Uwierzytelnianie jednodostępne i wielodostępne dla użytkowników platformy Microsoft 365

Ten artykuł zawiera szczegółowe informacje na temat procesu uwierzytelniania dla aplikacji z jedną dzierżawą i wieloma dzierżawami, microsoft Entra ID (Microsoft Entra ID ). Uwierzytelnianie można użyć podczas tworzenia środowisk wywołujących dla użytkowników platformy Microsoft 365 za pomocą zestawu SDK (Calling software development kit ), który udostępnia usługa Azure Communication Services . Przypadki użycia w tym artykule również rozdzielają poszczególne artefakty uwierzytelniania.

Przypadek 1: Przykład aplikacji z jedną dzierżawą

Firma Fabrikam utworzyła aplikację do użytku wewnętrznego. Wszyscy użytkownicy aplikacji mają identyfikator Entra firmy Microsoft. Dostęp do usług Azure Communication Services jest kontrolowany przez kontrolę dostępu na podstawie ról (RBAC) platformy Azure.

Poniższy diagram sekwencji zawiera szczegóły uwierzytelniania jednodostępnego.

Przed rozpoczęciem:

• Alicja lub jej administrator Firmy Microsoft Entra musi wyrazić zgodę na niestandardową aplikację Teams przed pierwszą próbą zalogowania się. Dowiedz się więcej na temat zgody.
• Administrator zasobów usług Azure Communication Services musi udzielić Alicji uprawnień do wykonywania swojej roli. Dowiedz się więcej o przypisaniu roli RBAC platformy Azure.

Kroki:

1. Uwierzytelnianie Alicji przy użyciu identyfikatora Entra firmy Microsoft: Alicja jest uwierzytelniana przy użyciu standardowego przepływu OAuth z biblioteką Microsoft Authentication Library (MSAL). Jeśli uwierzytelnianie zakończy się pomyślnie, aplikacja kliencka otrzyma token dostępu firmy Microsoft Entra z wartością A1 i identyfikatorem obiektu użytkownika microsoft Entra o wartości A2. Tokeny zostały opisane w dalszej części tego artykułu. Uwierzytelnianie z perspektywy dewelopera jest eksplorowane w tym przewodniku Szybki start.
2. Uzyskiwanie tokenu dostępu dla Alicji: aplikacja Fabrikam przy użyciu niestandardowego artefaktu uwierzytelniania z wartością B wykonuje logikę autoryzacji, aby zdecydować, czy Alicja ma uprawnienia do wymiany tokenu dostępu usługi Microsoft Entra dla tokenu dostępu usług Azure Communication Services. Po pomyślnym uwierzytelnieniu aplikacja Fabrikam wykonuje logikę płaszczyzny sterowania przy użyciu artefaktów A1, A2i A3. Token D dostępu usług Azure Communication Services jest generowany dla Alice w aplikacji Fabrikam. Ten token dostępu może służyć do akcji płaszczyzny danych w usługach Azure Communication Services, takich jak wywoływanie. Artefakty A2 i A3 są przekazywane wraz z artefaktem A1 na potrzeby walidacji. Weryfikacja zapewnia, że token entra firmy Microsoft został wystawiony oczekiwanemu użytkownikowi. Aplikacja uniemożliwia osobom atakującym korzystanie z tokenów dostępu firmy Microsoft wystawionych dla innych aplikacji lub innych użytkowników. Aby uzyskać więcej informacji na temat pobierania A artefaktów, zobacz Odbieranie tokenu użytkownika i identyfikatora obiektu entra firmy Microsoft za pośrednictwem biblioteki MSAL i Uzyskiwanie identyfikatora aplikacji.
3. Zadzwoń do Boba: Alice wykonuje wywołanie użytkownika platformy Microsoft 365 Bob z aplikacją firmy Fabrikam. Wywołanie odbywa się za pośrednictwem zestawu SDK wywołującego z tokenem dostępu usług Azure Communication Services. Dowiedz się więcej o tworzeniu aplikacji dla użytkowników platformy Microsoft 365.

