Настройка приложения в Microsoft Entra ID

Идентификатор Microsoft Entra предоставляет пользователям приложения доступ к боту или приложению расширения сообщений. Пользователю приложения, выполнившему вход в Teams, можно предоставить доступ к вашему приложению.

Настройка единого входа в Центре администрирования Microsoft Entra

Бот и приложения расширения сообщений используют Bot Framework для общения с пользователями приложений и реализации проверки подлинности.

Чтобы настроить единый вход для бота или приложения расширения сообщений, вам потребуется:

• Настройка ресурса бота в Microsoft Entra ID
• Настройка приложения в Microsoft Entra ID

Примечание.

Убедитесь, что вы создали приложение и ресурс бота в идентификаторе Microsoft Entra.

• Дополнительные сведения о создании приложения в Microsoft Entra ID см. в разделе Регистрация нового приложения в Microsoft Entra ID.
• Дополнительные сведения о создании и настройке ресурса бота в Microsoft Entra ID см. в статье Создание бота беседы Teams.

Вы можете настроить ресурс и приложение бота в Идентификаторе Microsoft Entra для бота или приложения расширения сообщений одним из следующих двух способов:

• Настройка единого входа с помощью ресурса бота и настройка приложения Microsoft Entra. Для начала можно настроить единый вход для ресурса бота и включить единый вход для приложения Microsoft Entra. Вы настроите следующее:

  • Для ресурса бота: конечная точка обмена сообщениями и подключение OAuth.

    Примечание.

    При создании ресурса бота в Microsoft Entra ID можно выбрать параметр для создания нового идентификатора приложения или использовать существующий идентификатор приложения, если вы уже зарегистрировали приложение в Microsoft Entra ID.

  • Для приложения Microsoft Entra: URI идентификатора приложения, область и разрешения, идентификаторы доверенных клиентов, версия маркера доступа, секрет клиента и URL-адрес перенаправления.

• Настройка единого входа с помощью приложения Microsoft Entra, а затем настройка ресурса бота. Вы можете начать с настройки приложения Microsoft Entra, а затем использовать этот идентификатор приложения в ресурсе бота при включении единого входа для него. Вы настроите следующее:

  • Для приложения Microsoft Entra: URI идентификатора приложения, маркер доступа, идентификаторы доверенных клиентов, версия маркера доступа, секрет клиента и URL-адрес перенаправления.

  • Для ресурса бота: конечная точка обмена сообщениями и подключение OAuth.

    Примечание.

    Настройте ресурс бота с помощью идентификатора приложения, созданного идентификатором Microsoft Entra ПРИ регистрации приложения.

Включение единого входа в Microsoft Entra ID

В конце этого руководства вы узнаете, как настроить:

• Идентификатор приложения
• ИД бота
• Маркер доступа
  • URI идентификатора приложения.
  • Область, разрешения и идентификаторы авторизованных клиентов
  • Секрет клиента
  • URL-адрес перенаправления
• Конечная точка обмена сообщениями и подключение OAuth

Выберите один из следующих двух способов настройки единого входа для ресурса бота:

Использование ресурса бота и настройка приложения Microsoft Entra

Чтобы включить единый вход для приложения в Microsoft Entra ID, выполните следующие действия:

• Настройка конечной точки обмена сообщениями
• Настройка единого входа для приложения Microsoft Entra:
  • Настройка области для маркера доступа
  • Настройка версии маркера доступа
  • Создание секрета клиента
  • Настройка URL-адреса перенаправления
• Настройка подключения OAuth

Важно!

Убедитесь, что при создании ресурса бота выберите параметр для создания нового идентификатора приложения. Вы также можете использовать существующий идентификатор приложения, если вы уже зарегистрировали приложение в Центре администрирования Microsoft Entra.

Настройка конечной точки обмена сообщениями

Конечная точка обмена сообщениями — это место, где сообщения отправляются боту. Это обеспечивает взаимодействие с ботом.

Настройка конечной точки обмена сообщениями для ресурса бота

1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Введите URL-адрес конечной точки обмена сообщениями, где бот получает сообщения пользователя приложения.

