Fornecedores de identidade

APLICA-SE A: SDK v4

Um provedor de identidade autentica identidades de usuário ou cliente e emite tokens de segurança consumíveis. Ele fornece autenticação de usuário como um serviço.

Aplicativos cliente, como aplicativos Web, delegam autenticação a um provedor de identidade confiável. Tais aplicativos cliente são ditos federados, ou seja, eles usam identidade federada. Para obter mais informações, consulte Padrão de identidade federada.

Usando um provedor de identidade confiável:

• Permite recursos de logon único (SSO), permitindo que um aplicativo acesse vários recursos protegidos.
• Facilita as conexões entre os recursos de computação em nuvem e os usuários, diminuindo a necessidade de reautenticação dos usuários.

Início de sessão único

O logon único refere-se a um processo de autenticação que permite que um usuário faça logon em um sistema uma vez com um único conjunto de credenciais para acessar vários aplicativos ou serviços.

Um utilizador inicia sessão com um único ID e palavra-passe para obter acesso a qualquer um dos vários sistemas de software relacionados. Para obter mais informações, consulte Logon único.

Muitos provedores de identidade oferecem suporte a uma operação de saída que revoga o token de usuário e encerra o acesso aos aplicativos e serviços associados.

Importante

O SSO melhora a usabilidade reduzindo o número de vezes que um usuário deve inserir credenciais. Ele também fornece melhor segurança, diminuindo a superfície de ataque potencial.

Provedor de identidade do Microsoft Entra ID

O Microsoft Entra ID é o serviço de identidade no Microsoft Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que você entre usuários com segurança usando protocolos padrão do setor, como OAuth2.0.

Você pode escolher entre duas implementações de provedor de identidade do Ative Directory, que têm configurações diferentes, conforme mostrado abaixo.

Nota

Use essas configurações ao definir as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure. Para obter mais informações, consulte Adicionar autenticação a um bot.

Microsoft Entra ID

A plataforma de identidade da Microsoft (v2.0) — também conhecida como ponto de extremidade Microsoft Entra ID — permite que um bot obtenha tokens para chamar APIs da Microsoft, como o Microsoft Graph ou outras APIs. A plataforma de identidade é uma evolução da plataforma Azure AD (v1.0). Para obter mais informações, consulte a visão geral da plataforma de identidade da Microsoft (v2.0).

Use as configurações do AD v2 abaixo para permitir que um bot acesse dados do Office 365 por meio da API do Microsoft Graph.

Propriedade	Descrição ou valor
Name	Um nome para essa conexão de provedor de identidade.
Prestador de Serviços	O provedor de identidade a ser usado. Selecione Microsoft Entra ID.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo de provedor de identidade do Azure.
Segredo do cliente	O segredo para seu aplicativo de provedor de identidade do Azure.
ID do Inquilino	Seu ID de diretório (locatário) ou common. Para obter mais informações, consulte a observação sobre IDs de locatário.
Âmbitos	Uma lista separada por espaços das permissões de API que você concedeu ao aplicativo do provedor de identidade Microsoft Entra ID, como openid, , profile, , User.ReadMail.ReadMail.Sende .User.ReadBasic.All
Token Exchange URL	Para um bot de habilidade habilitado para SSO, use a URL de troca de token associada à conexão OAuth, caso contrário, deixe isso vazio. Para obter informações sobre a URL de troca de token SSO, consulte Criar uma configuração de conexão OAuth.

Azure AD v1

Azure AD v1

Use as configurações mostradas abaixo para configurar a plataforma de desenvolvedor Microsoft Entra ID (v1.0), também conhecida como ponto de extremidade do Azure AD v1 . Isto permite-lhe criar aplicações que iniciam sessão em segurança com utilizadores com uma conta escolar ou profissional da Microsoft. Para obter mais informações, consulte Visão geral do Microsoft Entra ID para desenvolvedores (v1.0).

Propriedade	Descrição ou valor
Name	Um nome para essa conexão de provedor de identidade.
Prestador de Serviços	O provedor de identidade a ser usado. Selecione Microsoft Entra ID.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo de provedor de identidade do Azure.
Segredo do cliente	O segredo para seu aplicativo de provedor de identidade do Azure.
Tipo de subvenção	authorization_code
Login URL	https://login.microsoftonline.com
ID do Inquilino	Seu ID de diretório (locatário) ou common. Para obter mais informações, consulte a observação abaixo sobre IDs de locatário.
URL do Recurso	https://graph.microsoft.com/
Âmbitos	Deixe este campo vazio.
Token Exchange URL	Deixe este campo vazio.

