IdentitätsanbieterIdentity providers

gilt für: SDK v4APPLIES TO: SDK v4

Ein Identitätsanbieter authentifiziert Benutzer- oder Clientidentitäten und gibt verwendbare Sicherheitstoken aus.An identity provider authenticates user or client identities and issues consumable security tokens. Er bietet Benutzerauthentifizierung als Dienst.It provides user authentication as a service.

Clientanwendungen (beispielsweise Webanwendungen) delegieren die Authentifizierung an einen vertrauenswürdigen Identitätsanbieter.Client applications, such as web applications, delegate authentication to a trusted identity provider. Solche Clientanwendungen werden als Verbundanwendungen bezeichnet, was bedeutet, dass sie eine Verbundidentität verwenden.Such client applications are said to be federated, that is, they use federated identity. Weitere Informationen finden Sie unter Verbundidentitätsmuster.For more information, see Federated Identity pattern.

Die Verwendung eines vertrauenswürdigen Identitätsanbieters hat folgende Vorteile:Using a trusted identity provider:

  • Sie ermöglicht die Verwendung von SSO-Features (Single Sign-On, einmaliges Anmelden), wodurch eine Anwendung auf mehrere geschützte Ressourcen zugreifen kann.Enables single sign-on (SSO) features, allowing an application to access multiple secured resources.
  • Sie vereinfacht die Verbindungsherstellung zwischen Cloud Computing-Ressourcen und Benutzern und sorgt dafür, dass sich Benutzer seltener neu authentifizieren müssen.Facilitates connections between cloud computing resources and users, decreasing the need for users to re-authenticate.

Einmaliges AnmeldenSingle sign-on

Einmaliges Anmelden bezieht sich auf einen Authentifizierungsprozess, mit dem sich ein Benutzer einmal mit einem einzigen Satz von Anmeldeinformationen bei einem System anmelden kann, um auf mehrere Anwendungen oder Dienste zu zugreifen.Single sign-on refers to an authentication process that lets a user to log on to a system once with a single set of credentials to access multiple applications or services.

Ein Benutzer meldet sich mit einer einzelnen ID und einem einzelnen Kennwort an, um Zugriff auf mehrere verwandte Softwaresysteme zu erhalten.A user logs in with a single ID and password to gain access to any of several related software systems. Weitere Informationen finden Sie unter Einmaliges Anmelden.For more information, see Single sign on.

Viele Identitätsanbieter unterstützen einen Abmeldevorgang, der das Benutzertoken widerruft und den Zugriff auf die zugeordneten Anwendungen und Dienste beendet.Many identity providers support a sign-out operation that revokes the user token and terminates access to to the associated applications and services.

Wichtig

Einmaliges Anmelden trägt zur Verbesserung der Benutzerfreundlichkeit bei, da Benutzer seltener Anmeldeinformationen eingeben müssen.SSO enhances usability by reducing the number of times a user must enter credentials. Darüber hinaus verringert einmaliges Anmelden die potenzielle Angriffsfläche, was wiederum zur Verbesserung der Sicherheit beiträgt.It also provides better security by decreasing the potential attack surface.

Azure Active Directory-IdentitätsanbieterAzure Active Directory identity provider

Azure Active Directory (AD) ist der Identitätsdienst in Microsoft Azure, der Funktionen für die Identitätsverwaltung und Zugriffssteuerung bereitstellt.Azure Active Directory (AD) is the identity service in Microsoft Azure that provides identity management and access control capabilities. Damit können Sie Benutzer mit branchenüblich standardmäßigen Protokollen wie OAuth 2.0 sicher anmelden.It allows you to securely sign in users using industry standard protocols like OAuth2.0.

Sie können zwischen zwei AD-Identitätsanbieterimplementierungen wählen. Diese haben jeweils unterschiedliche Einstellungen, wie weiter unten gezeigt.You can choose from two AD identity provider implementations which have different settings as shown below.

Hinweis

Die hier beschriebenen Einstellungen werden beim Konfigurieren der OAuth-Verbindungseinstellungen in der Azure-Botregistrierungsanwendung verwendet.You use the settings described here when configuring the OAuth Connection Settings in the Azure bot registration application. Weitere Informationen finden Sie unter Hinzufügen der Authentifizierung zu einem Bot.For more information, see Add authentication to a bot.

Azure AD v1Azure AD v1

Sie verwenden die angezeigten Einstellungen, um die Azure AD-Entwicklerplattform (v1.0) zu konfigurieren, die auch Azure AD v1-Endpunkt bezeichnet wird.You use the settings shown to configure the Azure AD developer platform (v1.0), also known as Azure AD v1 endpoint. Auf diese Weise können Sie Apps erstellen, die Benutzer mit einem Microsoft-Arbeits- oder Schulkonto sicher anmelden.This allows you to build apps that securely sign in users with a Microsoft work or school account. Weitere Informationen finden Sie unter Azure Active Directory für Entwickler (v1.0) – Übersicht.For more information, see Azure Active Directory for developers (v1.0) overview.