   

5. Нажмите Применить.

   Настроена конечная точка обмена сообщениями.

Вы настроили конечную точку обмена сообщениями для ресурса бота. Затем необходимо включить единый вход для приложения Microsoft Entra.

Настройка единого входа для приложения Microsoft Entra

Необходимо настроить разрешения и области, авторизовать клиентские приложения, обновить манифест приложения (ранее — манифест приложения Teams) и создать секрет клиента для приложения Microsoft Entra. Эти конфигурации помогают вызвать единый вход для приложения бота.

Настройка области для маркера доступа

Настройка параметров области (разрешений) для отправки маркера доступа в клиент Teams и авторизации доверенных клиентских приложений для включения единого входа.

Тебе нужно:

• Настройка URI идентификатора приложения: настройте параметры области (разрешения) для приложения. Вы предоставите веб-API и настроите URI идентификатора приложения.
• Чтобы настроить область API, определите область для API и пользователей, которые могут дать согласие на область действия. Вы можете позволить только администраторам давать согласие на более привилегированные разрешения.
• Чтобы настроить авторизованное клиентское приложение, создайте авторизованные идентификаторы клиентов для приложений, которые вы хотите предварительно авторизовать. Это позволяет пользователю приложения получать доступ к настроенным вами областям приложения (разрешениям) без дополнительного согласия. Предварительная авторизация только тех клиентских приложений, которым вы доверяете, так как пользователи приложения не будут иметь возможность отклонить согласие.

Настройка URI идентификатора приложения

1. Откройте портал Azure в веб-браузере.

   Откроется страница Microsoft Azure Bot.

2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Выберите Управление.

   

   Откроется страница приложения Microsoft Entra.

   Новый идентификатор приложения (идентификатор клиента) для приложения появится на этой странице. Запишите и сохраните этот идентификатор приложения. Позже его потребуется обновить в манифесте приложения. Если вы использовали идентификатор существующего приложения при создании ресурса бота, идентификатор этого приложения отображается на этой странице.

   

5. Выберите Управление>Предоставить API на панели слева.

   Появится страница Предоставление API.

6. Выберите Добавить , чтобы создать URI идентификатора приложения.

   

   Появится раздел для настройки идентификатора приложения URI.

7. Введите URI идентификатора приложения в формате, описанном здесь.

   

   • URI идентификатора приложения заполняется идентификатором приложения (GUID) в формате api://{AppID}.

   Важно!

   • Конфиденциальная информация. URI идентификатора приложения регистрируется в процессе проверки подлинности и не должен содержать конфиденциальную информацию.

   • Автономный бот. Если вы создаете автономный бот, введите URI идентификатора приложения как api://botid-{YourBotId}. Здесь {YourBotId} — это идентификатор приложения Microsoft Entra.

   • URI идентификатора приложения для приложения с несколькими возможностями. Если вы создаете приложение с помощью бота, расширения для обмена сообщениями и вкладки, введите URI идентификатора приложения как api://fully-qualified-domain-name.com/botid-{YourClientId}, где {YourClientId} — это идентификатор приложения бота.

   • Формат доменного имени. Используйте строчные буквы для доменного имени. Не используйте верхний регистр.

     Например, чтобы создать службу приложений или веб-приложение с именем ресурса demoapplication:

     Если используется базовое имя ресурса	URL-адрес будет...	Формат поддерживается на...
     demoapplication	https://demoapplication.example.net	Все платформы
     DemoApplication	https://DemoApplication.example.net	Только для компьютеров, Интернета и iOS. Он не поддерживается в Android.

     Используйте вариант demoapplication в нижнем регистре в качестве имени базового ресурса.

8. Выберите Сохранить.

   В браузере появится сообщение о том, что URI идентификатора приложения был обновлен.

   

   URI идентификатора приложения отображается на странице.

   

9. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Он понадобится для обновления манифеста приложения позже.

Настроен универсальный код ресурса (URI) идентификатора приложения. Теперь вы можете определить область и разрешения для приложения.

