Udostępnij za pośrednictwem


Dostawcy tożsamości

DOTYCZY: ZESTAW SDK w wersji 4

Dostawca tożsamości uwierzytelnia tożsamości użytkowników lub klientów i wystawia eksploatacyjne tokeny zabezpieczające. Zapewnia uwierzytelnianie użytkownika jako usługę.

Aplikacje klienckie, takie jak aplikacje internetowe, deleguj uwierzytelnianie do zaufanego dostawcy tożsamości. Mówi się, że takie aplikacje klienckie są federacyjne, czyli używają tożsamości federacyjnej. Aby uzyskać więcej informacji, zobacz Wzorzec tożsamości federacyjnej.

Korzystanie z zaufanego dostawcy tożsamości:

  • Włącza funkcje logowania jednokrotnego (SSO), dzięki czemu aplikacja może uzyskiwać dostęp do wielu zabezpieczonych zasobów.
  • Ułatwia nawiązywanie połączeń między zasobami przetwarzania w chmurze a użytkownikami, co zmniejsza potrzebę ponownego uwierzytelnienia użytkowników.

Logowanie jednokrotne

Logowanie jednokrotne odnosi się do procesu uwierzytelniania, który umożliwia użytkownikowi logowanie się do systemu raz przy użyciu jednego zestawu poświadczeń w celu uzyskania dostępu do wielu aplikacji lub usług.

Użytkownik loguje się przy użyciu jednego identyfikatora i hasła, aby uzyskać dostęp do dowolnego z kilku powiązanych systemów oprogramowania. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne.

Wielu dostawców tożsamości obsługuje operację wylogowywanie, która odwołuje token użytkownika i przerywa dostęp do skojarzonych aplikacji i usług.

Ważne

Logowanie jednokrotne zwiększa użyteczność, zmniejszając liczbę prób wprowadzenia poświadczeń przez użytkownika. Zapewnia również lepsze zabezpieczenia dzięki zmniejszeniu potencjalnego obszaru ataków.

Dostawca tożsamości Entra ID firmy Microsoft

Microsoft Entra ID to usługa tożsamości na platformie Microsoft Azure, która zapewnia funkcje zarządzania tożsamościami i kontroli dostępu. Umożliwia bezpieczne logowanie użytkowników przy użyciu standardowych protokołów branżowych, takich jak OAuth2.0.

Możesz wybrać jedną z dwóch implementacji dostawcy tożsamości usługi Active Directory, które mają różne ustawienia, jak pokazano poniżej.

Uwaga

Użyj tych ustawień podczas konfigurowania Ustawienia protokołu OAuth Połączenie ion w aplikacji rejestracji bota platformy Azure. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania do bota.

Platforma tożsamości Microsoft (wersja 2.0) — znany również jako punkt końcowy identyfikatora entra firmy Microsoft — umożliwia botowi uzyskiwanie tokenów w celu wywoływania interfejsów API firmy Microsoft, takich jak Microsoft Graph lub inne interfejsy API. Platforma tożsamości stanowi ewolucję platformy Azure AD (wersja 1.0). Aby uzyskać więcej informacji, zobacz omówienie Platforma tożsamości Microsoft (wersja 2.0).

Użyj poniższych ustawień usługi AD w wersji 2, aby umożliwić botowi dostęp do danych usługi Office 365 za pośrednictwem interfejsu API programu Microsoft Graph.

