你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
标识提供者
适用于:SDK v4
标识提供者对用户或客户端标识进行身份验证,然后颁发可使用的安全令牌。 它以服务的形式提供用户身份验证。
客户端应用程序(如 Web 应用程序)将身份验证委托给受信任的标识提供者。 此类客户端应用程序称为联合身份验证应用程序,即它们使用联合标识。 有关详细信息,请参阅联合标识模式。
使用受信任的标识提供者可以执行以下操作:
- 启用单一登录 (SSO) 功能,使应用程序能够访问多个受保护的资源。
- 辅助云计算资源和用户之间的连接,减少用户重新进行身份验证的需求。
单一登录
单一登录是指这样一个身份验证过程:用户使用一组凭据登录到系统一次以后,就可以访问多个应用程序或服务。
用户使用单个 ID 和密码登录以后,就可以访问多个相关软件系统中的任何一个。 有关详细信息,请参阅单一登录。
许多标识提供者支持注销操作,即:撤销用户令牌并终止其对关联的应用程序和服务的访问权限。
重要
SSO 可减少用户输入系统所需凭据的次数,通过这种方式提高可用性。 它还通过减少潜在的受攻击面来提供更好的安全性。
Microsoft Entra ID 标识提供者
Microsoft Entra ID 是提供标识管理和访问控制功能的 Microsoft Azure 中的 标识服务。 它用于通过 OAuth2.0 之类的行业标准协议安全地登录用户。
可以从两个具有不同设置的 Active Directory 标识提供者实现中进行选择,如下所示。
注意
在 Azure 机器人注册应用程序中配置“OAuth 连接设置”时,请使用此处的设置。 有关详细信息,请参阅将身份验证添加到机器人。
Microsoft 标识平台 (v2.0)(也称为 Microsoft Entra ID 端点)允许机器人获取令牌来调用 Microsoft API,例如 Microsoft Graph 或其他 API。 标识平台是 Azure AD 平台 (v1.0) 的演进版。 有关详细信息,请参阅 Microsoft 标识平台 (v2.0) 概述。
使用下面的 AD v2 设置,机器人就可以通过 Microsoft Graph API 访问 Office 365 数据。
| properties | 描述或值 |
|---|---|
| Name | 此标识提供者连接的名称。 |
| 服务提供商 | 要使用的标识提供程序。 选择“Microsoft Entra ID”。 |
| 客户端 ID | Azure 标识提供者应用的应用程序(客户端)ID。 |
| 客户端密码 | Azure 标识提供者应用的机密。 |
| 租户 ID | 你的目录(租户)ID 或 common。 有关详细信息,请参阅关于租户 ID 的备注。 |
| 作用域 | 授予 Microsoft Entra ID 标识提供者应用的 API 权限的空格分隔列表,例如 openid、profile、Mail.Read、Mail.Send、User.Read 和 User.ReadBasic.All。 |
| 令牌交换 URL | 对于“启用了 SSO 的技能机器人”,请使用与 OAuth 连接关联的令牌交换 URL;否则,请将其留空。 有关 SSO 令牌交换 URL 的信息,请参阅创建 OAuth 连接设置。 |
注意
如果已选择以下项之一,请输入针对 Microsoft Entra ID 标识提供者应用记录的“租户 ID”:
- 仅此组织目录中的帐户(仅 Microsoft - 单租户)
- 任何组织目录中的帐户(Microsoft AAD 目录 - 多租户)
如果选择了“任何组织目录中的帐户 (任何 Microsoft Entra ID 目录 - 多租户和个人 Microsoft 帐户,例如 Skype、Xbox、Outlook.com)”,请输入 common。
否则,Microsoft Entra ID 标识提供者应用会使用租户验证选中的 ID,并排除个人 Microsoft 帐户。
有关详细信息,请参阅:
其他标识提供者
Azure 支持多个标识提供者。 可以通过运行以下 Azure 控制台命令来获取完整列表以及相关的详细信息:
az login
az bot authsetting list-providers
为机器人注册应用定义 OAuth 连接设置时,也可在 Azure 门户中查看这些提供者的列表。
OAuth 通用提供者
Azure 支持通用 OAuth2,方便你使用自己的标识提供者。
可以从两个具有不同设置的通用标识提供者实现中进行选择,如下所示。
注意
在 Azure 机器人注册应用程序中配置“OAuth 连接设置”时,请使用此处所述的设置。
使用此提供者来配置任何与 Microsoft Entra ID 提供者(特别是 AD v2)具有相似预期的通用 OAuth2 标识提供者。 对于此连接类型,查询字符串和请求正文有效负载是固定的。
| properties | 描述或值 |
|---|---|
| Name | 此标识提供者连接的名称。 |
| 服务提供商 | 要使用的标识提供程序。 选择“通用 Oauth 2”。 |
| 客户端 ID | 从标识提供者获取的客户端 ID。 |
| 客户端密码 | 你自标识提供者注册获取的客户端密码。 |
| 授权 URL | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 令牌 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 刷新 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 令牌交换 URL | 将此项留空。 |
| 作用域 | 逗号分隔的 API 权限的列表,这些权限已授予标识提供者应用。 |