Compartilhar via


Provedores de identidade

APLICA-SE A: SDK v4

Um provedor de identidade autentica as identidades do usuário ou do cliente e emite tokens de segurança consumíveis. Ele fornece autenticação de usuário como um serviço.

Os aplicativos cliente, como aplicativos Web, delegam a autenticação a um provedor de identidade confiável. Esses aplicativos cliente são considerados federados, ou seja, usam identidade federada. Para obter mais informações, confira Padrão de identidade federada.

O uso de um provedor de identidade confiável:

  • Habilita recursos de SSO (logon único), permitindo que um aplicativo acesse vários recursos protegidos.
  • Facilita conexões entre recursos de computação em nuvem e usuários, diminuindo a necessidade de autenticar os usuários novamente.

Logon único

O logon único refere-se a um processo de autenticação que permite que um usuário faça logon em um sistema uma vez com um único conjunto de credenciais para acessar vários aplicativos ou serviços.

Um usuário faz logon com uma única ID e senha para obter acesso a qualquer um dos vários sistemas de software relacionados. Para obter mais informações, confira Logon único.

Muitos provedores de identidade dão suporte a uma operação de saída que revoga o token do usuário e encerra o acesso aos aplicativos e serviços associados.

Importante

O SSO aprimora a usabilidade reduzindo o número de vezes que um usuário deve inserir as credenciais. Ele também fornece maior segurança reduzindo a possível superfície de ataque.

Provedor de identidade do Microsoft Entra ID

O Microsoft Entra ID é um serviço de identidade no Microsoft Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que você conecte usuários com segurança usando protocolos padrão do setor, como OAuth2.0.

Você pode escolher entre duas implementações do provedor de identidade do Active Directory que têm configurações diferentes, conforme mostrado abaixo.

Observação

Use essas configurações ao definir as configurações de conexão do OAuth no aplicativo de registro de bot do Azure. Para obter mais informações, confira Adicionar autenticação ao bot.

A plataforma de identidade da Microsoft (v2.0), que também é conhecida como ponto de extremidade do Microsoft Entra ID, permite que um bot obtenha tokens para chamar APIs da Microsoft, como o Microsoft Graph ou outras APIs. A plataforma de identidade é uma evolução da plataforma Azure AD (v1.0). Para obter mais informações, confira a Visão geral da plataforma de identidade da Microsoft (v2.0).

Use as configurações do AD v2 a seguir para permitir que um bot acesse dados do Office 365 por meio da API do Microsoft Graph.

Propriedade Descrição ou valor
Nome Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço O provedor de identidade a ser usado. Selecione ID do Microsoft Entra.
ID do cliente A ID do aplicativo (cliente) para seu aplicativo do provedor de identidade do Azure.
Segredo do cliente O segredo do seu aplicativo de provedor de identidade do Azure.
ID do locatário A ID do seu diretório (locatário) ou common. Para obter mais informações, confira a observação sobre as IDs de locatário.
Escopos Uma lista separada por espaço das permissões de API que você concedeu ao aplicativo do provedor de identidade do Microsoft Entra ID, como openid, profile, Mail.Read, Mail.Send, User.Read e User.ReadBasic.All.
URL de Troca de Token Para um bot de habilidade habilitado para SSO, use a URL de troca de token associada à conexão OAuth, caso contrário, deixe isso vazio. Para obter informações sobre a URL de troca de token do SSO, confira Criar configurações de conexão do OAuth.

Observação

Caso tenha selecionado uma das opções a seguir, insira a ID do locatário registrada para o aplicativo do provedor de identidade do Microsoft Entra ID:

  • Somente contas neste diretório organizacional (somente Microsoft – locatário único)
  • Contas em qualquer diretório organizacional (diretório do Microsoft AAD – multilocatário)

Caso tenha selecionado Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra ID, ou seja, contas multilocatárias e pessoais da Microsoft, por exemplo, Skype, Xbox, Outlook.com), insira common.

Caso contrário, o aplicativo do provedor de identidade do Microsoft Entra ID usará o locatário para verificar a ID selecionada e excluir contas pessoais da Microsoft.

Para saber mais, veja:

Outros provedores de identidade

O Azure é compatível com vários provedores de identidade. Você pode obter uma lista completa, juntamente com os detalhes relacionados, ao executar os seguintes comandos do console do Azure:

az login
az bot authsetting list-providers

Você também pode ver a lista desses provedores no portal do Azure ao definir as configurações de conexão OAuth para um aplicativo de registro de bot.

Azure identity providers

Provedores de OAuth genéricos

O Azure é compatível com OAuth2 genérico, que permite que você use seu próprio provedor de identidade.

Você pode escolher entre duas implementações do provedor de identidade genérico que têm configurações diferentes, conforme mostrado a seguir.

Observação

Use as configurações descritas aqui ao definir as Configurações de Conexão OAuth no aplicativo de registro do bot do Azure.

Use esse provedor para configurar qualquer provedor de identidade genérico do OAuth2 que tenha expectativas semelhantes às do provedor do Microsoft Entra ID, especialmente o AD v2. Para esse tipo de conexão, as sequências de consulta e os payloads do corpo da solicitação são fixos.

Propriedade Descrição ou valor
Nome Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço O provedor de identidade a ser usado. Selecione Oauth 2 genérico.
ID do cliente ID do cliente obtida do provedor de identidade.
Segredo do cliente Segredo do cliente obtido do registro de provedor de identidade.
URL de Autorização https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL do Token https://login.microsoftonline.com/common/oauth2/v2.0/token
URL de Atualização https://login.microsoftonline.com/common/oauth2/v2.0/token
URL de Troca de Token Deixe esse campo vazio.
Escopos Lista separada por vírgulas das permissões de API que você concedeu ao aplicativo do provedor de identidade.

Próximas etapas