Identitätsanbieter

GILT FÜR: SDK v4

Ein Identitätsanbieter authentifiziert Benutzer- oder Clientidentitäten und gibt verwendbare Sicherheitstoken aus. Er bietet Benutzerauthentifizierung als Dienst.

Clientanwendungen (beispielsweise Webanwendungen) delegieren die Authentifizierung an einen vertrauenswürdigen Identitätsanbieter. Solche Clientanwendungen werden als Verbundanwendungen bezeichnet, was bedeutet, dass sie eine Verbundidentität verwenden. Weitere Informationen finden Sie unter Identitätsverbundmuster.

Die Verwendung eines vertrauenswürdigen Identitätsanbieters hat folgende Vorteile:

• Sie ermöglicht die Verwendung von SSO-Features (Single Sign-On, einmaliges Anmelden), wodurch eine Anwendung auf mehrere geschützte Ressourcen zugreifen kann.
• Unterstützt Verbindungen zwischen Cloud Computing-Ressourcen und Benutzern, so dass sich die Benutzer seltener neu authentifizieren müssen.

Einmaliges Anmelden

Single Sign-On bezieht sich auf einen Authentifizierungsprozess, der es einem Benutzer ermöglicht, sich einmal mit einem einzigen Satz von Anmeldedaten bei einem System anzumelden, um auf mehrere Anwendungen oder Dienste zuzugreifen.

Ein Benutzer meldet sich mit einer einzelnen ID und einem einzelnen Kennwort an, um Zugriff auf mehrere verwandte Softwaresysteme zu erhalten. Weitere Informationen finden Sie unter Einmaliges Anmelden.

Viele Identitätsanbieter unterstützen einen Abmeldevorgang, der das Benutzertoken widerruft und den Zugriff auf die zugeordneten Anwendungen und Dienste beendet.

Wichtig

Einmaliges Anmelden trägt zur Verbesserung der Benutzerfreundlichkeit bei, da Benutzer seltener Anmeldeinformationen eingeben müssen. Darüber hinaus verringert einmaliges Anmelden die potenzielle Angriffsfläche, was wiederum zur Verbesserung der Sicherheit beiträgt.

Microsoft Entra ID ist ein Identitätsanbieter

Microsoft Entra ID ist der Identitätsdienst in Microsoft Azure, der Identitätsverwaltungs- und Zugriffssteuerungsfunktionen bereitstellt. Er ermöglicht sichere Benutzeranmeldungen über branchenübliche Protokolle wie OAuth 2.0.

Sie können zwischen zwei Active Directory-Identitätsanbieterimplementierungen wählen, die unterschiedliche Einstellungen aufweisen (siehe unten).

Hinweis

Verwenden Sie diese Einstellungen bei der Konfiguration der OAuth-Verbindungseinstellungen in der Azure-Botregistrierungsanwendung. Weitere Informationen finden Sie unter Hinzufügen der Authentifizierung zu einem Bot.

Microsoft Entra ID

Die Microsoft Identity Platform (v2.0) – auch bekannt als Microsoft Entra ID-Endpunkt – ermöglicht es einem Bot, Token zum Aufrufen von Microsoft-APIs wie Microsoft Graph oder anderen APIs abzurufen. Die Identitätsplattform ist eine Weiterentwicklung der Azure-AD-Plattform (v1.0). Weitere Informationen finden Sie in der Übersicht über Microsoft Identity Platform (v2.0).

Verwenden Sie die AD v2-Einstellungen unten, um einem Bot den Zugriff auf Office 365-Daten über die Microsoft Graph-API zu ermöglichen.

Eigenschaft	Beschreibung oder Wert
Name	Ein Name für diese Identitätsanbieterverbindung.
Dienstanbieter	Der zu verwendende Identitätsanbieter. Wählen Sie Microsoft Entra ID aus.
Client-ID	Die Anwendungs (Client)-ID für Ihre Azure-Identitätsanbieter-App.
Geheimer Clientschlüssel	Das Geheimnis für Ihre Azure-Identitätsanbieter-App.
Mandanten-ID	Ihre Verzeichnis-ID (Mandant) oder common. Weitere Informationen finden Sie in der Notiz zu Mandanten-IDs.
Bereiche	Eine durch Leerzeichen getrennte Liste der API-Berechtigungen, die Sie der Microsoft Entra ID-Identitätsanbieter-App erteilt haben, z. B. openid, profile, Mail.Read, Mail.Send, User.Read und User.ReadBasic.All.
URL für den Tokenaustausch	Verwenden Sie für einen SSO-fähigen Qualifikations-Bot die Tokenaustausch-URL, die der OAuth-Verbindung zugeordnet ist. Lassen Sie diese Angabe ansonsten leer. Informationen zur Exchange-URL des SSO-Tokens finden Sie unter Erstellen einer OAuth-Verbindungseinstellungen.

