeurig gegenereerde zescijferige code (magic code) te zien. De gebruiker moet deze code in het gesprek typen om het aanmeldingsproces te voltooien. Dit leidt meestal tot een slechte gebruikerservaring. Daarnaast is het nog steeds vatbaar voor phishingaanvallen. Een kwaadwillende gebruiker kan een andere gebruiker misleiden om zich aan te melden en de magic-code te verkrijgen via phishing.

    Waarschuwing

    Het gebruik van de magic-code is afgeschaft. In plaats daarvan moet u verbeterde verificatie voor Direct Line gebruiken, zoals hieronder wordt beschreven.

  2. Verbeterde verificatie via Direct Line. Vanwege de problemen met de magic code-benadering heeft Azure AI Bot Service de noodzaak verwijderd. Azure AI Bot Service garandeert dat het aanmeldingsproces alleen kan worden voltooid in dezelfde browsersessie als de Webchat zelf. Als u deze beveiliging wilt inschakelen, moet u beginnen Webchat met een Direct Line-token dat een lijst met vertrouwde origins bevat, ook wel vertrouwde domeinen genoemd, die de Webchat-client van de bot kunnen hosten. Met verbeterde verificatieopties kunt u statisch de lijst met vertrouwde oorsprongen opgeven op de pagina Direct Line-configuratie. Zie Verbeterde verificatie via Direct Line voor meer informatie.

Hoe verwerkt bot framework identiteits- en toegangsbeheer?

Het identiteits- en toegangsbeheer (IAM) is een framework (beleid en technologieën) waarmee de juiste mensen toegang hebben tot technologiebronnen. Zie Identiteitsbeheer voor meer informatie.

Bot Framework biedt de volgende identificatiemechanismen:

  • Botverificatie. Bepaalt of een aanvraag afkomstig is van een legitieme bron. Het wordt beheerd door de botconnectorservice en maakt beveiligde communicatie mogelijk tussen een bot en een kanaal. Zie Botverificatie voor meer informatie.

  • Gebruikersverificatie. Hiermee kan de bot namens de gebruiker toegang krijgen tot beveiligde onlinebronnen. De industriestandaard OAuth wordt gebruikt om de gebruiker te verifiëren en de bot toegang te geven tot de resources. Zie Gebruikersverificatie voor meer informatie.

Kortom, bot framework verwerkt de service-naar-service-verificatie (botverificatie), die in wezen valideert dat een aanvraag inderdaad afkomstig is van een juist kanaal. De bot is verantwoordelijk voor het verwerken van lagere verificatieniveaus. U kunt een filter toepassen zodat uw bot alleen aanvragen van een bepaalde tenant-id accepteert, of u kunt vereisen dat uw gebruikers worden geverifieerd met een bepaalde OAuth-service (gebruikersverificatie).

Hoe kan ik het gebruik van mijn bot beperken tot gebruikers die alleen tot mijn tenant behoren?

U hebt twee verschillende opties voor het beperken van binnenkomende berichten die door uw bot worden verwerkt.

  • Als u te maken hebt met beveiligde gegevens, is het raadzaam om OAuth te gebruiken om de gebruikers te verifiëren.

  • Het gebruik van middleware is een andere goede optie. In het Teams-kanaal kunt u bijvoorbeeld middleware maken om de tenant-id op te halen uit de Teams-kanaalgegevens. De middleware kan vervolgens bepalen of de binnenkomende activiteit naar uw botlogica moet worden voortgezet of dat er in plaats daarvan een foutbericht wordt geretourneerd.

    Waarschuwing

    U kunt niet voorkomen dat Teams u berichten van verschillende tenants stuurt en u kunt ook voorkomen dat iemand uw bot installeert als deze uw app-manifest heeft. U kunt alleen voorkomen dat uw bot de ongewenste berichten verwerkt.