En identitetsprovider autentiserar användar- eller klientidentiteter och utfärdar förbrukningsbara säkerhetstoken. Den tillhandahåller användarautentisering som en tjänst.
Klientprogram, till exempel webbprogram, delegerar autentisering till en betrodd identitetsprovider. Sådana klientprogram sägs vara federerade, det vill säga att de använder federerad identitet. Mer information finns i Federerat identitetsmönster.
Använda en betrodd identitetsprovider:
Aktiverar funktioner för enkel inloggning (SSO) så att ett program kan komma åt flera skyddade resurser.
Underlättar anslutningar mellan molnbaserade databehandlingsresurser och användare, vilket minskar behovet av att användare autentiserar igen.
Enkel inloggning
Enkel inloggning refererar till en autentiseringsprocess som gör att en användare kan logga in på ett system en gång med en enda uppsättning autentiseringsuppgifter för att få åtkomst till flera program eller tjänster.
En användare loggar in med ett enda ID och lösenord för att få åtkomst till något av flera relaterade programvarusystem. Mer information finns i Enkel inloggning.
Många identitetsprovidrar stöder en utloggningsåtgärd som återkallar användartoken och avslutar åtkomsten till de associerade programmen och tjänsterna.
Viktigt
Enkel inloggning förbättrar användbarheten genom att minska antalet gånger en användare måste ange autentiseringsuppgifter. Det ger också bättre säkerhet genom att minska den potentiella attackytan.
Microsoft Entra ID-identitetsprovider
Microsoft Entra ID är identitetstjänsten i Microsoft Azure som tillhandahåller funktioner för identitetshantering och åtkomstkontroll. Det gör att du kan logga in användare på ett säkert sätt med hjälp av branschstandardprotokoll som OAuth2.0.
Du kan välja mellan två implementeringar av Active Directory-identitetsprovidern, som har olika inställningar enligt nedan.
Anteckning
Använd de här inställningarna när du konfigurerar OAuth Anslut ion Inställningar i Azure-robotregistreringsprogrammet. Mer information finns i Lägga till autentisering i en robot.
Med Microsofts identitetsplattform (v2.0) – även kallad Microsoft Entra ID-slutpunkt – kan en robot hämta token för att anropa Microsoft-API:er, till exempel Microsoft Graph eller andra API:er. Identitetsplattformen är en utveckling av Azure AD-plattformen (v1.0).
Mer information finns i översikten över Microsofts identitetsplattform (v2.0).
Använd AD v2-inställningarna nedan för att aktivera en robot för åtkomst till Office 365-data via Microsoft Graph-API:et.
Property
Beskrivning eller värde
Namn
Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör
Identitetsprovidern som ska användas. Välj Microsoft Entra-ID.
Klient-ID
Program-ID :t (klient) för din Azure-identitetsproviderapp.
Client secret
Hemligheten för din Azure-identitetsproviderapp.
Tenant ID
Ditt katalog-ID (klientorganisation) eller common. Mer information finns i anteckningen om klientorganisations-ID:t.
Scope
En blankstegsavgränsad lista över DE API-behörigheter som du har beviljat identitetsproviderappen microsoft Entra ID, till exempel openid, profile, Mail.Read, Mail.Send, User.Readoch User.ReadBasic.All.
Token Exchange-URL
För en SSO-aktiverad kunskapsrobot använder du tokenutbytes-URL:en som är associerad med OAuth-anslutningen. Annars lämnar du detta tomt. Information om URL:en för utbyte av SSO-token finns i Skapa en OAuth-anslutningsinställningar.
Azure AD v1
Använd inställningarna nedan för att konfigurera Microsoft Entra ID-utvecklarplattformen (v1.0), även kallad Azure AD v1-slutpunkt . På så sätt kan du skapa appar som på ett säkert sätt loggar in användare med ett Microsoft-arbets- eller skolkonto.
Mer information finns i Översikt över Microsoft Entra-ID för utvecklare (v1.0).
Property
Beskrivning eller värde
Namn
Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör
Identitetsprovidern som ska användas. Välj Microsoft Entra-ID.
Klient-ID
Program-ID :t (klient) för din Azure-identitetsproviderapp.
Client secret
Hemligheten för din Azure-identitetsproviderapp.
Bevilja typ
authorization_code
Inloggnings-URL
https://login.microsoftonline.com
Tenant ID
Ditt katalog-ID (klientorganisation) eller common. Mer information finns i anteckningen nedan om klient-ID:t.
Resurs-URL
https://graph.microsoft.com/
Scope
Lämna tomt.
Token Exchange-URL
Lämna tomt.