Чтобы настроить область действия API

1. Выберите + Добавить область в разделе Области, определенные этим API.

   

   Появится страница Добавление области.

2. Введите данные для конфигурации области действия.

   

   1. Введите имя области.

   2. Выберите пользователя, который может дать согласие на эту область. Параметр по умолчанию — Только для администраторов.

   3. Введите отображаемое имя согласия администратора.

   4. Введите описание для согласия администратора.

   5. Введите отображаемое имя согласия пользователя.

   6. Введите описание согласия пользователя.

   7. Выберите параметр Включено для состояния.

   8. Нажмите Добавить область.

      Примечание.

      В этом руководстве можно использовать профиль User.Read User.ReadBasic.All openid в качестве области. Эта область подходит для использования примера кода. Вы также можете добавить дополнительные области и разрешения Graph. Дополнительные сведения см. в статье Расширение приложения с помощью разрешений и областей Microsoft Graph.

   В браузере появится сообщение о добавлении области.

   

   Примечание.

   Новая область, которую вы определили, отобразится на странице. Обязательно запишите и сохраните настроенную область. Он понадобится для обновления подключения OAuth позже.

Область и разрешения теперь настроены. Затем необходимо настроить авторизованные клиентские приложения для приложения Microsoft Entra.

Настройка авторизованного клиентского приложения

1. Перейдите на страницу Предоставление API в раздел авторизованного клиентского приложения и выберите + Добавить клиентское приложение.

   

   Появится страница Добавление клиентского приложения.

2. Введите соответствующий идентификатор клиента Microsoft 365 для приложений, которые вы хотите авторизовать для веб-приложения приложения.

   

   Примечание.

   • Идентификаторы клиентов Microsoft 365 для мобильных, настольных и веб-приложений для Teams, приложения Microsoft 365 и Outlook — это фактические идентификаторы, которые необходимо добавить.
   • Если в вашем приложении есть приложение вкладки, вам потребуется веб-приложение или SPA, так как вы не можете использовать мобильное или классическое клиентское приложение в Teams.

3. Выберите один из следующих идентификаторов клиентов:

   Использовать идентификатор клиента	Для авторизации...
   1fec8e78-bce4-4aaf-ab1b-5451cc387264	Мобильное или настольное приложение Teams
   5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Веб-приложение Teams
   4765445b-32c6-49b0-83e6-1d93765276ca	Веб-приложение Microsoft 365
   0ec893e0-5785-4de6-99da-4ed124e5296c	Классическое приложение Microsoft 365
   d3590ed6-52b3-4102-aeff-aad2292ab01c	Классическое приложение Outlook для мобильных устройств Microsoft 365
   bc59ab01-8403-45c6-8796-ac3ef710b3e3	Веб-приложение Outlook
   27922004-5251-4030-b22d-91ecd9a37ea4	Мобильное приложение Outlook

4. Выберите URI идентификатора приложения, который вы создали для своего приложения, в Авторизованных областях, чтобы добавить область в предоставленный вами веб-API.

5. Нажмите кнопку Добавить приложение.

   В браузере появится сообщение о добавлении авторизованного клиентского приложения.

   

   На странице отображается идентификатор клиента авторизованного приложения.

   

   Примечание.

   Вы можете авторизовать более одного клиентского приложения. Повторите шаги этой процедуры для настройки другого авторизованного клиентского приложения.

Вы успешно настроили область приложения, разрешения и клиентские приложения. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Затем настройте версию маркера доступа.

Настройка версии маркера доступа

Необходимо определить версию маркера доступа для приложения в манифесте приложения Microsoft Entra.

Чтобы определить версию маркера доступа

1. Выберите Управление>Манифест на панели слева.

   

   Откроется манифест приложения Microsoft Entra.

2. Введите 2 в качестве значения свойства accessTokenAcceptedVersion.

   

3. Выберите Сохранить.

   В браузере появится сообщение о том, что манифест приложения успешно обновлен.

   

Вы обновили версию маркера доступа. Затем вы создадите секрет клиента для приложения.

