在 Microsoft Teams 中对用户进行身份验证
身份验证涉及验证应用用户,以及保护应用和应用用户免受不必要的访问。 可以使用适用于应用的身份验证方法来验证想要使用 Teams 应用的应用用户。
选择通过以下方式之一为应用添加身份验证:
在 Teams 应用中启用单一登录 (SSO) :Teams 中的 SSO 是一种身份验证方法,它使用应用用户的 Teams 标识为他们提供对应用的访问权限。 登录到 Teams 的用户无需再次登录到 Teams 环境中的应用。 Teams 应用只需获得应用用户的同意,即可从Microsoft Entra ID检索其访问详细信息。 应用用户同意后,他们甚至可以从其他设备访问应用,而无需再次验证。
使用第三方 OAuth 提供程序启用身份验证:可以使用第三方 OAuth 标识提供者 (IdP) 对应用用户进行身份验证。 应用用户注册到标识提供者,该标识提供者与应用具有信任关系。 当用户尝试登录时,标识提供者会验证应用用户,并向他们提供对应用的访问权限。 Microsoft Entra ID就是此类第三方 OAuth 提供程序之一。 可以使用其他提供程序,例如 Google、Facebook、GitHub 或任何其他提供程序。
为嵌套应用启用 SSO:可以使用嵌套应用身份验证 (NAA) ,利用 SSO 对受支持的Microsoft应用中嵌套 (嵌入) 的应用进行身份验证。 与现有的完全信任身份验证模型和代表 (OBO) 流相比,NAA 在应用体系结构中提供更好的安全性和灵活性,从而支持创建丰富的客户端驱动应用。
使用网络访问帐户,可以使用 MSAL.js 获取 Teams 选项卡或 Office 外接程序应用的令牌。 NAA 利用Microsoft主机的功能来促进条件访问和Intune策略,例如已注册的设备策略。 在本机 Web 视图中托管时,可能不支持这些策略。
注意
- NAA 仅在 公共开发人员预览版中可用。
- MSAL.js v3.15 及更高版本支持 NAA。 有关最新更新,请参阅 changelog 条目。
为基于 API 的消息扩展启用身份验证:
可以为基于 API 的消息扩展启用以下身份验证方法:
API 密钥身份验证:实现 API 密钥身份验证,以使用只有应用和 API 服务知道的密钥令牌对请求进行身份验证。 有关详细信息,请参阅 API 密钥身份验证
SSO 身份验证:Microsoft Entra 是一种全面的标识和访问管理解决方案,可为基于 API 的消息扩展提供安全身份验证。 它确保只有经过身份验证的用户才能在 Microsoft Teams 中访问应用的功能。 有关详细信息,请参阅 为基于 API 的消息扩展启用 SSO。
无:
none
当 API 不需要对用户进行任何身份验证时,更新为 基于 API 的消息扩展中的 的值authorization
。 当 Teams 服务向 API 发送请求时,它不提供任何身份验证信息。"authorization": { "authType": "none" }
选择身份验证方法
在选项卡应用、机器人应用和消息传递扩展应用中启用 SSO 或第三方 OAuth IdP 身份验证。 选择在应用中添加身份验证的两种方法之一:
SSO
OAuth
选项卡应用
机器人应用
消息扩展应用