Nota

Se você selecionou uma das seguintes opções, insira a ID do locatário que você registrou para o aplicativo do provedor de identidade Microsoft Entra ID :

• Contas somente neste diretório organizacional (somente Microsoft - Locatário único)
• Contas em qualquer diretório organizacional(diretório Microsoft AAD - Multilocatário)

Se você selecionou Contas em qualquer diretório organizacional (Qualquer diretório de ID do Microsoft Entra - Multilocatário e contas pessoais da Microsoft, por exemplo, Skype, Xbox, Outlook.com), digite common.

Caso contrário, o aplicativo do provedor de identidade Microsoft Entra ID usará o locatário para verificar a ID selecionada e excluir contas pessoais da Microsoft.

Para obter mais informações, consulte:

• Por que atualizar para a plataforma de identidade da Microsoft (v2.0)?
• Plataforma de identidade da Microsoft (Microsoft Entra ID para desenvolvedores).

Outros provedores de identidade

O Azure dá suporte a vários provedores de identidade. Você pode obter uma lista completa, juntamente com os detalhes relacionados, executando os seguintes comandos do console do Azure:

az login
az bot authsetting list-providers

Você também pode ver a lista desses provedores no portal do Azure ao definir as configurações de conexão OAuth para um aplicativo de registro de bot.

Provedores genéricos OAuth

O Azure dá suporte ao OAuth2 genérico, que permite que você use seu próprio provedor de identidade.

Você pode escolher entre duas implementações genéricas de provedor de identidade, que têm configurações diferentes, conforme mostrado abaixo.

Nota

Use as configurações descritas aqui ao configurar as Configurações de Conexão OAuth no aplicativo de registro de bot do Azure.

OAuth Genérico 2

Use esse provedor para configurar qualquer provedor de identidade OAuth2 genérico que tenha expectativas semelhantes às do provedor de ID do Microsoft Entra, particularmente o AD v2. Para esse tipo de conexão, as cadeias de caracteres de consulta e as cargas úteis do corpo da solicitação são fixas.

Propriedade	Descrição ou valor
Name	Um nome para essa conexão de provedor de identidade.
Prestador de Serviços	O provedor de identidade a ser usado. Selecione Oauth Genérico 2.
ID do cliente	Seu ID de cliente obtido do provedor de identidade.
Segredo do cliente	O segredo do seu cliente foi obtido a partir do registo do fornecedor de identidade.
URL de autorização	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Atualizar URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Token Exchange URL	Deixe este campo vazio.
Âmbitos	Uma lista separada por vírgulas das permissões de API que você concedeu ao aplicativo do provedor de identidade.

OAuth 2 Provedor Genérico

Este provedor requer mais parâmetros de configuração, portanto, use esta versão para configurar qualquer provedor de serviços OAuth 2 genérico quando precisar de mais flexibilidade. Com essa configuração, você especifica os modelos de URL, os modelos de cadeia de caracteres de consulta e os modelos de corpo para autorização, atualização e conversão de token.

Propriedade	Descrição ou valor
Name	Um nome para essa conexão de provedor de identidade.
Prestador de Serviços	O provedor de identidade a ser usado. Selecione Oauth 2 Generic Provider.
ID do cliente	Seu ID de cliente obtido do provedor de identidade.
Segredo do cliente	O segredo do seu cliente foi obtido a partir do registo do fornecedor de identidade.
Delimitador de lista de escopo	O caractere separador para a lista de escopo. Espaços vazios ( ) não são suportados neste campo, mas podem ser usados no campo Escopos, se exigido pelo provedor de identidade. Nesse caso, use uma vírgula (,) para este campo e espaços ( ) no campo Escopos .
Modelo de URL de autorização	Um modelo de URL para autorização, definido pelo seu provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Modelo de Cadeia de Caracteres de Consulta de URL de Autorização	Um modelo de consulta para autorização, fornecido pelo seu provedor de identidade. As chaves no modelo de cadeia de caracteres de consulta variam dependendo do provedor de identidade. Por exemplo, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Modelo de URL de token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modelo de cadeia de caracteres de consulta de URL de token	O separador de cadeia de caracteres de consulta para a URL do token. Geralmente um ponto de interrogação (?).
Modelo de corpo de token	Um modelo para o corpo do token. Por exemplo, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Atualizar modelo de URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Atualizar modelo de cadeia de caracteres de consulta de URL	Um separador de cadeia de caracteres de consulta de URL de atualização para a URL do token. Geralmente um ponto de interrogação (?).
Atualizar modelo de corpo	Um modelo para o corpo de atualização. Por exemplo, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Token Exchange URL	Deixe este campo vazio.
Âmbitos	Lista de escopos que você deseja que os usuários autenticados tenham uma vez conectados. Certifique-se de que está apenas a definir os âmbitos necessários e siga o princípio de controlo de acesso com privilégios mínimos. Por exemplo, User.Read. Se você estiver usando um escopo personalizado, use o URI completo, incluindo o URI de ID do aplicativo exposto.

Próximos passos

Proxy de provedores de identidade