Provedores de identidade

APLICA-SE A: SDK v4

Um provedor de identidade autentica as identidades do usuário ou do cliente e emite tokens de segurança consumíveis. Ele fornece autenticação de usuário como um serviço.

Os aplicativos cliente, como aplicativos Web, delegam a autenticação a um provedor de identidade confiável. Dizem que esses aplicativos cliente são federados, ou seja, usam identidade federada. Para obter mais informações, consulte o padrão de Identidade Federada.

Usando um provedor de identidade confiável:

• Habilita recursos de SSO (logon único), permitindo que um aplicativo acesse vários recursos protegidos.
• Facilita as conexões entre recursos de computação em nuvem e usuários, diminuindo a necessidade de os usuários se reautenticarem.

Logon único

O logon único refere-se a um processo de autenticação que permite que um usuário faça logon em um sistema uma vez com um único conjunto de credenciais para acessar vários aplicativos ou serviços.

Um usuário faz logon com uma única ID e senha para obter acesso a qualquer um dos vários sistemas de software relacionados. Para obter mais informações, consulte Logon único.

Muitos provedores de identidade dão suporte a uma operação de saída que revoga o token de usuário e encerra o acesso aos aplicativos e serviços associados.

Importante

O SSO aumenta a usabilidade reduzindo o número de vezes que um usuário deve inserir credenciais. Ele também fornece melhor segurança diminuindo a superfície de ataque potencial.

Provedor de identidade do Microsoft Entra ID

O Microsoft Entra ID é o serviço de identidade no Microsoft Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que você faça login de usuários com segurança usando protocolos padrão do setor, como OAuth2.0.

Você pode escolher entre duas implementações do provedor de identidade do Active Directory, que têm configurações diferentes, conforme mostrado abaixo.

Observação

Use essas configurações ao definir as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure. Para obter mais informações, consulte Adicionar autenticação a um bot.

Microsoft Entra ID

A plataforma de identidade da Microsoft (v2.0), também conhecida como endpoint de identidade do Microsoft Entra, permite que um bot obtenha tokens para chamar APIs da Microsoft, como Microsoft Graph ou outras. A plataforma de identidade é uma evolução da plataforma do Azure AD (v1.0). Para obter mais informações, confira a Visão geral da plataforma de identidade da Microsoft (v2.0).

Use as configurações do AD v2 abaixo para habilitar um bot para acessar dados do Office 365 por meio da API do Microsoft Graph.

Propriedade	Descrição ou valor
Nome	Um nome para essa conexão de provedor de identidade.
Fornecedor de serviços	O provedor de identidade que será utilizado. Selecione Microsoft Entra ID.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo do provedor de identidade do Azure.
Segredo do cliente	O segredo do aplicativo do provedor de identidade do Azure.
ID do locatário	Sua ID de diretório (locatário) ou common. Para obter mais informações, consulte a nota sobre IDs de locatário.
Escopos	Uma lista separada por espaço das permissões de API que você concedeu ao aplicativo do provedor de identidade do Microsoft Entra ID, como openid, profile, Mail.Read, Mail.Send, User.Read e User.ReadBasic.All.
Token Exchange URL	Para um bot de habilidade habilitado para SSO , use a URL de troca de token associada à conexão OAuth; caso contrário, deixe isso vazio. Para obter informações sobre a URL de troca de token SSO, consulte Criar uma configuração de conexão OAuth.

Azure AD v1

Azure AD v1

Use as configurações mostradas abaixo para configurar a plataforma de desenvolvimento Microsoft Entra ID (v1.0), também conhecida como endpoint Azure AD v1. Isso permite que você crie aplicativos que conectem usuários com segurança com uma conta corporativa ou de estudante da Microsoft. Para obter mais informações, consulte a visão geral da ID do Microsoft Entra para desenvolvedores (v1.0).

Propriedade	Descrição ou valor
Nome	Um nome para essa conexão de provedor de identidade.
Fornecedor de serviços	O provedor de identidade que será utilizado. Selecione Microsoft Entra ID.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo do provedor de identidade do Azure.
Segredo do cliente	O segredo do aplicativo do provedor de identidade do Azure.
Tipo de concessão	authorization_code
URL de logon	https://login.microsoftonline.com
ID do locatário	Sua ID de diretório (locatário) ou common. Para obter mais informações, consulte a observação abaixo sobre IDs de locatário.
URL do recurso	https://graph.microsoft.com/
Escopos	Deixe isso vazio.
Token Exchange URL	Deixe isso vazio.