Создание секрета клиента

Секрет клиента — это строка, которую приложение использует для подтверждения своего удостоверения при запросе маркера.

Создание секрета клиента для приложения

1. Выберите Управление>сертификатами & секретами.

   

   Откроется страница Секреты сертификатов & .

2. Выберите + Новый секрет клиента.

   

   Откроется страница Добавление секрета клиента .

   

   1. Введите описание.
   2. Выберите срок действия секрета.

3. Нажмите Добавить.

   В браузере появится сообщение о том, что секрет клиента был обновлен, а секрет клиента отображается на странице.

   

4. Нажмите кнопку копировать рядом со значением секрета клиента.

5. Сохраните скопированное значение. Он понадобится позже для обновления кода.

   Важно!

   Обязательно скопируйте значение секрета клиента сразу после его создания. Значение отображается только в момент создания секрета клиента, и его невозможно просмотреть после этого.

Вы настроили секрет клиента. Затем необходимо настроить URL-адрес перенаправления.

Настройка URL-адреса перенаправления

Конфигурация проверки подлинности зависит от платформы или устройства, на котором вы хотите нацелиться на приложение. Может потребоваться настроить URI перенаправления, параметры проверки подлинности или сведения о конкретной платформе.

Примечание.

• Если приложению бота не предоставлено согласие ИТ-администратора, пользователи приложений должны предоставить согласие при первом использовании приложения на другой платформе.
• Неявное предоставление не требуется, если единый вход включен в приложении бота.

Вы можете настроить проверку подлинности для нескольких платформ, если URL-адрес уникален.

Настройка URL-адреса перенаправления

1. Откройте приложение, зарегистрированное на портале Azure.

2. Выберите Управление>Проверка подлинности на панели слева.

   

   Появится страница Конфигурации платформ.

3. Выберите + Добавить платформу.

   

   Появится страница Настройка платформ.

4. Выберите платформу, которую вы хотите настроить для приложения. Тип платформы можно выбрать из веб-сайта или SPA.

   

   Откроется веб-страница Настройка .

   Примечание.

   Конфигурации будут отличаться в зависимости от выбранной платформы.

5. Введите сведения о конфигурации платформы.

   

   1. Введите URI перенаправления. URI должен быть уникальным.

      Примечание.

      Примером является URL-адрес, упомянутый в URI перенаправления .

   2. Введите URL-адрес выхода из внешнего канала.

   3. Выберите маркеры, которые вы хотите отправить идентификатору Microsoft Entra для приложения.

6. Нажмите Настроить.

   Платформа настраивается и отображается на странице Конфигурации платформ.

Настройка приложения Microsoft Entra завершена, и теперь необходимо включить поддержку единого входа для ресурса бота, настроив подключение OAuth.

Настройка подключения OAuth

Чтобы бот поддерживал единый вход, необходимо обновить его параметры подключения к OAuth. Этот процесс связывает бота со сведениями о приложении, настроенными для приложения Microsoft Entra:

• Идентификатор приложения Microsoft Entra, который является идентификатором клиента
• Идентификатор клиента
• Область и разрешения

После предоставления идентификатора приложения (клиента) и секрета клиента хранилище токенов Bot Framework обменивается маркером на маркер графа с определенными разрешениями.

Обновление подключения OAuth

1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

2. Введите имя приложения Microsoft Entra в поле поиска и откройте приложение.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Перейдите на страницу Конфигурация и выберите Добавить параметры подключения OAuth.

   

   Откроется страница Новый параметр подключения .

5. Введите параметры конфигурации OAuth для бота Azure.

   

   1. Введите имя параметра конфигурации.

   2. Выберите поставщика услуг.

      Отобразятся остальные сведения о конфигурации.

      

   3. Введите идентификатор приложения (клиента) для приложения Microsoft Entra.

   4. Введите секрет клиента, созданный для бота.

   5. Введите URI идентификатора приложения бота в поле URL-адрес Обмена токенами.

   6. Введите идентификатор клиента.

   7. Введите область, определенную при настройке области и разрешений.

6. Нажмите кнопку Сохранить.

7. Нажмите Применить.

