Identitetsprovidrar

GÄLLER FÖR: SDK v4

En identitetsprovider autentiserar användar- eller klientidentiteter och utfärdar förbrukningsbara säkerhetstoken. Den tillhandahåller användarautentisering som en tjänst.

Klientprogram, till exempel webbprogram, delegerar autentisering till en betrodd identitetsprovider. Sådana klientprogram sägs vara federerade, det vill säga att de använder federerad identitet. Mer information finns i Federerat identitetsmönster.

Använda en betrodd identitetsprovider:

• Aktiverar funktioner för enkel inloggning (SSO) så att ett program kan komma åt flera skyddade resurser.
• Underlättar anslutningar mellan molnbaserade databehandlingsresurser och användare, vilket minskar behovet av att användare autentiserar igen.

Enkel inloggning

Enkel inloggning refererar till en autentiseringsprocess som gör att en användare kan logga in på ett system en gång med en enda uppsättning autentiseringsuppgifter för att få åtkomst till flera program eller tjänster.

En användare loggar in med ett enda ID och lösenord för att få åtkomst till något av flera relaterade programvarusystem. Mer information finns i Enkel inloggning.

Många identitetsprovidrar stöder en utloggningsåtgärd som återkallar användartoken och avslutar åtkomsten till de associerade programmen och tjänsterna.

Viktigt!

Enkel inloggning förbättrar användbarheten genom att minska antalet gånger en användare måste ange autentiseringsuppgifter. Det ger också bättre säkerhet genom att minska den potentiella attackytan.

Microsoft Entra ID-identitetsprovider

Microsoft Entra ID är identitetstjänsten i Microsoft Azure som tillhandahåller funktioner för identitetshantering och åtkomstkontroll. Det gör att du kan logga in användare på ett säkert sätt med hjälp av branschstandardprotokoll som OAuth2.0.

Du kan välja mellan två implementeringar av Active Directory-identitetsprovidern, som har olika inställningar enligt nedan.

Kommentar

Använd de här inställningarna när du konfigurerar OAuth Anslut ion Inställningar i Azure-robotregistreringsprogrammet. Mer information finns i Lägga till autentisering i en robot.

Microsoft Entra-ID

Med Microsofts identitetsplattform (v2.0) – även kallad Microsoft Entra ID-slutpunkt – kan en robot hämta token för att anropa Microsoft-API:er, till exempel Microsoft Graph eller andra API:er. Identitetsplattformen är en utveckling av Azure AD-plattformen (v1.0). Mer information finns i översikten över Microsofts identitetsplattform (v2.0).

Använd AD v2-inställningarna nedan för att aktivera en robot för åtkomst till Office 365-data via Microsoft Graph-API:et.

Property	Beskrivning eller värde
Namn	Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör	Identitetsprovidern som ska användas. Välj Microsoft Entra-ID.
Klient-ID	Program-ID :t (klient) för din Azure-identitetsproviderapp.
Client secret	Hemligheten för din Azure-identitetsproviderapp.
Tenant ID	Ditt katalog-ID (klientorganisation) eller common. Mer information finns i anteckningen om klientorganisations-ID:t.
Scope	En blankstegsavgränsad lista över DE API-behörigheter som du har beviljat identitetsproviderappen microsoft Entra ID, till exempel openid, profile, Mail.Read, Mail.Send, User.Readoch User.ReadBasic.All.
Token Exchange-URL	För en SSO-aktiverad kunskapsrobot använder du tokenutbytes-URL:en som är associerad med OAuth-anslutningen. Annars lämnar du detta tomt. Information om URL:en för utbyte av SSO-token finns i Skapa en OAuth-anslutningsinställningar.

Azure AD v1

Azure AD v1

Använd inställningarna nedan för att konfigurera Microsoft Entra ID-utvecklarplattformen (v1.0), även kallad Azure AD v1-slutpunkt . På så sätt kan du skapa appar som på ett säkert sätt loggar in användare med ett Microsoft-arbets- eller skolkonto. Mer information finns i Översikt över Microsoft Entra-ID för utvecklare (v1.0).

Property	Beskrivning eller värde
Namn	Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör	Identitetsprovidern som ska användas. Välj Microsoft Entra-ID.
Klient-ID	Program-ID :t (klient) för din Azure-identitetsproviderapp.
Client secret	Hemligheten för din Azure-identitetsproviderapp.
Bevilja typ	authorization_code
Inloggnings-URL	https://login.microsoftonline.com
Tenant ID	Ditt katalog-ID (klientorganisation) eller common. Mer information finns i anteckningen nedan om klient-ID:t.
Resurs-URL	https://graph.microsoft.com/
Scope	Lämna tomt.
Token Exchange-URL	Lämna tomt.

