Proveedores de identidades

SE APLICA A: SDK v4

Un proveedor de identidades autentica identidades de clientes o usuarios y emite tokens de seguridad que se pueden consumir. Proporciona la autenticación de usuario como servicio.

Las aplicaciones cliente, como las aplicaciones web, delegan la autenticación en un proveedor de identidades de confianza. Se dice que estas aplicaciones cliente son federadas, es decir, usan la identidad federada. Para obtener más información, consulte Patrón de identidad federada.

El uso de un proveedor de identidades de confianza:

• Habilita características de inicio de sesión único (SSO), lo que permite que una aplicación tenga acceso a varios recursos protegidos.
• Facilita las conexiones entre los usuarios y los recursos de informática en la nube, lo que reduce la necesidad de volver a autenticar a los usuarios.

Inicio de sesión único

El inicio de sesión único hace referencia a un proceso de autenticación que permite a un usuario iniciar sesión en un sistema una vez con un único conjunto de credenciales para acceder a varias aplicaciones o servicios.

Un usuario inicia sesión con un solo identificador y contraseña para obtener acceso a cualquiera de los distintos sistemas de software relacionados. Para más información, consulte Inicio de sesión único.

Muchos proveedores de identidades admiten una operación de cierre de sesión que revoca el token de usuario y termina el acceso a las aplicaciones y los servicios asociados.

Importante

El inicio de sesión único mejora la facilidad de uso al reducir el número de veces que un usuario debe escribir las credenciales. También proporciona una mayor seguridad al disminuir la superficie de ataque potencial.

Proveedor de identidades de Microsoft Entra ID

Microsoft Entra ID es el servicio de identidad de Microsoft Azure que proporciona funcionalidades de administración de identidades y control de acceso. Permite a los usuarios iniciar sesión de forma segura mediante protocolos estándar del sector como OAuth 2.0.

Puede elegir entre dos implementaciones del proveedor de identidades de Active Directory que tienen configuraciones diferentes, como se muestra a continuación.

Nota:

Utilice estas configuraciones al establecer la configuración de conexión de OAuth en la aplicación de registro del bot de Azure. Para obtener más información, consulte Adición de autenticación a un bot.

Microsoft Entra ID

La Plataforma de identidad de Microsoft (v2.0), también conocida como el punto de conexión de Microsoft Entra ID, permite que un bot obtenga tokens para llamar a las API de Microsoft, como Microsoft Graph u otras. La plataforma de identidad es una evolución de la plataforma de Azure AD (v1.0). Para más información, consulte Introducción a la Plataforma de identidad de Microsoft (v2.0).

Utilice la configuración de AD v2 para permitir que un bot acceda a los datos de Office 365 mediante Microsoft Graph API.

Propiedad	Descripción o valor
Nombre	El nombre de esta conexión del proveedor de identidades.
Proveedor de servicios	El proveedor de identidades que se va a utilizar. Seleccione Microsoft Entra ID.
Id. de cliente	El identificador de la aplicación (cliente) del proveedor de identidades de Azure.
Secreto de cliente	El Secreto de la aplicación del proveedor de identidades de Azure.
Id. de inquilino	El identificador o common del directorio (inquilino). Para obtener más información, consulte la nota sobre los identificadores de inquilino.
Ámbitos	Una lista separada por espacios de los permisos de API que concedió a la aplicación del proveedor de identidades de Microsoft Entra ID, como openid, profile, Mail.Read, Mail.Send, User.Ready User.ReadBasic.All.
Dirección URL de intercambio de tokens	En el caso de un bot de capacidad habilitado para SSO, use la dirección URL de intercambio de tokens asociada a la conexión de OAuth; de lo contrario, deje esta opción vacía. Para obtener más información sobre la dirección URL de intercambio de tokens de SSO, consulte Creación de una configuración de conexión de OAuth.

Azure AD v1

Azure AD v1

Use la configuración que se muestra a continuación para configurar la plataforma para desarrolladores de Microsoft Entra ID (v1.0), también conocida como punto de conexión de Azure AD v1 . Esto le permite crear aplicaciones que inician sesión de usuario de forma segura con una cuenta profesional o educativa de Microsoft. Para obtener más información, consulte Introducción a Microsoft Entra ID para desarrolladores (v1.0).

Propiedad	Descripción o valor
Nombre	El nombre de esta conexión del proveedor de identidades.
Proveedor de servicios	El proveedor de identidades que se va a utilizar. Seleccione Microsoft Entra ID.
Id. de cliente	El identificador de la aplicación (cliente) del proveedor de identidades de Azure.
Secreto de cliente	El Secreto de la aplicación del proveedor de identidades de Azure.
Tipo de concesión	authorization_code
Dirección URL de inicio de sesión	https://login.microsoftonline.com
Id. de inquilino	El identificador o common del directorio (inquilino). Para obtener más información, vea la nota siguiente sobre identificadores de inquilino.
Dirección URL del recurso	https://graph.microsoft.com/
Ámbitos	Deje esto en blanco.
Dirección URL de intercambio de tokens	Deje esto en blanco.