Azure AD v1

Azure AD v1

Verwenden Sie die unten gezeigten Einstellungen, um die Microsoft Entra ID-Entwicklerplattform (v1.0) zu konfigurieren, auch als Azure AD v1-Endpunkt bezeichnet. Dies ermöglicht Ihnen das Erstellen von Apps mit sicherer Anmeldung von Benutzern, die über ein Geschäfts-, Schul- oder Unikonto von Microsoft verfügen. Weitere Informationen finden Sie in der Übersicht Microsoft Entra ID für Entwickler (v1.0).

Eigenschaft	Beschreibung oder Wert
Name	Ein Name für diese Identitätsanbieterverbindung.
Dienstanbieter	Der zu verwendende Identitätsanbieter. Wählen Sie Microsoft Entra ID aus.
Client-ID	Die Anwendungs (Client)-ID für Ihre Azure-Identitätsanbieter-App.
Geheimer Clientschlüssel	Das Geheimnis für Ihre Azure-Identitätsanbieter-App.
Grant Type	authorization_code
Anmelde-URL	https://login.microsoftonline.com
Mandanten-ID	Ihre Verzeichnis-ID (Mandant) oder common. Weitere Informationen finden Sie in dem unten stehenden Hinweis zu Mandanten-IDs.
Ressourcen-URL	https://graph.microsoft.com/
Bereiche	Lassen Sie dieses Feld leer.
URL für den Tokenaustausch	Lassen Sie dieses Feld leer.

Hinweis

Wenn Sie eine der folgenden Optionen ausgewählt haben, geben Sie die Mandanten-ID ein, die Sie für die Microsoft Entra ID Identitätsanbieter-App erfasst haben:

• Nur Konten in diesem Organisationsverzeichnis (nur "Microsoft" – einzelner Mandant)
• Konten in einem beliebigen Organisationsverzeichnis (Microsoft AAD-Verzeichnis – mehrinstanzenfähig)

Geben Sie common ein, wenn Sie Konten in allen Organisationsverzeichnissen (Jedes Microsoft Entra ID-Verzeichnis – Mandantenübergreifende und persönliche Microsoft-Konten z. B. Skype, Xbox, Outlook.com) ausgewählt haben.

Andernfalls überprüft die Identitätsanbieter-App von Microsoft Entra ID den Mandanten, um die ausgewählte ID zu verifizieren und persönliche Microsoft-Konten auszuschließen.

Weitere Informationen finden Sie unter:

• Gründe für eine Aktualisierung auf die Microsoft Identity Platform (v2.0)
• Microsoft Identity Platform (Microsoft Entra ID für Entwickler).

Andere Identitätsanbieter

Azure unterstützt verschiedene Identitätsanbieter. Führen Sie die folgenden Azure-Konsolenbefehle aus, um eine vollständige Liste mit den entsprechenden Details zu erhalten:

az login
az bot authsetting list-providers

Sie können diese Anbieterliste auch im Azure-Portal anzeigen, wenn Sie die OAuth-Verbindungseinstellungen für eine Botregistrierungs-App definieren.

Generische OAuth-Anbieter

Azure unterstützt generisches OAuth 2.0 und damit die Verwendung Ihres eigenen Identitätsanbieters.

Sie können zwischen zwei generischen Identitätsanbieterimplementierungen wählen. Diese haben jeweils unterschiedliche Einstellungen, wie weiter unten gezeigt.

Hinweis

Verwenden Sie die hier beschriebenen Einstellungen beim Konfigurieren der OAuth-Verbindungseinstellungen in der Azure-Botregistrierungsanwendung.