Kommentar

Om du har valt något av följande anger du det klientorganisations-ID som du registrerade för Microsoft Entra ID-identitetsproviderappen:

• Endast konton i den här organisationskatalogen (endast Microsoft – enskild klientorganisation)
• Konton i valfri organisationskatalog (Microsoft AAD-katalog – flera klientorganisationer)

Om du har valt Konton i en organisationskatalog (Alla Microsoft Entra-ID-kataloger – Flera klientorganisationer och personliga Microsoft-konton, t.ex. Skype, Xbox, Outlook.com), anger du common.

Annars använder Microsoft Entra ID-identitetsproviderappen klientorganisationen för att verifiera det valda ID:t och exkludera personliga Microsoft-konton.

Mer information finns i:

• Varför uppdateras till Microsofts identitetsplattform (v2.0)?
• Microsofts identitetsplattform (Microsoft Entra-ID för utvecklare).

Andra identitetsprovidrar

Azure har stöd för flera identitetsprovidrar. Du kan hämta en fullständig lista, tillsammans med den relaterade informationen, genom att köra följande Azure-konsolkommandon:

az login
az bot authsetting list-providers

Du kan också se listan över dessa leverantörer i Azure-portalen när du definierar OAuth-anslutningsinställningarna för en robotregistreringsapp.

Allmänna OAuth-providers

Azure stöder allmän OAuth2, som gör att du kan använda din egen identitetsprovider.

Du kan välja mellan två allmänna implementeringar av identitetsprovidern, som har olika inställningar enligt nedan.

Kommentar

Använd inställningarna som beskrivs här när du konfigurerar OAuth-Anslut ion Inställningar i Azure-robotregistreringsprogrammet.

Allmän OAuth 2

Använd den här providern för att konfigurera alla generiska OAuth2-identitetsprovider som har liknande förväntningar som Microsoft Entra ID-provider, särskilt AD v2. För den här anslutningstypen är frågesträngarna och begärandetextnyttolasterna fasta.

Property	Beskrivning eller värde
Namn	Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör	Identitetsprovidern som ska användas. Välj Allmän Oauth 2.
Klient-ID	Ditt klient-ID som hämtats från identitetsprovidern.
Client secret	Din klienthemlighet som hämtas från identitetsproviderns registrering.
Auktoriserings-URL	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Uppdatera URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Token Exchange-URL	Lämna tomt.
Scope	En kommaavgränsad lista över DE API-behörigheter som du har beviljat till identitetsproviderappen.

Allmän OAuth 2-provider

Den här providern kräver fler konfigurationsparametrar, så använd den här versionen för att konfigurera alla generiska OAuth 2-tjänstleverantörer när du behöver mer flexibilitet. Med den här konfigurationen anger du URL-mallarna, frågesträngsmallarna och brödtextmallarna för auktorisering, uppdatering och tokenkonvertering.

Property	Beskrivning eller värde
Namn	Ett namn på den här identitetsprovideranslutningen.
Tjänsteleverantör	Identitetsprovidern som ska användas. Välj Oauth 2 Allmän provider.
Klient-ID	Ditt klient-ID som hämtats från identitetsprovidern.
Client secret	Din klienthemlighet som hämtas från identitetsproviderns registrering.
Avgränsare för omfattningslista	Avgränsningstecken för omfattningslistan. Tomma blanksteg ( ) stöds inte i det här fältet, men kan användas i fältet Omfång om det krävs av identitetsprovidern . I så fall använder du ett kommatecken (,) för det här fältet och blanksteg ( ) i fältet Omfång .
Mall för auktoriserings-URL	En URL-mall för auktorisering, definierad av din identitetsprovider. Till exempel https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Frågesträngsmall för auktoriserings-URL	En frågemall för auktorisering som tillhandahålls av din identitetsprovider. Nycklarna i frågesträngen varierar beroende på identitetsprovidern. Till exempel ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Mall för token-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Frågesträngsmall för token-URL	Frågesträngsavgränsaren för token-URL:en. Vanligtvis ett frågetecken (?).
Mall för tokentext	En mall för tokentexten. Till exempel code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Uppdatera URL-mall	https://login.microsoftonline.com/common/oauth2/v2.0/token
Uppdatera url-frågesträngsmall	En frågesträngsavgränsare för uppdaterings-URL för token-URL:en. Vanligtvis ett frågetecken (?).
Uppdatera brödtextmall	En mall för uppdateringstexten. Till exempel refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Token Exchange-URL	Lämna tomt.
Scope	Lista över omfång som du vill att autentiserade användare ska ha loggat in på. Se till att du bara anger de nödvändiga omfången och följ principen för åtkomstkontroll med minst behörighet. Till exempel User.Read. Om du använder ett anpassat omfång använder du den fullständiga URI:n inklusive den exponerade program-ID-URI:n.

Nästa steg

Identitetsproviderproxy