Nota:

Si ha seleccionado uno de los siguientes, introduzca el identificador de inquilino que registró para la aplicación del proveedor de identidades de Microsoft Entra ID:

• Solo las cuentas de este directorio organizativo (solo Microsoft: inquilino único)
• Cuentas de cualquier directorio organizativo (Directorio de Microsoft AAD: multiinquilino)

Si seleccionó Cuentas en cualquier directorio de la organización (cualquier directorio de Microsoft Entra ID: Multiinquilino y cuentas personales de Microsoft, como Skype, Xbox o Outlook.com), introduzca common.

De lo contrario, la aplicación del proveedor de identidades de Microsoft Entra ID utilizará el inquilino para verificar el id. seleccionado y excluirá las cuentas personales de Microsoft.

Para más información, vea:

• Motivos para actualizar a la Plataforma de identidad de Microsoft (v2.0)
• Plataforma de identidad de Microsoft (Microsoft Entra ID para desarrolladores).

Otros proveedores de identidades

Azure admite varios proveedores de identidades. Puede obtener una lista completa, junto con los detalles relacionados, mediante la ejecución de los siguientes comandos de la consola de Azure:

az login
az bot authsetting list-providers

También puede ver la lista de estos proveedores en Azure Portal, al definir la configuración de conexión de OAuth para una aplicación de registro del bot.

Proveedores genéricos de OAuth

Azure admite OAuth 2 genérico, lo que le permite usar su propio proveedor de identidades.

Puede elegir entre dos implementaciones del proveedor de identidades genéricas que tienen configuraciones diferentes, como se muestra a continuación.

Nota:

Utilice la configuración que se describe aquí al establecer la configuración de conexión de OAuth en la aplicación de registro del bot de Azure.

OAuth 2 genérico

Utilice este proveedor para configurar cualquier proveedor de identidades de OAuth 2 genérico que tenga expectativas similares a las del proveedor de Microsoft Entra ID, especialmente AD v2. Para este tipo de conexión, se fijan las cadenas de consulta y las cargas del cuerpo de la solicitud.

Propiedad	Descripción o valor
Nombre	El nombre de esta conexión del proveedor de identidades.
Proveedor de servicios	El proveedor de identidades que se va a utilizar. Seleccione OAuth 2 genérico.
Id. de cliente	Su id. de cliente, obtenido del proveedor de identidades.
Secreto de cliente	Su secreto de cliente, obtenido del registro del proveedor de identidades.
Dirección URL de autorización	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Dirección URL del token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Dirección URL de actualización	https://login.microsoftonline.com/common/oauth2/v2.0/token
Dirección URL de intercambio de tokens	Deje esto en blanco.
Ámbitos	Lista separada por comas de los permisos de API que ha concedido a la aplicación del proveedor de identidades.

Proveedor de OAuth 2 genérico

Este proveedor requiere más parámetros de configuración, de modo que debe usar esta versión para configurar cualquier proveedor de servicios de OAuth 2 genérico cuando necesite más flexibilidad. Con esta configuración, se especifican las plantillas URL, las plantillas de cadena de consulta y las plantillas de cuerpo para la autorización, la actualización y la conversión de tokens.

Propiedad	Descripción o valor
Nombre	El nombre de esta conexión del proveedor de identidades.
Proveedor de servicios	El proveedor de identidades que se va a utilizar. Seleccione Proveedor de OAuth 2 genérico.
Id. de cliente	Su id. de cliente, obtenido del proveedor de identidades.
Secreto de cliente	Su secreto de cliente, obtenido del registro del proveedor de identidades.
Delimitador de la lista de ámbitos	El carácter separador de la lista de ámbitos. Los espacios vacíos ( ) no se admiten en este campo, pero se pueden usar en el campo Ámbitos si lo requiere el proveedor de identidades. En ese caso, use una coma (,) en este campo y espacios ( ) en el campo Ámbitos.
Plantilla de la dirección URL de autorización	Un modelo de URL para autorización, definida por el proveedor de identidades. Por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Plantilla de la cadena de consulta de la dirección URL de autorización	Una plantilla de consulta para autorización, proporcionada por el proveedor de identidades. Las claves de la plantilla de cadena de consulta variarán según el proveedor de identidades. Por ejemplo, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Plantilla de la dirección URL del token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Plantilla de la cadena de consulta de la dirección URL del token	El separador de cadena de consulta para la dirección URL del token. Normalmente un signo de interrogación (?).
Plantilla del cuerpo de token	Una plantilla para el cuerpo del token. Por ejemplo, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Plantilla de la dirección URL de actualización	https://login.microsoftonline.com/common/oauth2/v2.0/token
Plantilla de la cadena de consulta de la dirección URL de actualización	Un separador de cadena de consulta de dirección URL de actualización para la dirección URL del token. Normalmente un signo de interrogación (?).
Plantilla del cuerpo de actualización	Una plantilla para el cuerpo de actualización. Por ejemplo, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Dirección URL de intercambio de tokens	Deje esto en blanco.
Ámbitos	Lista de ámbitos que quiera que tengan los usuarios autenticados cuando hayan iniciado sesión. Asegúrese de establecer solo los ámbitos necesarios y siga el principio de control de acceso con privilegios mínimos. Por ejemplo, User.Read. Si usa un ámbito personalizado, utilice el identificador URI completo, incluido el URI del identificador de aplicación expuesto.

Pasos siguientes

Proxy de proveedor de identidades