   Настроив подключение OAuth, можно выбрать Проверить подключение , чтобы проверить, успешно ли выполнено подключение OAuth.

   

   Если подключение не выполнено успешно, идентификатор Microsoft Entra отображает ошибку. Вы можете проверить все конфигурации и снова протестировать.

Поздравляем! Вы выполнили следующие конфигурации приложений в Microsoft Entra ID, необходимые для включения единого входа для приложения бота:

• Идентификатор приложения
• ИД бота
• Маркер доступа
  • URI идентификатора приложения.
  • Область, разрешения и идентификаторы авторизованных клиентов
  • Секрет клиента
  • URL-адрес перенаправления
• Конечная точка обмена сообщениями и подключение OAuth

Использование приложения Microsoft Entra и настройка ресурса бота

Чтобы создать и настроить приложение для включения единого входа в Microsoft Entra ID, выполните следующие действия:

• Настройка единого входа в приложение Microsoft Entra
  • Настройка области для маркера доступа
  • Настройка версии маркера доступа
  • Создание секрета клиента для приложения
  • Настройка URL-адреса перенаправления для приложения
• Настройка ресурса бота в Microsoft Entra ID
  • Настройка конечной точки обмена сообщениями для ресурса бота
  • Настройка подключения OAuth для ресурса бота

Настройка единого входа в приложение Microsoft Entra

Необходимо настроить разрешения и области, авторизовать клиентские приложения, обновить манифест приложения и создать секрет клиента для приложения Microsoft Entra. Эти конфигурации помогают вызвать единый вход для приложения бота.

Важно!

Убедитесь, что приложение зарегистрировано в Идентификаторе Microsoft Entra. При регистрации Microsoft Entra ID создает новый идентификатор приложения, который необходимо отметить. Его потребуется обновить позже в файле манифеста приложения.

Настройка области для маркера доступа

Необходимо настроить параметры области (разрешений) для приложения Microsoft Entra. Он необходим для отправки маркера доступа в клиент Teams и авторизации доверенных клиентских приложений.

Чтобы настроить область действия и авторизовать доверенные клиентские приложения, вам потребуется:

• Чтобы настроить универсальный код ресурса (URI) идентификатора приложения, выполните настройку параметров области (разрешения) для приложения. Вы предоставите веб-API и настроите URI идентификатора приложения.
• Настройка области API для приложения: определите область для API и пользователей, которые могут дать согласие на использование области. Вы можете позволить только администраторам давать согласие на более привилегированные разрешения.
• Настройка авторизованного клиентского приложения: создайте авторизованные идентификаторы клиентов для приложений, которые требуется предварительно авторизовать. Это позволяет пользователю приложения получать доступ к настроенным вами областям приложения (разрешениям) без дополнительного согласия. Предварительно авторизуйте только те клиентские приложения, которым вы доверяете, поскольку пользователи вашего приложения не будут иметь возможности отклонить согласие.

Настройка URI идентификатора приложения для приложения

1. Откройте портал Azure в веб-браузере.

   Откроется страница Microsoft Azure Bot.

2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Выберите Управление.

   

   Откроется страница приложения Microsoft Entra.

   Новый идентификатор приложения (идентификатор клиента) для приложения появится на этой странице. Запишите и сохраните этот идентификатор приложения. Позже его потребуется обновить в манифесте приложения. Если вы использовали идентификатор существующего приложения при создании ресурса бота, идентификатор этого приложения отображается на этой странице.

   

5. Выберите Управление>Предоставить API на панели слева.

   Появится страница Предоставление API.

6. Выберите Добавить , чтобы создать URI идентификатора приложения.

   

   Появится раздел для настройки идентификатора приложения URI.

7. Введите URI идентификатора приложения в формате, описанном здесь.

   

   • URI идентификатора приложения предварительно заполняется идентификатором приложения (GUID) в форматеapi://{AppID}.

   Важно!

   • Автономный бот. Если вы создаете автономный бот, введите URI идентификатора приложения как api://botid-{YourBotId}. Здесь {YourBotId} — это идентификатор приложения Microsoft Entra.

