Provedores de identidade

APLICA-SE A: SDK v4

Um provedor de identidade autentica as identidades do usuário ou do cliente e emite tokens de segurança consumíveis. Ele fornece autenticação de usuário como um serviço.

Os aplicativos cliente, como aplicativos Web, delegam a autenticação a um provedor de identidade confiável. Esses aplicativos cliente são considerados federados, ou seja, usam identidade federada. Para obter mais informações, confira Padrão de identidade federada.

O uso de um provedor de identidade confiável:

• Habilita recursos de SSO (logon único), permitindo que um aplicativo acesse vários recursos protegidos.
• Facilita conexões entre recursos de computação em nuvem e usuários, diminuindo a necessidade de autenticar os usuários novamente.

Logon único

O logon único refere-se a um processo de autenticação que permite que um usuário faça logon em um sistema uma vez com um único conjunto de credenciais para acessar vários aplicativos ou serviços.

Um usuário faz logon com uma única ID e senha para obter acesso a qualquer um dos vários sistemas de software relacionados. Para obter mais informações, confira Logon único.

Muitos provedores de identidade dão suporte a uma operação de saída que revoga o token do usuário e encerra o acesso aos aplicativos e serviços associados.

Importante

O SSO aprimora a usabilidade reduzindo o número de vezes que um usuário deve inserir as credenciais. Ele também fornece maior segurança reduzindo a possível superfície de ataque.

Provedor de identidade do Microsoft Entra ID

O Microsoft Entra ID é um serviço de identidade no Microsoft Azure que fornece recursos de gerenciamento de identidade e controle de acesso. Ele permite que você conecte usuários com segurança usando protocolos padrão do setor, como OAuth2.0.

Você pode escolher entre duas implementações do provedor de identidade do Active Directory que têm configurações diferentes, conforme mostrado abaixo.

Observação

Use essas configurações ao definir as configurações de conexão do OAuth no aplicativo de registro de bot do Azure. Para obter mais informações, confira Adicionar autenticação ao bot.

Microsoft Entra ID

A plataforma de identidade da Microsoft (v2.0), que também é conhecida como ponto de extremidade do Microsoft Entra ID, permite que um bot obtenha tokens para chamar APIs da Microsoft, como o Microsoft Graph ou outras APIs. A plataforma de identidade é uma evolução da plataforma Azure AD (v1.0). Para obter mais informações, confira a Visão geral da plataforma de identidade da Microsoft (v2.0).

Use as configurações do AD v2 a seguir para permitir que um bot acesse dados do Office 365 por meio da API do Microsoft Graph.

Propriedade	Descrição ou valor
Nome	Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço	O provedor de identidade a ser usado. Selecione ID do Microsoft Entra.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo do provedor de identidade do Azure.
Segredo do cliente	O segredo do seu aplicativo de provedor de identidade do Azure.
ID do locatário	A ID do seu diretório (locatário) ou common. Para obter mais informações, confira a observação sobre as IDs de locatário.
Escopos	Uma lista separada por espaço das permissões de API que você concedeu ao aplicativo do provedor de identidade do Microsoft Entra ID, como openid, profile, Mail.Read, Mail.Send, User.Read e User.ReadBasic.All.
URL de Troca de Token	Para um bot de habilidade habilitado para SSO, use a URL de troca de token associada à conexão OAuth, caso contrário, deixe isso vazio. Para obter informações sobre a URL de troca de token do SSO, confira Criar configurações de conexão do OAuth.

Azure AD v1

Azure AD v1

Use as configurações mostradas a seguir para configurar a plataforma de desenvolvedor do Microsoft Entra ID (v1.0), também conhecida como ponto de extremidade do Azure AD v1. Isso permite que você crie aplicativos que conectam usuários com segurança com uma conta corporativa ou de estudante da Microsoft. Para obter mais informações, confira Visão Geral do Microsoft Entra ID para desenvolvedores (v1.0).

Propriedade	Descrição ou valor
Nome	Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço	O provedor de identidade a ser usado. Selecione ID do Microsoft Entra.
ID do cliente	A ID do aplicativo (cliente) para seu aplicativo do provedor de identidade do Azure.
Segredo do cliente	O segredo do seu aplicativo de provedor de identidade do Azure.
Tipo de Concessão	authorization_code
URL de logon	https://login.microsoftonline.com
ID do locatário	A ID do seu diretório (locatário) ou common. Para obter mais informações, confira a observação a seguir sobre as IDs de locatário.
URL do Recurso	https://graph.microsoft.com/
Escopos	Deixe esse campo vazio.
URL de Troca de Token	Deixe esse campo vazio.

