Поставщики удостоверений

ОБЛАСТЬ ПРИМЕНЕНИЯ: ПАКЕТ SDK версии 4

Поставщик удостоверений выполняет проверку подлинности удостоверений пользователя или клиента и выдает одноразовые маркеры безопасности. Он предоставляет проверку подлинности пользователей как услугу.

Клиентские приложения, например веб-приложения, делегируют аутентификацию доверенному поставщику удостоверений. В этом случае говорят, что клиентские приложения являются федеративными или используют федеративную идентификацию. Дополнительные сведения см . в разделе "Федеративное удостоверение".

Использование доверенного поставщика удостоверений обеспечивает следующее:

• Поддержка функций единого входа (SSO), которые позволяют приложению получать доступ к нескольким защищенным ресурсам.
• Упрощает подключение между ресурсами облачных вычислений и пользователями, уменьшая необходимость повторной проверки подлинности пользователей.

Единый вход

Единый вход относится к процессу проверки подлинности, который позволяет пользователю входить в систему один раз с одним набором учетных данных для доступа к нескольким приложениям или службам.

Пользователь входит в систему с одним набором идентификатора и пароля для использования любой из нескольких связанных программных систем. См. сведения о едином входе.

Многие поставщики удостоверений поддерживают операцию выхода, которая отменяет маркер пользователя и завершает доступ к связанным приложениям и службам.

Важно!

Единый вход повышает удобство использования, избавляя пользователей от необходимости многократного ввода учетных данных. Кроме того, он обеспечивает защиту, сокращая поверхность потенциальной атаки.

Поставщик удостоверений идентификатора Microsoft Entra

Идентификатор Microsoft Entra — это служба удостоверений в Microsoft Azure, которая предоставляет возможности управления удостоверениями и управления доступом. Она позволяет безопасно выполнять вход пользователей с помощью стандартных отраслевых протоколов, таких как OAuth 2.0.

Вы можете выбрать один из двух реализаций поставщика удостоверений Active Directory, которые имеют разные параметры, как показано ниже.

Примечание.

Используйте эти параметры при настройке Подключение ion OAuth Параметры в приложении регистрации бота Azure. Дополнительные сведения см. в разделе "Добавление проверки подлинности в бот".

Идентификатор Microsoft Entra

Платформа удостоверений Майкрософт (версия 2.0) (также известная как конечная точка идентификатора Microsoft Entra ID) позволяет боту получать маркеры для вызова API Майкрософт, таких как Microsoft Graph или другие API. Платформа удостоверений — эволюция платформы Azure AD (версия 1.0). Дополнительные сведения см. в обзоре платформа удостоверений Майкрософт (версии 2.0).

Используйте приведенные ниже параметры AD версии 2, чтобы позволить боту получать доступ к данным Office 365 через API Microsoft Graph.

Свойство	Описание или значение
Название	Имя подключения поставщика удостоверений.
Поставщик услуг	Используемый поставщик удостоверений. Выберите идентификатор Microsoft Entra.
Идентификатор клиента	Идентификатор приложения (клиента) для приложения поставщика удостоверений Azure.
Секрет клиента	Секрет приложения поставщика удостоверений Azure.
Идентификатор клиента	Идентификатор каталога (клиента) или common. Дополнительные сведения см. в заметке об идентификаторах клиента.
Области действия	Разделенный пробелом список разрешений API, предоставленных приложению поставщика удостоверений Microsoft Entra ID, например openid, , profile, Mail.ReadMail.Send, User.Readи User.ReadBasic.All.
URL-адрес обмена токенами	Для бота с поддержкой единого входа используйте URL-адрес обмена маркерами, связанный с подключением OAuth; в противном случае оставьте его пустым. Сведения о URL-адресе обмена маркерами единого входа см. в разделе "Создание параметров подключения OAuth".

Azure AD версии 1

Azure AD версии 1

Используйте приведенные ниже параметры для настройки платформы разработчика Microsoft Entra ID (версии 1.0), также известной как конечная точка Azure AD версии 1 . Это позволяет создавать приложения, безопасные для входа пользователей с помощью рабочей или учебной учетной записи Майкрософт. Дополнительные сведения см. в обзоре идентификатора Microsoft Entra для разработчиков (версии 1.0).

Свойство	Описание или значение
Название	Имя подключения поставщика удостоверений.
Поставщик услуг	Используемый поставщик удостоверений. Выберите идентификатор Microsoft Entra.
Идентификатор клиента	Идентификатор приложения (клиента) для приложения поставщика удостоверений Azure.
Секрет клиента	Секрет приложения поставщика удостоверений Azure.
Тип предоставления разрешения	authorization_code
Login URL (URL-адрес для входа)	https://login.microsoftonline.com
Идентификатор клиента	Идентификатор каталога (клиента) или common. Дополнительные сведения см. в описании идентификаторов клиентов ниже.
URL-адрес ресурса	https://graph.microsoft.com/
Области действия	Оставьте это поле пустым.
URL-адрес обмена токенами	Оставьте это поле пустым.