Artefakty:

• Artefakt A1
  • Typ: Token dostępu firmy Microsoft Entra
  • Odbiorcy: Azure Communication Services, płaszczyzna sterowania
  • Źródło: dzierżawa firmy Microsoft Entra firmy Fabrikam
  • Uprawnienia: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artefakt A2
  • Typ: identyfikator obiektu użytkownika entra firmy Microsoft
  • Źródło: dzierżawa firmy Microsoft Entra firmy Fabrikam
  • Organ: https://login.microsoftonline.com/<tenant>/
• Artefakt A3
  • Typ: Identyfikator aplikacji Entra firmy Microsoft
  • Źródło: dzierżawa firmy Microsoft Entra firmy Fabrikam
• Artefakt B
  • Typ: Niestandardowy artefakt autoryzacji Fabrikam (wystawiony przez identyfikator Firmy Microsoft Entra lub inną usługę autoryzacji)
• Artefakt C
  • Typ: artefakt autoryzacji zasobów usług Azure Communication Services.
  • Źródło: nagłówek HTTP "Autoryzacja" z tokenem elementu nośnego dla uwierzytelniania entra firmy Microsoft lub ładunkiem kodu uwierzytelniania komunikatów opartym na skrótach (HMAC) i podpisem uwierzytelniania opartego na kluczach dostępu.
• Artefakt D
  • Typ: token dostępu usług Azure Communication Services
  • Odbiorcy: Azure Communication Services, płaszczyzna danych
  • Identyfikator zasobu usług Azure Communication Services: Fabrikam Azure Communication Services Resource ID

Przypadek 2: przykład aplikacji wielodostępnej

Firma Contoso utworzyła aplikację dla klientów zewnętrznych. Ta aplikacja używa uwierzytelniania niestandardowego w ramach własnej infrastruktury firmy Contoso. Firma Contoso używa parametry połączenia do pobierania tokenów z aplikacji firmy Fabrikam.

Poniższy diagram sekwencji zawiera szczegółowe informacje o uwierzytelnianiu wielodostępnym.

Przed rozpoczęciem:

• Alicja lub jej administrator Firmy Microsoft Entra musi wyrazić zgodę na aplikację Firmy Microsoft Entra firmy Contoso przed pierwszą próbą zalogowania się. Dowiedz się więcej na temat zgody.

Kroki:

1. Uwierzytelnianie Alicji przy użyciu aplikacji Fabrikam: Alicja jest uwierzytelniana za pośrednictwem aplikacji firmy Fabrikam. Używany jest standardowy przepływ OAuth z biblioteką Microsoft Authentication Library (MSAL). Upewnij się, że skonfigurowano bibliotekę MSAL z prawidłowym urzędem. Jeśli uwierzytelnianie zakończy się pomyślnie, aplikacja kliencka Firmy Contoso otrzyma token dostępu firmy Microsoft Entra z wartością A1 i identyfikatorem obiektu użytkownika Microsoft Entra o wartości A2. Szczegóły tokenu zostały opisane poniżej. Uwierzytelnianie z perspektywy dewelopera jest eksplorowane w tym przewodniku Szybki start.
2. Uzyskiwanie tokenu dostępu dla Alicji: aplikacja Contoso przy użyciu niestandardowego artefaktu uwierzytelniania z wartością B wykonuje logikę autoryzacji, aby zdecydować, czy Alicja ma uprawnienia do wymiany tokenu dostępu usługi Microsoft Entra dla tokenu dostępu usług Azure Communication Services. Po pomyślnej autoryzacji aplikacja Contoso wykonuje logikę płaszczyzny sterowania przy użyciu artefaktów A1, A2i A3. Token D dostępu usług Azure Communication Services jest generowany dla Alicji w aplikacji firmy Contoso. Ten token dostępu może służyć do akcji płaszczyzny danych w usługach Azure Communication Services, takich jak wywoływanie. Artefakty A2 i A3 są przekazywane wraz z artefaktem A1. Weryfikacja zapewnia, że token entra firmy Microsoft został wystawiony oczekiwanemu użytkownikowi. Aplikacja uniemożliwia osobom atakującym korzystanie z tokenów dostępu firmy Microsoft wystawionych dla innych aplikacji lub innych użytkowników. Aby uzyskać więcej informacji na temat pobierania A artefaktów, zobacz Odbieranie tokenu użytkownika i identyfikatora obiektu entra firmy Microsoft za pośrednictwem biblioteki MSAL i Uzyskiwanie identyfikatora aplikacji.
3. Zadzwoń do Boba: Alice wykonuje wywołanie użytkownika platformy Microsoft 365 Bob z aplikacją firmy Fabrikam. Wywołanie odbywa się za pośrednictwem zestawu SDK wywołującego z tokenem dostępu usług Azure Communication Services. Dowiedz się więcej na temat tworzenia aplikacji dla użytkowników platformy Microsoft 365 w tym przewodniku Szybki start.