Generisches OAuth 2.0

Verwenden Sie diesen Anbieter, um generische OAuth2-Identitätsanbieter zu konfigurieren, bei denen ähnliche Erwartungen erfüllt werden müssen wie beim Microsoft Entra ID-Anbieter (insbesondere AD v2). Für diesen Verbindungstyp sind die Abfragezeichenketten und Anforderungstextnutzlasten behoben.

Eigenschaft	Beschreibung oder Wert
Name	Ein Name für diese Identitätsanbieterverbindung.
Dienstanbieter	Der zu verwendende Identitätsanbieter. Wählen Sie Generic Oauth 2 aus.
Client-ID	Ihre vom Identitätsanbieter erhaltene Client-ID.
Geheimer Clientschlüssel	Ihr geheimer Clientschlüssel, den Sie bei der Registrierung des Identitätsanbieters erhalten haben.
Autorisierungs-URL	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Aktualisierungs-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL für den Tokenaustausch	Lassen Sie dieses Feld leer.
Bereiche	Eine durch Kommata getrennte Liste der API-Berechtigungen, die Sie der Identitätsanbieter-App gewährt haben.

Generischer OAuth 2-Anbieter

Dieser Anbieter erfordert mehr Konfigurationsparameter. Verwenden Sie daher diese Version, um einen generischen OAuth-2-Dienstanbieter zu konfigurieren, wenn Sie mehr Flexibilität benötigen. Mit dieser Konfiguration werden die URL-Vorlagen, die Abfragezeichenfolgenvorlagen und die Textvorlagen für die Autorisierung, Aktualisierung und Tokenkonvertierung angegeben.

Eigenschaft	Beschreibung oder Wert
Name	Ein Name für diese Identitätsanbieterverbindung.
Dienstanbieter	Der zu verwendende Identitätsanbieter. Wählen Sie Generischer OAuth 2-Anbieter
Client-ID	Ihre vom Identitätsanbieter erhaltene Client-ID.
Geheimer Clientschlüssel	Ihr geheimer Clientschlüssel, den Sie bei der Registrierung des Identitätsanbieters erhalten haben.
Trennzeichen für die Bereichsliste	Das Trennzeichen für die Bereichsliste. Leerzeichen ( ) werden in diesem Feld nicht unterstützt, können aber im Feld Geltungsbereich verwendet werden, wenn der Identitätsanbieter dies verlangt. Verwenden Sie in diesem Fall ein Komma (,) für dieses Feld und Leerzeichen ( ) im Feld Geltungsbereiche.
Vorlage für die Autorisierungs-URL	Eine URL-Vorlage für Autorisierung, definiert von Ihrem Identitätsanbieter. Beispielsweise https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Abfragezeichenvorlage für Autorisierungs-URL	Eine Abfragevorlage für die Autorisierung, die von Ihrem Identitätsanbieter bereitgestellt wird. Die Schlüssel in der Abfragezeichenfolgenvorlage variieren je nach Identitätsanbieter. Beispielsweise ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Vorlage für die Token-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Abfragezeichenfolgenvorlage für die Token-URL	Das Trennzeichen für die Abfragezeichenfolge für die Token-URL. In der Regel ein Fragezeichen (?).
Vorlage für den Tokentext	Eine Vorlage für den Tokennachrichtentext. Beispielsweise code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Vorlage für die Aktualisierungs-URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Abfragezeichenfolgenvorlage für die Aktualisierungs-URL	Ein Trennzeichen für die Aktualisierung der URL-Abfragezeichenfolge für die Token-URL. In der Regel ein Fragezeichen (?).
Vorlage für den Aktualisierungstext	Eine Vorlage für den Aktualisierungsnachrichtentext. Beispielsweise refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
URL für den Tokenaustausch	Lassen Sie dieses Feld leer.
Bereiche	Liste der Bereiche, die authentifizierte Benutzer einmal angemeldet haben sollen. Stellen Sie sicher, dass Sie nur die erforderlichen Bereiche festlegen und dem Prinzip der Zugriffssteuerung der geringsten Berechtigungen folgen. Beispielsweise User.Read. Wenn Sie einen benutzerdefinierten Bereich verwenden, verwenden Sie den vollständigen URI einschließlich des exponierten Anwendungs-ID-URIs.

Nächste Schritte

Identitätsanbieterproxy