EigenschaftProperty BeschreibungDescription WertValue
NameName Name Ihrer VerbindungThe name of your connection <Ihr Name für die Verbindung><Your name for the connection>
DienstanbieterService Provider Azure AD-IdentitätsanbieterAzure AD Identity provider Azure Active Directory
Client-IDClient ID App-ID des Azure AD-IdentitätsanbietersAzure AD identity provider app ID <App-ID des AAD-Anbieters><AAD provider app ID>
Geheimer ClientschlüsselClient secret App-Geheimnis des Azure AD-IdentitätsanbietersAzure AD identity provider app secret <App-Geheimnis des AAD-Anbieters><AAD provider app secret>
GewährungstypGrant Type authorization_code
Anmelde-URLLogin URL https://login.microsoftonline.com
Tenant IDTenant ID <Verzeichnis-ID (Mandant)> oder common.<directory (tenant) ID> or common. Siehe Hinweis.See note.
Ressourcen-URLResource URL https://graph.microsoft.com/
BereicheScopes
URL für den TokenaustauschToken Exchange URL Für SSO in Azure AD v2Used for SSO in Azure AD v2

HinweisNote

  • Geben Sie die für die AAD-Identitätsanbieter-App erfasste Mandanten-ID ein, falls Sie eine der folgenden Optionen ausgewählt haben:Enter the tenant ID you recorded for the AAD identity provider app, if you selected one of the following:

    • Nur Konten in diesem Organisationsverzeichnis (nur "Microsoft" – einzelner Mandant)Accounts in this organizational directory only (Microsoft only - Single tenant)

    • Konten in einem beliebigen Organisationsverzeichnis (Microsoft AAD-Verzeichnis – mehrinstanzenfähig)Accounts in any organizational directory(Microsoft AAD directory - Multi tenant)

  • Geben Sie common ein, wenn Sie Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten (z. B. Skype, Xbox, Outlook.com) ausgewählt haben.Enter common if you selected Accounts in any organizational directory (Any AAD directory - Multi tenant and personal Microsoft accounts e.g. Skype, Xbox, Outlook.com). Andernfalls überprüft die AAD-Identitätsanbieter-App über den Mandanten, wessen ID ausgewählt wurde, und schließt persönliche MS-Konten aus.Otherwise, the AAD identity provider app will verify through the tenant whose ID was selected and exclude personal MS accounts.

Weitere Informationen finden Sie unterFor more information, see:

Andere IdentitätsanbieterOther identity providers

Azure unterstützt verschiedene Identitätsanbieter.Azure supports several identity providers. Sie können eine vollständige Liste zusammen mit den zugehörigen Details erhalten, indem Sie die folgenden Azure-Konsolenbefehle ausführen:You can get a complete list, along with the related details, by running the following Azure console commands:

az login
az bot authsetting list-providers

Sie können auch die Liste dieser Anbieter im Azure-Portal, wenn Sie die OAuth-Verbindungseinstellungen für eine Botregistrierungs-App definieren.You can also see the list of these providers in the Azure portal when you define the OAuth connection settings for a bot registration app.

Azure-Identitätsanbieter

Generische OAuth-AnbieterOAuth generic providers

Azure unterstützt generisches OAuth 2.0 und damit die Verwendung Ihrer eigenen Identitätsanbieter.Azure supports generic OAuth2 which allow you to use your own identity providers.

Sie können zwischen zwei generischen Identitätsanbieterimplementierungen wählen. Diese haben jeweils unterschiedliche Einstellungen, wie weiter unten gezeigt.You can choose from two generic identity provider implementations which have different settings as shown below.

Hinweis

Die hier beschriebenen Einstellungen werden beim Konfigurieren der OAuth-Verbindungseinstellungen in der Azure-Botregistrierungsanwendung verwendet.You use the settings described here when configuring the OAuth Connection Settings in the Azure bot registration application.

Generisches OAuth 2.0Generic OAuth 2

Verwenden Sie diesen Anbieter, um generische OAuth2-Identitätsanbieter zu konfigurieren, bei denen ähnliche Erwartungen erfüllt werden müssen wie beim Azure AD-Anbieter (insbesondere AD v2).Use this provider to configure any generic OAuth2 identity provider that has similar expectations as Azure AD provider, particularly AD v2. Ihnen steht nur eine begrenzte Anzahl von Eigenschaften zur Verfügung, da die Nutzlasten der Abfragezeichenfolgen und des Anforderungstexts fest vorgegeben sind.You have a limited number of properties because the query strings and request body payloads are fixed. Für die werte, die Sie eingeben, können Sie sehen, wie sich Parameter für die verschiedenen URLs, Abfragezeichenfolgen und Textkörper in geschweiften Klammern {} befinden.For the values you enter, you can see how parameters to the various URLs, query strings, and bodies are in curly braces {}.

EigenschaftProperty BeschreibungDescription WertValue
NameName Name Ihrer VerbindungThe name of your connection <Your name for the connection>
DienstanbieterService Provider IdentitätsanbieterIdentity provider Wählen Sie in der Dropdownliste die Option Generisches OAuth 2.0 aus.From the drop-down list, select Generic Oauth 2
Client-IDClient ID App-ID des IdentitätsanbietersIdentity provider app ID <provider ID>
Geheimer ClientschlüsselClient secret App-Geheimnis des IdentitätsanbietersIdentity provider app secret <Anbietergeheimnis><provider secret>
Autorisierungs-URLAuthorization URL https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Abfragezeichenfolge für die Autorisierungs-URLAuthorization URL Query String ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}
Token-URLToken URL https://login.microsoftonline.com/common/oauth2/v2.0/token
TokentextToken Body Text, der für den Tokenaustausch gesendet werden sollBody to send for the token exchange code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}
Aktualisierungs-URLRefresh URL https://login.microsoftonline.com/common/oauth2/v2.0/token
Vorlage für den AktualisierungstextRefresh Body Template Text, der bei der Tokenaktualisierung gesendet werden sollBody to send with the token refresh refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}
BereicheScopes Kommagetrennte Liste der API-Berechtigungen, die Sie zuvor der Azure AD-Authentifizierungs-App erteilt habenComma separated list of the API permissions you granted earlier to the Azure AD authentication app Werte wie openid , profile , Mail.Read , Mail.Send , User.Read und User.ReadBasic.AllValues such as openid, profile, Mail.Read, Mail.Send, User.Read, and User.ReadBasic.All