Artefakty:

• Artefakt A1
  • Typ: Token dostępu firmy Microsoft Entra
  • Odbiorcy: Azure Communication Services, płaszczyzna sterowania
  • Źródło: Dzierżawa firmy Microsoft Entra rejestracji aplikacji firmy Contoso
  • Uprawnienie: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artefakt A2
  • Typ: identyfikator obiektu użytkownika entra firmy Microsoft
  • Źródło: dzierżawa firmy Microsoft Entra firmy Fabrikam
  • Urząd: https://login.microsoftonline.com/<tenant>/ lub https://login.microsoftonline.com/organizations/ (na podstawie scenariusza )
• Artefakt A3
  • Typ: Identyfikator aplikacji Entra firmy Microsoft
  • Źródło: Dzierżawa firmy Microsoft Entra rejestracji aplikacji firmy Contoso
• Artefakt B
  • Typ: Niestandardowy artefakt autoryzacji firmy Contoso (wystawiony przez identyfikator Entra firmy Microsoft lub inną usługę autoryzacji)
• Artefakt C
  • Typ: artefakt autoryzacji zasobów usług Azure Communication Services.
  • Źródło: nagłówek HTTP autoryzacji z tokenem elementu nośnego dla uwierzytelniania entra firmy Microsoft lub ładunkiem kodu uwierzytelniania komunikatów opartym na skrótach (HMAC) i podpisem uwierzytelniania opartego na kluczach dostępu
• Artefakt D
  • Typ: token dostępu usług Azure Communication Services
  • Odbiorcy: Azure Communication Services, płaszczyzna danych
  • Identyfikator zasobu usług Azure Communication Services: contoso Azure Communication Services Resource ID

Następne kroki

• Dowiedz się więcej o uwierzytelnianiu.
• Wypróbuj ten przewodnik Szybki start, aby uwierzytelnić użytkowników platformy Microsoft 365.
• Wypróbuj ten przewodnik Szybki start, aby wywołać użytkownika platformy Microsoft 365.

Następujące przykładowe aplikacje mogą cię zainteresować:

• Wypróbuj przykładową aplikację, która prezentuje proces uzyskiwania tokenów dostępu usług Azure Communication Services dla użytkowników platformy Microsoft 365 w aplikacjach mobilnych i klasycznych.

• Aby zobaczyć, jak tokeny dostępu usług Azure Communication Services dla użytkowników platformy Microsoft 365 są uzyskiwane w aplikacji jednostronicowej, zapoznaj się z przykładową aplikacją SPA.

• Aby dowiedzieć się więcej na temat implementacji serwera usługi uwierzytelniania dla usług Azure Communication Services, zapoznaj się z przykładowym elementem hero usługi uwierzytelniania.