   • URI идентификатора приложения для приложения с несколькими возможностями. Если вы создаете приложение с помощью бота, расширения для обмена сообщениями и вкладки, введите URI идентификатора приложения как api://fully-qualified-domain-name.com/botid-{YourClientId}, где {YourClientId} — это идентификатор приложения бота.

   • Формат доменного имени. Используйте строчные буквы для доменного имени. Не используйте верхний регистр.

     Например, чтобы создать службу приложений или веб-приложение с именем ресурса demoapplication:

     Если используется базовое имя ресурса	URL-адрес будет...	Формат поддерживается на...
     demoapplication	https://demoapplication.example.net	Все платформы
     DemoApplication	https://DemoApplication.example.net	Только для компьютеров, Интернета и iOS. Он не поддерживается в Android.

     Используйте вариант demoapplication в нижнем регистре в качестве имени базового ресурса.

8. Выберите Сохранить.

   В браузере появится сообщение о том, что URI идентификатора приложения был обновлен.

   

   URI идентификатора приложения отображается на странице.

   

9. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Он понадобится для обновления манифеста приложения позже.

Настроен универсальный код ресурса (URI) идентификатора приложения. Теперь вы можете определить область и разрешения для приложения.

Настройка области API для приложения

1. Выберите + Добавить область в разделе Области, определенные этим API.

   

   Появится страница Добавление области.

2. Введите данные для конфигурации области действия.

   

   1. Введите имя области.

   2. Выберите пользователя, который может дать согласие на эту область. Параметр по умолчанию — Только для администраторов.

   3. Введите отображаемое имя согласия администратора.

   4. Введите описание для согласия администратора.

   5. Введите отображаемое имя согласия пользователя.

   6. Введите описание согласия пользователя.

   7. Выберите параметр Включено для состояния.

   8. Нажмите Добавить область.

      Примечание.

      В этом руководстве можно использовать профиль openid User.Read User.ReadBasic.All в качестве области. Эта область подходит для использования примера кода. Вы также можете добавить дополнительные области и разрешения Graph. Дополнительные сведения см. в статье Расширение приложения с помощью разрешений и областей Microsoft Graph.

   В браузере появится сообщение о добавлении области.

   

   Примечание.

   Новая область, которую вы определили, отобразится на странице. Обязательно запишите и сохраните настроенную область. Он понадобится для обновления подключения OAuth позже.

Область и разрешения теперь настроены. Затем необходимо настроить авторизованные клиентские приложения для приложения Microsoft Entra.

Настройка авторизованного клиентского приложения

1. Перейдите на страницу Предоставление API в раздел авторизованного клиентского приложения и выберите + Добавить клиентское приложение.

   

   Появится страница Добавление клиентского приложения.

2. Введите соответствующий идентификатор клиента Microsoft 365 для приложений, которые вы хотите авторизовать для веб-приложения приложения.

   

   Примечание.

   • Идентификаторы клиентов Microsoft 365 для мобильных, настольных и веб-приложений для Teams, приложения Microsoft 365 и Outlook — это фактические идентификаторы, которые необходимо добавить.
   • Если в вашем приложении есть приложение вкладки, вам потребуется веб-приложение или SPA, так как вы не можете использовать мобильное или классическое клиентское приложение в Teams.

3. Выберите один из следующих идентификаторов клиентов:

   Использовать идентификатор клиента	Для авторизации...
   1fec8e78-bce4-4aaf-ab1b-5451cc387264	Мобильное или настольное приложение Teams
   5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Веб-приложение Teams
   4765445b-32c6-49b0-83e6-1d93765276ca	Веб-приложение Microsoft 365
   0ec893e0-5785-4de6-99da-4ed124e5296c	Классическое приложение Microsoft 365
   d3590ed6-52b3-4102-aeff-aad2292ab01c	Классическое приложение Outlook для мобильных устройств Microsoft 365
   bc59ab01-8403-45c6-8796-ac3ef710b3e3	Веб-приложение Outlook
   27922004-5251-4030-b22d-91ecd9a37ea4	Мобильное приложение Outlook

4. Выберите URI идентификатора приложения, который вы создали для своего приложения, в Авторизованных областях, чтобы добавить область в предоставленный вами веб-API.

