在 Microsoft Teams 中对用户进行身份验证

身份验证涉及验证应用用户并保护应用及其用户免受未经授权的访问。可以为应用选择适当的身份验证方法，以验证想要使用 Teams 应用的用户。

选择通过以下方式之一为应用添加身份验证：

在 Teams 应用中启用单一登录 (SSO) ：Teams 中的 SSO 是一种身份验证方法，它使用应用用户的 Teams 标识为他们提供对应用的访问权限。登录到 Teams 的用户无需再次登录到 Teams 环境中的应用。 Teams 应用只需获得应用用户的同意，即可从Microsoft Entra ID检索其访问详细信息。应用用户同意后，他们甚至可以从其他设备访问应用，而无需再次验证。 SSO 适用于一对一和组范围。
使用第三方 OAuth 提供程序启用身份验证：可以使用第三方 OAuth 标识提供者 (IdP) 对应用用户进行身份验证。应用用户注册到标识提供者，该标识提供者与应用具有信任关系。当用户尝试登录时，标识提供者会验证应用用户，并向他们提供对应用的访问权限。 Microsoft Entra ID就是此类第三方 OAuth 提供程序之一。可以使用其他提供程序，例如 Google、Facebook、GitHub 或任何其他提供程序。
为嵌套应用启用 SSO：可以使用嵌套应用身份验证 (NAA) ，利用 SSO 对受支持的Microsoft应用中嵌套 (嵌入) 的应用进行身份验证。与现有的完全信任身份验证模型和代表 (OBO) 流相比，NAA 在应用体系结构中提供更好的安全性和灵活性，从而支持创建丰富的客户端驱动应用。

使用网络访问帐户，可以使用 MSAL.js 获取 Teams 选项卡或 Office 外接程序应用的令牌。 NAA 利用Microsoft主机的功能来促进条件访问和Intune策略，例如已注册的设备策略。在本机 Web 视图中托管时，可能不支持这些策略。

注意

MSAL.js v3.15 及更高版本支持 NAA。有关最新更新，请参阅 changelog 条目。
为基于 API 的消息扩展启用身份验证：

可以为基于 API 的消息扩展启用以下身份验证方法：
- API 密钥身份验证：实现 API 密钥身份验证，以使用只有应用和 API 服务知道的密钥令牌对请求进行身份验证。有关详细信息，请参阅 API 密钥身份验证。
- SSO 身份验证：Microsoft Entra 是一种全面的标识和访问管理解决方案，可为基于 API 的消息扩展提供安全身份验证。它确保只有经过身份验证的用户才能在 Microsoft Teams 中访问应用的功能。有关详细信息，请参阅为基于 API 的消息扩展启用 SSO。
- 无： none 当 API 不需要对用户进行任何身份验证时，更新为基于 API 的消息扩展中的的值 authorization 。当 Teams 服务向 API 发送请求时，它不提供任何身份验证信息。
```
    "authorization": {
        "authType": "none"
    }
```