Partilhar via


Autenticação avançada de Linha Direta

APLICA-SE A: SDK v4

Este artigo descreve possíveis riscos de segurança quando os usuários se conectam a um bot, por exemplo, usando o controle de bate-papo da Web. Além disso, mostra soluções de mitigação usando as configurações de autenticação aprimorada da Linha Direta e o tratamento seguro de ID do usuário.

Há duas identidades de usuário:

  • A identidade do usuário do canal. Um invasor pode usá-lo para representação.
  • A identidade do usuário do provedor de identidade que o bot usa para autenticar o usuário. Um invasor pode usá-lo para falsificação de identidade.

Falsificação de identidade

Personificação refere-se à ação de um invasor que faz o bot pensar que é outra pessoa. Por exemplo, no Chat da Web, o invasor pode se passar por outra pessoa alterando a ID do usuário da instância do Web Chat.

Atenuação da representação

  • Torne o ID de utilizador imprevisível.

  • Conecte um bot ao Direct Line.

  • Habilite a opção de autenticação aprimorada do canal de Linha Direta para permitir que o Serviço de Bot do Azure AI detete e rejeite ainda mais qualquer alteração de ID de usuário. Isso significa que o ID de usuário (Activity.From.Id) nas mensagens da Linha Direta para o bot sempre será o mesmo que você usou para inicializar o controle do Web Chat.

    Nota

    A Linha Direta cria um token com base no segredo da Linha Direta e incorpora o User.Id no token. Ele garante que as mensagens enviadas para o bot tenham isso User.Id como atividade From.Id. Se um cliente enviar uma mensagem para a Linha Direta com um arquivo diferente From.Id, ela será alterada para o ID incorporado no token antes de encaminhar a mensagem para o bot. Portanto, você não pode usar outro ID de usuário depois que um segredo de canal é inicializado com esse ID.

    Este recurso requer o ID do usuário para começar, dl_ conforme mostrado abaixo.

    Gorjeta

    Para um bot regional, defina dlUrl de acordo com a região selecionada.
    Se selecionado europa, defina "https://europe.directline.botframework.com/v3/directline/tokens/generate".
    Se selecionado india, defina "https://india.directline.botframework.com/v3/directline/tokens/generate".
    Para obter mais informações sobre bots regionais, consulte Regionalização no Serviço de Bot do Azure AI.

    public class HomeController : Controller
    {
        private const string secret = "<TODO: DirectLine secret>";
        private const string dlUrl = "https://directline.botframework.com/v3/directline/tokens/generate";
    
        public async Task<ActionResult> Index()
        {
            HttpClient client = new HttpClient();
            var userId = $"dl_{Guid.NewGuid()}";
    
            HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Post, dlUrl);
            request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", secret);
            request.Content = new StringContent(
                JsonConvert.SerializeObject(
                    new { User = new { Id = userId } }),
                    Encoding.UTF8,
                    "application/json");
    
            var response = await client.SendAsync(request);
    
            string token = String.Empty;
            if (response.IsSuccessStatusCode)
            {
                var body = await response.Content.ReadAsStringAsync();
                token = JsonConvert.DeserializeObject<DirectLineToken>(body).token;
            }
    
            var config = new ChatConfig()
            {
                Token = token,
                UserId = userId
            };
    
            return View(config);
        }
    }    
    
    

    O token gerado, com base no segredo da Linha Direta, é então usado no controle de bate-papo da Web, conforme mostrado abaixo:

    @model Bot_Auth_DL_Secure_Site_MVC.Models.ChatConfig
    @{
        ViewData["Title"] = "Home Page";
    }
    <div id="webchat" role="main" />
    <head>
        <script src="https://cdn.botframework.com/botframework-webchat/latest/webchat.js"></script>
    </head>
    <body>
        <script>
          window.WebChat.renderWebChat({
              directLine: window.WebChat.createDirectLine({ token: '@Model.Token' }),
                userID: '@Model.UserId'
          }, document.getElementById('webchat'));
        </script>
    </body>
    
    

Falsificação de identidade

A falsificação de identidade refere-se à ação de um invasor que assume a identidade de um usuário legítimo e, em seguida, usa essa identidade para atingir um objetivo mal-intencionado.

Quando um bot solicita ao usuário do canal A para entrar em um provedor de identidade, o processo de entrada deve garantir que o usuário A seja o único que entra no provedor. Se outro usuário também tiver permissão para entrar no provedor, ele terá acesso aos recursos do usuário A por meio do bot.

Mitigação de falsificação de identidade do usuário

No controle de bate-papo da Web, há dois mecanismos para garantir que o usuário adequado esteja conectado.

  1. Código mágico. No final do processo de início de sessão, é apresentado ao utilizador um código de 6 dígitos gerado aleatoriamente (código mágico). O usuário deve digitar esse código na conversa para concluir o processo de login. Isso tende a resultar em uma experiência ruim para o usuário. Além disso, é suscetível a ataques de phishing; Um usuário mal-intencionado pode enganar outro usuário para entrar e obter o código mágico.

  2. Autenticação aprimorada de linha direta. Use a autenticação aprimorada de Linha Direta para garantir que o processo de entrada só possa ser concluído na mesma sessão do navegador que o cliente de Web Chat.

    Para habilitar essa proteção, inicie o Web Chat com um token de Linha Direta que contenha uma lista de domínios confiáveis que podem hospedar o cliente de Web Chat do bot. Com as opções de autenticação avançadas, você pode especificar estaticamente a lista de domínios confiáveis (origens confiáveis) na página de configuração de Linha Direta. Consulte a seção Configurar autenticação avançada.