Podstawy uwierzytelniania platformy Bot Framework
DOTYCZY: ZESTAW SDK w wersji 4
Często bot musi uzyskiwać dostęp do chronionych zasobów, na przykład konta e-mail, w imieniu użytkownika. Aby to zrobić, bot musi być autoryzowany na podstawie poświadczeń użytkownika. Przed tym użytkownik musi najpierw zostać uwierzytelniony . Bot musi być znaną jednostką, czyli musi zostać uwierzytelniony w kontekście usługi Azure AI Bot Service. Dzieje się tak przed autoryzacją bota do działania w imieniu użytkownika.
Sprawdźmy, czy możemy rozplątać ten pakiet, zaczynając od widoku ptaka kontekstu uwierzytelniania platformy Bot Framework.
Podczas rejestrowania bota na platformie Azure za pośrednictwem zasobu usługi Azure Bot platforma Azure tworzy aplikację rejestracji identyfikatora entra firmy Microsoft. Ta aplikacja ma identyfikator aplikacji (
MicrosoftAppId
) i klucz tajny klienta (MicrosoftAppPassword
). Te wartości są używane w plikach konfiguracji bota, jak opisano poniżej.Microsoft Entra ID to usługa tożsamości w chmurze, która umożliwia tworzenie aplikacji, które bezpiecznie logują użytkowników przy użyciu standardowych protokołów branżowych, takich jak OAuth 2.0. Utworzysz aplikację usługi Active Directory i użyj jej identyfikatora aplikacji i hasła, aby wybrać dostawcę tożsamości i wygenerować połączenie uwierzytelniania. To połączenie zostanie dodane do zasobu bota. Należy również dodać nazwę połączenia w plikach konfiguracji bota zgodnie z poniższym opisem.
Bot jest identyfikowany przez identyfikator i hasło aplikacji zasobów usługi Azure Bot. Powiązane wartości są dodawane do pliku konfiguracji bota lub do wpisów tajnych lub menedżera kluczy. Należy również dodać nazwę połączenia. Bot używa tokenu na podstawie identyfikatora aplikacji i hasła w celu uzyskania dostępu do chronionych zasobów. Bot używa różnych tokenów na podstawie połączenia uwierzytelniania w celu uzyskania dostępu do chronionych zasobów użytkownika.
Uwierzytelnianie i autoryzacja bota
Poniżej przedstawiono główne kroki uwierzytelniania bota i autoryzowania go w celu uzyskania dostępu do chronionych zasobów użytkownika:
- Utwórz aplikację rejestracji kanału bota.
- Dodaj identyfikator aplikacji rejestracji i hasło do pliku konfiguracji bota. Dzięki temu bot może być uwierzytelniony w celu uzyskania dostępu do chronionych zasobów.
- Utwórz aplikację Microsoft Entra ID, aby wybrać dostawcę tożsamości w celu uwierzytelnienia użytkownika.
- Utwórz połączenie uwierzytelniania i dodaj je do ustawień rejestracji kanału.
- Dodaj nazwę połączenia do plików konfiguracji bota. Dzięki temu bot może być autoryzowany do uzyskiwania dostępu do chronionych zasobów użytkownika.
Aby uzyskać pełny przykład, zobacz Dodawanie uwierzytelniania do bota.
Najlepsze rozwiązania
- Utrzymuj rejestrację aplikacji Microsoft Entra ID ograniczoną do pierwotnego celu usługi dla aplikacji usługi.
- Utwórz dodatkową aplikację Microsoft Entra ID dla każdego użytkownika do uwierzytelniania w usłudze, aby uzyskać bardziej skończoną kontrolę nad wyłączaniem połączeń uwierzytelniania, rolowaniem wpisów tajnych lub ponownym użyciem aplikacji Microsoft Entra ID z innymi aplikacjami.
Niektóre problemy występujące, jeśli do uwierzytelniania używasz również aplikacji rejestracji identyfikatora Entra firmy Microsoft:
- Jeśli certyfikat dołączony do rejestracji aplikacji Microsoft Entra ID musi zostać odnowiony, będzie to miało wpływ na użytkowników uwierzytelnionych w innych usługach Microsoft Entra ID przy użyciu certyfikatu.
- Ogólnie rzecz biorąc, tworzy pojedynczy punkt awarii i kontroli dla wszystkich działań związanych z uwierzytelnianiem z botem.
Powiązane tematy
Poniższe artykuły zawierają szczegółowe informacje i przykłady dotyczące uwierzytelniania w ramach platformy Bot Framework. Zacznij od przyjrzenia się typom uwierzytelniania, a następnie dostawcom tożsamości.
Artykuł | opis |
---|---|
Typy uwierzytelniania | Opisuje dwa typy uwierzytelniania platformy Bot Framework i używane przez nich tokeny. |
Dostawcy tożsamości | Opisuje użycie dostawców tożsamości. Umożliwiają one tworzenie aplikacji, które bezpiecznie logują użytkowników przy użyciu standardowych protokołów branżowych, takich jak OAuth2.0. |
Uwierzytelnianie użytkowników | Opisuje uwierzytelnianie użytkownika i powiązany token, aby autoryzować bota do wykonywania zadań w imieniu użytkownika. |
Logowanie jednokrotne | Opisuje uwierzytelnianie pojedynczego użytkownika dla wielu chronionych zasobów. |
Rejestrowanie bota na platformie Azure | Pokazuje, jak zarejestrować bota w usłudze Azure AI Bot Service. |
Wytyczne dotyczące zabezpieczeń rozwiązania Bot Framework | Opisuje ogólne zabezpieczenia i dotyczy platformy Bot Framework. |
Dodawanie uwierzytelniania do bota | Pokazuje, jak utworzyć rejestrację kanału bota, utworzyć połączenie uwierzytelniania i przygotować kod. |
Dodawanie logowania jednokrotnego do bota | Przedstawia sposób dodawania uwierzytelniania logowania jednokrotnego do bota. |