Поделиться через


Поставщики удостоверений

ОБЛАСТЬ ПРИМЕНЕНИЯ: ПАКЕТ SDK версии 4

Поставщик удостоверений выполняет проверку подлинности удостоверений пользователя или клиента и выдает одноразовые маркеры безопасности. Он предоставляет проверку подлинности пользователей как услугу.

Клиентские приложения, например веб-приложения, делегируют аутентификацию доверенному поставщику удостоверений. В этом случае говорят, что клиентские приложения являются федеративными или используют федеративную идентификацию. Дополнительные сведения см . в разделе "Федеративное удостоверение".

Использование доверенного поставщика удостоверений обеспечивает следующее:

  • Поддержка функций единого входа (SSO), которые позволяют приложению получать доступ к нескольким защищенным ресурсам.
  • Упрощает подключение между ресурсами облачных вычислений и пользователями, уменьшая необходимость повторной проверки подлинности пользователей.

Единый вход

Единый вход относится к процессу проверки подлинности, который позволяет пользователю входить в систему один раз с одним набором учетных данных для доступа к нескольким приложениям или службам.

Пользователь входит в систему с одним набором идентификатора и пароля для использования любой из нескольких связанных программных систем. См. сведения о едином входе.

Многие поставщики удостоверений поддерживают операцию выхода, которая отменяет маркер пользователя и завершает доступ к связанным приложениям и службам.

Важно!

Единый вход повышает удобство использования, избавляя пользователей от необходимости многократного ввода учетных данных. Кроме того, он обеспечивает защиту, сокращая поверхность потенциальной атаки.

Поставщик удостоверений идентификатора Microsoft Entra

Идентификатор Microsoft Entra — это служба удостоверений в Microsoft Azure, которая предоставляет возможности управления удостоверениями и управления доступом. Она позволяет безопасно выполнять вход пользователей с помощью стандартных отраслевых протоколов, таких как OAuth 2.0.

Вы можете выбрать один из двух реализаций поставщика удостоверений Active Directory, которые имеют разные параметры, как показано ниже.

Примечание.

Используйте эти параметры при настройке Подключение ion OAuth Параметры в приложении регистрации бота Azure. Дополнительные сведения см. в разделе "Добавление проверки подлинности в бот".

Платформа удостоверений Майкрософт (версия 2.0) (также известная как конечная точка идентификатора Microsoft Entra ID) позволяет боту получать маркеры для вызова API Майкрософт, таких как Microsoft Graph или другие API. Платформа удостоверений — эволюция платформы Azure AD (версия 1.0). Дополнительные сведения см. в обзоре платформа удостоверений Майкрософт (версии 2.0).

Используйте приведенные ниже параметры AD версии 2, чтобы позволить боту получать доступ к данным Office 365 через API Microsoft Graph.

Свойство Описание или значение
Название Имя подключения поставщика удостоверений.
Поставщик услуг Используемый поставщик удостоверений. Выберите идентификатор Microsoft Entra.
Идентификатор клиента Идентификатор приложения (клиента) для приложения поставщика удостоверений Azure.
Секрет клиента Секрет приложения поставщика удостоверений Azure.
Идентификатор клиента Идентификатор каталога (клиента) или common. Дополнительные сведения см. в заметке об идентификаторах клиента.
Области действия Разделенный пробелом список разрешений API, предоставленных приложению поставщика удостоверений Microsoft Entra ID, например openid, , profile, Mail.ReadMail.Send, User.Readи User.ReadBasic.All.
URL-адрес обмена токенами Для бота с поддержкой единого входа используйте URL-адрес обмена маркерами, связанный с подключением OAuth; в противном случае оставьте его пустым. Сведения о URL-адресе обмена маркерами единого входа см. в разделе "Создание параметров подключения OAuth".

Примечание.

Если выбран один из следующих вариантов, введите идентификатор клиента, записанный для приложения поставщика удостоверений Microsoft Entra ID:

  • Учетные записи только в этом каталоге организации (только Microsoft — один клиент)
  • Учетные записи в любом каталоге организации (каталог Microsoft AAD — мультитенантный)

Если вы выбрали учетные записи в любом каталоге организации (любой каталог Идентификатора Майкрософт — мультитенантные и личные учетные записи Майкрософт, например Skype, Xbox, Outlook.com), введите common.

В противном случае приложение поставщика удостоверений Microsoft Entra ID будет использовать клиент для проверки выбранного идентификатора и исключения личных учетных записей Майкрософт.

Дополнительные сведения см. в разделе:

Другие поставщики удостоверений

Azure поддерживает несколько поставщиков удостоверений. Полный список можно получить вместе с соответствующими сведениями, выполнив следующие команды консоли Azure:

az login
az bot authsetting list-providers

Вы также можете просмотреть список этих поставщиков в портал Azure при определении параметров подключения OAuth для приложения регистрации бота.

Azure identity providers

Универсальные поставщики OAuth

поддержка Azure универсальный OAuth2, который позволяет использовать собственный поставщик удостоверений.

Вы можете выбрать две реализации универсального поставщика удостоверений, которые имеют разные параметры, как показано ниже.

Примечание.

Используйте параметры, описанные здесь при настройке Подключение Подключение OAuth Параметры в приложении регистрации бота Azure.

Используйте этот поставщик для настройки любого универсального поставщика удостоверений OAuth2, который имеет аналогичные ожидания, как поставщик идентификатора Microsoft Entra ID, особенно AD версии 2. Для этого типа подключения исправляются строки запроса и полезные данные текста запроса.

Свойство Описание или значение
Название Имя подключения поставщика удостоверений.
Поставщик услуг Используемый поставщик удостоверений. Выберите универсальный Oauth 2.
Идентификатор клиента Идентификатор клиента, полученный от поставщика удостоверений.
Секрет клиента Секрет клиента, полученный из регистрации поставщика удостоверений.
URL-адрес авторизации https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL-адрес токена https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-адрес обновления https://login.microsoftonline.com/common/oauth2/v2.0/token
URL-адрес обмена токенами Оставьте это поле пустым.
Области действия Список разрешений API, предоставленных приложению поставщика удостоверений, разделенный запятыми.

Следующие шаги