Observação

Caso tenha selecionado uma das opções a seguir, insira a ID do locatário registrada para o aplicativo do provedor de identidade do Microsoft Entra ID:

• Somente contas neste diretório organizacional (somente Microsoft – locatário único)
• Contas em qualquer diretório organizacional (diretório do Microsoft AAD – multilocatário)

Caso tenha selecionado Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra ID, ou seja, contas multilocatárias e pessoais da Microsoft, por exemplo, Skype, Xbox, Outlook.com), insira common.

Caso contrário, o aplicativo do provedor de identidade do Microsoft Entra ID usará o locatário para verificar a ID selecionada e excluir contas pessoais da Microsoft.

Para saber mais, veja:

• Por que atualizar para plataforma de identidade da Microsoft (v2.0)?
• Plataforma de identidade da Microsoft (Microsoft Entra ID para desenvolvedores).

Outros provedores de identidade

O Azure é compatível com vários provedores de identidade. Você pode obter uma lista completa, juntamente com os detalhes relacionados, ao executar os seguintes comandos do console do Azure:

az login
az bot authsetting list-providers

Você também pode ver a lista desses provedores no portal do Azure ao definir as configurações de conexão OAuth para um aplicativo de registro de bot.

Provedores de OAuth genéricos

O Azure é compatível com OAuth2 genérico, que permite que você use seu próprio provedor de identidade.

Você pode escolher entre duas implementações do provedor de identidade genérico que têm configurações diferentes, conforme mostrado a seguir.

Observação

Use as configurações descritas aqui ao definir as Configurações de Conexão OAuth no aplicativo de registro do bot do Azure.

OAuth 2 Genérico

Use esse provedor para configurar qualquer provedor de identidade genérico do OAuth2 que tenha expectativas semelhantes às do provedor do Microsoft Entra ID, especialmente o AD v2. Para esse tipo de conexão, as sequências de consulta e os payloads do corpo da solicitação são fixos.

Propriedade	Descrição ou valor
Nome	Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço	O provedor de identidade a ser usado. Selecione Oauth 2 genérico.
ID do cliente	ID do cliente obtida do provedor de identidade.
Segredo do cliente	Segredo do cliente obtido do registro de provedor de identidade.
URL de Autorização	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL do Token	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL de Atualização	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL de Troca de Token	Deixe esse campo vazio.
Escopos	Lista separada por vírgulas das permissões de API que você concedeu ao aplicativo do provedor de identidade.

Provedor genérico do OAuth 2

Esse provedor requer mais parâmetros de configuração. Portanto, use essa versão para configurar qualquer provedor de serviços do OAuth 2 genérico quando precisar de mais flexibilidade. Com essa configuração, você especifica os modelos de URL, os modelos de sequência de consulta e os modelos de corpo para autorização, atualização e conversão de token.

Propriedade	Descrição ou valor
Nome	Um nome exclusivo para essa conexão de provedor de identidade.
Provedor de Serviço	O provedor de identidade a ser usado. Selecione Provedor genérico do OAuth 2.
ID do cliente	ID do cliente obtida do provedor de identidade.
Segredo do cliente	Segredo do cliente obtido do registro de provedor de identidade.
Delimitador da Lista de Escopo	O caractere separador da lista de escopos. Espaços vazios ( ) não são compatíveis nesse campo, mas eles podem ser usados no campo Escopos, se exigido pelo provedor de identidade. Nesse caso, use uma vírgula (,) para esse campo e espaços ( ) no campo Escopos.
Modelo de URL de Autorização	Um modelo de URL para autorização, conforme definido pelo seu provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Modelo da sequência de consulta da URL de autorização	Um modelo de consulta para autorização, conforme fornecido pelo seu provedor de identidade. As chaves no modelo de cadeia de consulta variam de acordo com o provedor de identidade. Por exemplo, ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Modelo de URL do Token	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modelo de cadeia de consulta da URL do token	O separador de sequência de consulta para o URL do token.​ Geralmente um ponto de interrogação (?).
Modelo de Corpo do Token	Um modelo para o corpo do token. Por exemplo, code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Atualizar o Modelo de URL	https://login.microsoftonline.com/common/oauth2/v2.0/token
Atualizar o modelo da cadeia de consulta da URL	Um separador de sequência de consulta de URL de atualização para a URL do token. Geralmente um ponto de interrogação (?).
Atualizar o Modelo do Corpo	Um modelo para o corpo de atualização. Por exemplo, refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
URL de Troca de Token	Deixe esse campo vazio.
Escopos	Lista de escopos que você deseja que os usuários autenticados tenham após entrar. Verifique se você está definindo apenas os escopos necessários e siga o Princípio de controle de acesso com privilégios mínimos. Por exemplo, User.Read. Se você estiver usando um escopo personalizado, use O URI completo, incluindo o URI de ID do aplicativo exposto.

Próximas etapas

Proxy dos provedores de identidade