Примечание.

Если выбран один из следующих вариантов, введите идентификатор клиента, записанный для приложения поставщика удостоверений Microsoft Entra ID:

• Учетные записи только в этом каталоге организации (только Microsoft — один клиент)
• Учетные записи в любом каталоге организации (каталог Microsoft AAD — мультитенантный)

Если вы выбрали учетные записи в любом каталоге организации (любой каталог Идентификатора Майкрософт — мультитенантные и личные учетные записи Майкрософт, например Skype, Xbox, Outlook.com), введите common.

В противном случае приложение поставщика удостоверений Microsoft Entra ID будет использовать клиент для проверки выбранного идентификатора и исключения личных учетных записей Майкрософт.

Дополнительные сведения см. в разделе:

• Почему обновление до платформа удостоверений Майкрософт (версия 2.0)?
• платформа удостоверений Майкрософт (идентификатор Microsoft Entra для разработчиков).

Другие поставщики удостоверений

Azure поддерживает несколько поставщиков удостоверений. Полный список можно получить вместе с соответствующими сведениями, выполнив следующие команды консоли Azure:

az login
az bot authsetting list-providers

Вы также можете просмотреть список этих поставщиков в портал Azure при определении параметров подключения OAuth для приложения регистрации бота.

Универсальные поставщики OAuth

поддержка Azure универсальный OAuth2, который позволяет использовать собственный поставщик удостоверений.

Вы можете выбрать две реализации универсального поставщика удостоверений, которые имеют разные параметры, как показано ниже.

Примечание.

Используйте параметры, описанные здесь при настройке Подключение Подключение OAuth Параметры в приложении регистрации бота Azure.

Универсальный протокол OAuth 2

Используйте этот поставщик для настройки любого универсального поставщика удостоверений OAuth2, который имеет аналогичные ожидания, как поставщик идентификатора Microsoft Entra ID, особенно AD версии 2. Для этого типа подключения исправляются строки запроса и полезные данные текста запроса.

Свойство	Описание или значение
Название	Имя подключения поставщика удостоверений.
Поставщик услуг	Используемый поставщик удостоверений. Выберите универсальный Oauth 2.
Идентификатор клиента	Идентификатор клиента, полученный от поставщика удостоверений.
Секрет клиента	Секрет клиента, полученный из регистрации поставщика удостоверений.
URL-адрес авторизации	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL-адрес токена	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-адрес обновления	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-адрес обмена токенами	Оставьте это поле пустым.
Области действия	Список разрешений API, предоставленных приложению поставщика удостоверений, разделенный запятыми.

Универсальный поставщик OAuth 2

Для этого поставщика требуется больше параметров конфигурации, поэтому используйте эту версию для настройки любого универсального поставщика служб OAuth 2, если требуется дополнительная гибкость. В этой конфигурации можно указать шаблоны URL-адресов, шаблоны строк запроса и шаблоны текста для авторизации, обновления и преобразования маркеров.

Свойство	Описание или значение
Название	Имя подключения поставщика удостоверений.
Поставщик услуг	Используемый поставщик удостоверений. Выберите универсальный поставщик Oauth 2.
Идентификатор клиента	Идентификатор клиента, полученный от поставщика удостоверений.
Секрет клиента	Секрет клиента, полученный из регистрации поставщика удостоверений.
Разделитель списка областей	Символ разделителя для списка областей. Пустые пробелы () не поддерживаются в этом поле, но могут использоваться в поле "Области", если это требуется поставщиком удостоверений. В этом случае используйте запятую (,) для этого поля и пробелов () в поле "Области".
Шаблон URL-адреса авторизации	Шаблон URL-адреса для авторизации, определенный поставщиком удостоверений. Например, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Шаблон строки запроса URL-адреса авторизации	Шаблон запроса для авторизации, предоставляемый поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений. Например, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Шаблон URL-адреса токена	https://login.microsoftonline.com/common/oauth2/v2.0/token
Шаблон строки запроса URL-адреса токена	Разделитель строки запроса для URL-адреса маркера. Обычно вопросительный знак (?).
Шаблон текста токена	Шаблон для текста маркера. Например, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Шаблон URL-адреса обновления	https://login.microsoftonline.com/common/oauth2/v2.0/token
Шаблон строки запроса URL-адреса обновления	Разделитель строки запроса обновления для URL-адреса маркера. Обычно вопросительный знак (?).
Шаблон текста обновления	Шаблон для текста обновления. Например, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
URL-адрес обмена токенами	Оставьте это поле пустым.
Области действия	Список область, которые должны пройти проверку подлинности пользователей после входа. Убедитесь, что вы задаете только необходимые область и следуйте принципу управления доступом по наименьшим привилегиям. Например, User.Read. Если вы используете пользовательский область, используйте полный универсальный код ресурса (URI) доступного приложения.

Следующие шаги

Прокси-сервер поставщиков удостоверений