Anteckning
Om du har valt något av följande anger du det klientorganisations-ID som du registrerade för Microsoft Entra ID-identitetsproviderappen:
Endast konton i den här organisationskatalogen (endast Microsoft – enskild klientorganisation)
Konton i valfri organisationskatalog (Microsoft AAD-katalog – flera klientorganisationer)
Om du har valt Konton i en organisationskatalog (Alla Microsoft Entra-ID-kataloger – Flera klientorganisationer och personliga Microsoft-konton, t.ex. Skype, Xbox, Outlook.com), anger du common.
Annars använder Microsoft Entra ID-identitetsproviderappen klientorganisationen för att verifiera det valda ID:t och exkludera personliga Microsoft-konton.
Azure har stöd för flera identitetsprovidrar. Du kan hämta en fullständig lista, tillsammans med den relaterade informationen, genom att köra följande Azure-konsolkommandon:
Azure CLI
az loginaz bot authsetting list-providers
Du kan också se listan över dessa leverantörer i Azure-portalen när du definierar OAuth-anslutningsinställningarna för en robotregistreringsapp.
Allmänna OAuth-providers
Azure stöder allmän OAuth2, som gör att du kan använda din egen identitetsprovider.
Du kan välja mellan två allmänna implementeringar av identitetsprovidern, som har olika inställningar enligt nedan.
Anteckning
Använd inställningarna som beskrivs här när du konfigurerar OAuth-Anslut ion Inställningar i Azure-robotregistreringsprogrammet.
Använd den här providern för att konfigurera alla generiska OAuth2-identitetsprovider som har liknande förväntningar som Microsoft Entra ID-provider, särskilt AD v2. För den här anslutningstypen är frågesträngarna och begärandetextnyttolasterna fasta.
Property
Beskrivning eller värde
Namn
Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör
Identitetsprovidern som ska användas. Välj Allmän Oauth 2.
Klient-ID
Ditt klient-ID som hämtats från identitetsprovidern.
Client secret
Din klienthemlighet som hämtas från identitetsproviderns registrering.
En kommaavgränsad lista över DE API-behörigheter som du har beviljat till identitetsproviderappen.
Den här providern kräver fler konfigurationsparametrar, så använd den här versionen för att konfigurera alla generiska OAuth 2-tjänstleverantörer när du behöver mer flexibilitet. Med den här konfigurationen anger du URL-mallarna, frågesträngsmallarna och brödtextmallarna för auktorisering, uppdatering och tokenkonvertering.
Property
Beskrivning eller värde
Namn
Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör
Identitetsprovidern som ska användas. Välj Oauth 2 Allmän provider.
Klient-ID
Ditt klient-ID som hämtats från identitetsprovidern.
Client secret
Din klienthemlighet som hämtas från identitetsproviderns registrering.
Avgränsare för omfattningslista
Avgränsningstecken för omfattningslistan. Tomma blanksteg ( ) stöds inte i det här fältet, men kan användas i fältet Omfång om det krävs av identitetsprovidern . I så fall använder du ett kommatecken (,) för det här fältet och blanksteg ( ) i fältet Omfång .
Mall för auktoriserings-URL
En URL-mall för auktorisering, definierad av din identitetsprovider. Till exempel https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Frågesträngsmall för auktoriserings-URL
En frågemall för auktorisering som tillhandahålls av din identitetsprovider. Nycklarna i frågesträngen varierar beroende på identitetsprovidern. Till exempel ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Frågesträngsavgränsaren för token-URL:en. Vanligtvis ett frågetecken (?).
Mall för tokentext
En mall för tokentexten. Till exempel code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
En frågesträngsavgränsare för uppdaterings-URL för token-URL:en. Vanligtvis ett frågetecken (?).
Uppdatera brödtextmall
En mall för uppdateringstexten. Till exempel refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Token Exchange-URL
Lämna tomt.
Scope
Lista över omfång som du vill att autentiserade användare ska ha loggat in på. Se till att du bara anger de nödvändiga omfången och följ principen för åtkomstkontroll med minst behörighet. Till exempel User.Read. Om du använder ett anpassat omfång använder du den fullständiga URI:n inklusive den exponerade program-ID-URI:n.
Den här modulen beskriver en bred vy över definitionen och tillgängliga tjänster för identiteter som tillhandahålls i Microsoft Cloud från Microsoft Entra ID och till Microsoft 365. Du börjar med grunderna för autentisering, auktorisering och åtkomsttoken. Detta bygger en fast grund för vad en identitet är, varför det är viktigt. Sedan går vi vidare till styrning och livscykelhantering av dina identiteter och identitetslösningar. Det sista avsnittet öppnar termen noll förtroende för att se hur det ska tillä
Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.
Lär dig mer om användarautentiseringsfunktioner i Azure AI Bot Service. Se hur robotar använder OAuth-anslutningar för att logga in användare och få åtkomst till skyddade onlineresurser.