Observação

Se você selecionou um dos seguintes, insira a ID do locatário que você registrou para o aplicativo do provedor de identidade do Microsoft Entra ID:

• Contas exclusivamente neste diretório organizacional (somente Microsoft – inquilino único)
• Contas em qualquer diretório organizacional (Diretório do Microsoft AAD – Multilocatário)

Se você selecionou Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra ID – contas Microsoft multilocatário e pessoais, por exemplo, Skype, Xbox, Outlook.com), insira common.

Caso contrário, o aplicativo do provedor de identidade Microsoft Entra ID usará o tenant para verificar a ID selecionada e para excluir contas pessoais da Microsoft.

Para obter mais informações, consulte:

• Por que atualizar para a plataforma de identidade da Microsoft (v2.0)?
• Plataforma de identidade da Microsoft (ID do Microsoft Entra para desenvolvedores).

Outros provedores de identidade

O Azure dá suporte a vários provedores de identidade. Você pode obter uma lista completa, juntamente com os detalhes relacionados, executando os seguintes comandos de console do Azure:

az login
az bot authsetting list-providers

Você também pode ver a lista desses provedores no portal do Azure ao definir as configurações de conexão OAuth para um aplicativo de registro de bot.

Provedores genéricos OAuth

O Azure dá suporte ao OAuth2 genérico, que permite que você use seu próprio provedor de identidade.

Você pode escolher entre duas implementações genéricas do provedor de identidade, que têm configurações diferentes, conforme mostrado abaixo.

Observação

Use as configurações descritas aqui ao definir as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure.

OAuth 2 genérico

Use esse provedor para configurar qualquer provedor de identidade OAuth2 genérico que tenha expectativas semelhantes às do provedor de ID do Microsoft Entra, especialmente o AD v2. Para esse tipo de conexão, as cadeias de caracteres de consulta e o conteúdo do corpo da solicitação são fixos.

Propriedade	Descrição ou valor
Nome	Um nome para essa conexão de provedor de identidade.
Fornecedor de serviços	O provedor de identidade que será utilizado. Selecione Oauth 2 Genérico.
ID do cliente	Sua identificação de cliente obtida do provedor de identidade.
Segredo do cliente	O segredo do cliente obtido do registro do provedor de identidade.
URL de Autorização	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL do Token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Atualizar URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Token Exchange URL	Deixe isso vazio.
Escopos	Uma lista separada por vírgulas das permissões de API que você concedeu ao aplicativo do provedor de identidade.

Provedor genérico OAuth 2

Esse provedor requer mais parâmetros de configuração, portanto, use essa versão para configurar qualquer provedor de serviços OAuth 2 genérico quando você precisar de mais flexibilidade. Com essa configuração, você especifica os modelos de URL, os modelos de cadeia de caracteres de consulta e os modelos de corpo para autorização, atualização e conversão de token.

Propriedade	Descrição ou valor
Nome	Um nome para essa conexão de provedor de identidade.
Fornecedor de serviços	O provedor de identidade que será utilizado. Selecione Oauth 2 Generic Provider.
ID do cliente	Sua identificação de cliente obtida do provedor de identidade.
Segredo do cliente	O segredo do cliente obtido do registro do provedor de identidade.
Delimitador de lista de escopo	O caractere separador da lista de escopos. Não há suporte para espaços vazios ( ) nesse campo, mas podem ser usados no campo Escopos , se necessário, pelo provedor de identidade. Nesse caso, use uma vírgula (,) neste campo e espaços ( ) no campo Escopos.
Modelo de URL de autorização	Um modelo de URL para autorização, definido pelo provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Modelo de parâmetros de consulta de URL de autorização	Um modelo de consulta para autorização, fornecido pelo provedor de identidade. As chaves no modelo de cadeia de caracteres de consulta variarão dependendo do provedor de identidade. Por exemplo, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Modelo de URL de token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modelo de cadeia de caracteres de consulta de URL de token	O separador de cadeia de caracteres de consulta para a URL do token. Geralmente um ponto de interrogação (?).
Modelo de corpo de token	Um modelo para a estrutura do token. Por exemplo, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Atualizar modelo de URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Atualizar modelo de cadeia de caracteres de consulta de URL	Um separador da string de consulta de URL para atualização da URL do token. Geralmente um ponto de interrogação (?).
Atualizar modelo de corpo	Um modelo para a seção de atualização. Por exemplo, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Token Exchange URL	Deixe isso vazio.
Escopos	Lista de escopos que você deseja que os usuários autenticados tenham uma vez conectados. Verifique se você está definindo apenas os escopos necessários e siga o princípio de controle de acesso de privilégios mínimos. Por exemplo, User.Read. Se você estiver usando um escopo personalizado, use o URI completo, incluindo o URI da ID do aplicativo exposto.

Próximas etapas

Proxy de provedores de identidade