5. Нажмите кнопку Добавить приложение.

   В браузере появится сообщение о добавлении авторизованного клиентского приложения.

   

   На странице отображается идентификатор клиента авторизованного приложения.

   

   Примечание.

   Вы можете авторизовать более одного клиентского приложения. Повторите шаги этой процедуры для настройки другого авторизованного клиентского приложения.

Вы успешно настроили область приложения, разрешения и клиентские приложения. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Затем настройте версию маркера доступа.

Настройка версии маркера доступа

Необходимо определить версию маркера доступа для приложения в манифесте приложения Microsoft Entra.

Определение версии маркера доступа

1. Выберите Управление>Манифест на панели слева.

   

   Откроется манифест приложения Microsoft Entra.

2. Введите 2 в качестве значения свойства accessTokenAcceptedVersion.

   

3. Выберите Сохранить.

   В браузере появится сообщение о том, что манифест приложения успешно обновлен.

   

Вы обновили версию маркера доступа. Далее необходимо создать секрет клиента для приложения.

Создание секрета клиента для приложения

Секрет клиента — это строка, которую приложение использует для подтверждения своего удостоверения при запросе маркера.

Создание секрета клиента

1. Выберите Управление>сертификатами & секретами.

   

   Откроется страница Секреты сертификатов & .

2. Выберите + Новый секрет клиента.

   

   Откроется страница Добавление секрета клиента .

   

   1. Введите описание.
   2. Выберите срок действия секрета.

3. Нажмите Добавить.

   В браузере появится сообщение о том, что секрет клиента был обновлен, а секрет клиента отображается на странице.

   

4. Нажмите кнопку копировать рядом со значением секрета клиента.

5. Сохраните скопированное значение. Он понадобится позже для обновления кода.

   Важно!

   Обязательно скопируйте значение секрета клиента сразу после его создания. Значение отображается только в момент создания секрета клиента, и его невозможно просмотреть после этого.

Настройка URL-адреса перенаправления для приложения

Конфигурация проверки подлинности зависит от платформы или устройства, на котором вы хотите нацелиться на приложение. Может потребоваться настроить URI перенаправления, параметры проверки подлинности или сведения о конкретной платформе.

Примечание.

• Если приложению бота не предоставлено согласие ИТ-администратора, пользователи приложений должны предоставить согласие при первом использовании приложения на другой платформе.
• Неявное предоставление не требуется, если единый вход включен в приложении бота.

Вы можете настроить проверку подлинности для нескольких платформ, если URL-адрес уникален.

Настройка URL-адреса перенаправления для приложения

1. Откройте приложение, зарегистрированное на портале Azure.

2. Выберите Управление>Проверка подлинности на панели слева.

   

   Появится страница Конфигурации платформ.

3. Выберите + Добавить платформу.

   

   Появится страница Настройка платформ.

4. Выберите платформу, которую вы хотите настроить для приложения. Тип платформы можно выбрать из веб-сайта или SPA.

   

   Откроется веб-страница Настройка .

   Примечание.

   Конфигурации будут отличаться в зависимости от выбранной платформы.

5. Введите сведения о конфигурации платформы.

   

   1. Введите URI перенаправления. URI должен быть уникальным.

      Примечание.

      Примером является URL-адрес, упомянутый в URI перенаправления .

   2. Введите URL-адрес выхода из внешнего канала.

   3. Выберите маркеры, которые вы хотите отправить идентификатору Microsoft Entra для приложения.

6. Нажмите Настроить.

   Платформа настраивается и отображается на странице Конфигурации платформ.

Настройка приложения Microsoft Entra завершена, и теперь вы можете настроить ресурс бота для включения единого входа.

Настройка ресурса бота в Microsoft Entra ID

Перед включением единого входа для приложения бота необходимо создать и настроить ресурс бота в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье Создание бота для бесед Teams.

Примечание.