Właściwości Opis lub wartość
Nazwa/nazwisko Nazwa tego połączenia dostawcy tożsamości.
Usługodawca Dostawca tożsamości do użycia. Wybierz pozycję Microsoft Entra ID.
Identyfikator klienta Identyfikator aplikacji (klienta) dla aplikacji dostawcy tożsamości platformy Azure.
Klucz tajny klienta Wpis tajny aplikacji dostawcy tożsamości platformy Azure.
Identyfikator dzierżawy Identyfikator katalogu (dzierżawy) lub common. Aby uzyskać więcej informacji, zobacz notatkę dotyczącą identyfikatorów dzierżawy.
Zakresy Rozdzielona spacjami lista uprawnień interfejsu API, którym przyznano aplikację dostawcy tożsamości Microsoft Entra ID, taką jak openid, , profileMail.Read, Mail.Send, User.Readi User.ReadBasic.All.
Adres URL wymiany tokenów W przypadku bota umiejętności z obsługą logowania jednokrotnego użyj adresu URL wymiany tokenów skojarzonego z połączeniem OAuth. W przeciwnym razie pozostaw ten pusty adres URL. Aby uzyskać informacje o adresie URL wymiany tokenów logowania jednokrotnego, zobacz Tworzenie ustawień połączenia OAuth.

Uwaga

Jeśli wybrano jedną z następujących opcji, wprowadź identyfikator dzierżawy zarejestrowany dla aplikacji dostawcy tożsamości Microsoft Entra ID:

  • Konta tylko w tym katalogu organizacyjnym (tylko firma Microsoft — pojedyncza dzierżawa)
  • Konta w dowolnym katalogu organizacyjnym (katalog usługi Microsoft AAD — wiele dzierżaw)

Jeśli wybrano pozycję Konta w dowolnym katalogu organizacyjnym (Dowolny katalog Microsoft Entra ID — wiele dzierżaw i osobistych kont Microsoft, np. Skype, Xbox, Outlook.com), wprowadź .common

W przeciwnym razie aplikacja dostawcy tożsamości Microsoft Entra ID będzie używać dzierżawy do weryfikowania wybranego identyfikatora i wykluczania osobistych kont Microsoft.

Aby uzyskać więcej informacji, zobacz:

Inni dostawcy tożsamości

pomoc techniczna platformy Azure kilku dostawców tożsamości. Pełną listę wraz z powiązanymi szczegółami można uzyskać, uruchamiając następujące polecenia konsoli platformy Azure:

az login
az bot authsetting list-providers

Listę tych dostawców można również wyświetlić w witrynie Azure Portal podczas definiowania ustawień połączenia OAuth dla aplikacji rejestracji bota.

Azure identity providers

Dostawcy ogólnego protokołu OAuth

pomoc techniczna platformy Azure ogólnego protokołu OAuth2, który umożliwia korzystanie z własnego dostawcy tożsamości.

Możesz wybrać jedną z dwóch ogólnych implementacji dostawcy tożsamości, które mają różne ustawienia, jak pokazano poniżej.

Uwaga

Użyj ustawień opisanych tutaj podczas konfigurowania Ustawienia protokołu OAuth Połączenie ion w aplikacji rejestracji bota platformy Azure.

Użyj tego dostawcy, aby skonfigurować dowolnego ogólnego dostawcę tożsamości OAuth2, który ma podobne oczekiwania co dostawca identyfikatora Entra firmy Microsoft, szczególnie usługi AD w wersji 2. W przypadku tego typu połączenia parametry zapytania i ładunki treści żądania są stałe.

Właściwości Opis lub wartość
Nazwa/nazwisko Nazwa tego połączenia dostawcy tożsamości.
Usługodawca Dostawca tożsamości do użycia. Wybierz pozycję Ogólne Oauth 2.
Identyfikator klienta Identyfikator klienta uzyskany od dostawcy tożsamości.
Klucz tajny klienta Klucz tajny klienta uzyskany z rejestracji dostawcy tożsamości.
Adres URL autoryzacji https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Adres URL tokenu https://login.microsoftonline.com/common/oauth2/v2.0/token
Odśwież adres URL https://login.microsoftonline.com/common/oauth2/v2.0/token
Adres URL wymiany tokenów Pozostaw puste.
Zakresy Rozdzielona przecinkami lista uprawnień interfejsu API udzielonych aplikacji dostawcy tożsamości.

Następne kroki