Убедитесь, что при создании ресурса бота вы выбираете идентификатор приложения Microsoft Entra, которое вы зарегистрировали.

Чтобы включить единый вход для ресурса бота, выполните приведенные далее действия.

• Настройка конечной точки обмена сообщениями для ресурса бота
• Настройка подключения OAuth для ресурса бота

Настройка конечной точки обмена сообщениями для ресурса бота

Конечная точка обмена сообщениями — это место, где сообщения отправляются боту. Это обеспечивает взаимодействие с ботом.

Настройка конечной точки обмена сообщениями

1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Введите URL-адрес конечной точки обмена сообщениями, где бот получает сообщения пользователя приложения.

   

5. Нажмите Применить.

   Настроена конечная точка обмена сообщениями.

Теперь необходимо настроить подключение OAuth, чтобы включить единый вход для ресурса бота.

Настройка подключения OAuth для ресурса бота

Чтобы бот поддерживал единый вход, необходимо обновить его параметры подключения к OAuth. Этот процесс связывает бота со сведениями о приложении, настроенными для приложения Microsoft Entra:

• Идентификатор приложения Microsoft Entra, который является идентификатором клиента
• Идентификатор клиента
• Область и разрешения

После предоставления идентификатора приложения (клиента) и секрета клиента хранилище токенов Bot Framework обменивается маркером на маркер графа с определенными разрешениями.

Обновление подключения OAuth для ресурса бота

1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

2. Введите имя приложения Microsoft Entra в поле поиска и откройте приложение.

3. Выберите Конфигурация параметров>.

   

   Откроется страница Конфигурация .

4. Перейдите на страницу Конфигурация и выберите Добавить параметры подключения OAuth.

   Откроется страница Новый параметр подключения .

5. Введите параметры конфигурации OAuth для бота Azure.

   

   1. Введите имя параметра конфигурации.

   2. Выберите поставщика услуг.

      Отобразятся остальные сведения о конфигурации.

      

   3. Введите идентификатор клиента, который был создан при создании приложения бота.

   4. Введите секрет клиента, созданный для бота.

   5. Введите URI идентификатора приложения бота в поле URL-адрес Обмена токенами.

   6. Введите идентификатор клиента.

   7. Введите область, определенную при настройке разрешений.

      Примечание.

      В этом руководстве можно использовать профиль openid User.Read User.ReadBasic.All в качестве области. Эта область подходит для использования примера кода.

6. Нажмите кнопку Сохранить.

7. Нажмите Применить.

Настроив подключение OAuth, можно выбрать Проверить подключение , чтобы проверить, успешно ли выполнено подключение OAuth.

Если подключение не выполнено успешно, идентификатор Microsoft Entra отображает ошибку. Вы можете проверить все конфигурации и снова протестировать.

Поздравляем! Вы выполнили следующие конфигурации приложений в Microsoft Entra ID, необходимые для включения единого входа для приложения бота:

• Идентификатор приложения
• ИД бота
• Маркер доступа
  • URI идентификатора приложения.
  • Область, разрешения и идентификаторы авторизованных клиентов
  • Секрет клиента
  • URL-адрес перенаправления
• Конечная точка обмена сообщениями и подключение OAuth

Лучшие методики

• Оставьте регистрацию приложения Microsoft Entra ограниченной первоначальной целью обслуживания приложения службы.
• Чтобы лучше контролировать отключение подключений к проверке подлинности, развертывание секретов или повторное использование приложения Microsoft Entra с другими приложениями, создайте дополнительное приложение Microsoft Entra для любого пользователя, которое будет обслуживать проверку подлинности.

Если вы используете приложение для регистрации Microsoft Entra для проверки подлинности, могут возникнуть следующие проблемы:

• Обновление сертификата, присоединенного к регистрации приложения Microsoft Entra, влияет на пользователей, прошедших проверку подлинности в других службах Microsoft Entra с помощью сертификата.
• Он создает единую точку сбоя и управления для всех действий, связанных с проверкой подлинности, с помощью бота.

Следующее действие

Добавление кода для включения единого входа