身分識別提供者
適用于: SDK v4
身分識別提供者會驗證使用者或用戶端身分識別,併發出消費性安全性權杖。 它提供使用者驗證即服務。
用戶端應用程式,例如 Web 應用程式,會將驗證委派給受信任的識別提供者。 這類用戶端應用程式據說是同盟,也就是說,它們會使用同盟身分識別。 如需詳細資訊,請參閱 同盟身分識別模式 。
使用受信任的識別提供者:
- 啟用單一登入 (SSO) 功能,讓應用程式能夠存取多個受保護的資源。
- 協助雲端運算資源和使用者之間的連線,減少使用者重新驗證的需求。
單一登入
單一登入是指一個驗證程式,可讓使用者使用單一組認證登入系統,以存取多個應用程式或服務。
使用者以單一識別碼和密碼登入,以存取數個相關軟體系統中的任何一個。 如需詳細資訊,請參閱 單一登入 。
許多識別提供者都支援登出作業,以撤銷使用者權杖,並終止對相關聯應用程式和服務的存取權。
重要
SSO 藉由減少使用者必須輸入認證次數來增強可用性。 其也透過減少潛在的受攻擊面,來提供更好的安全性。
Microsoft Entra ID 識別提供者
Microsoft Entra ID 是 Microsoft Azure 中的身分識別服務,可提供身分識別管理和存取控制功能。 它可讓您使用 OAuth2.0 等 業界標準通訊協定安全地登入使用者。
您可以選擇兩個 Active Directory 身分識別提供者實作,其中有不同的設定,如下所示。
注意
在 Azure Bot 註冊應用程式中設定 OAuth 連線ion 設定 時 ,請使用這些設定。 如需詳細資訊,請參閱 將驗證新增至 Bot 。
Microsoft 身分識別平臺 (v2.0)——也稱為 Microsoft Entra ID 端點—可讓 Bot 取得權杖來呼叫 Microsoft API,例如 Microsoft Graph 或其他 API。 身分識別平臺是 Azure AD 平臺 (v1.0) 的演進。 如需詳細資訊,請參閱 Microsoft 身分識別平臺 (v2.0) 概觀 。
使用下列 AD v2 設定,讓 Bot 能夠透過 Microsoft Graph API 存取 Office 365 資料。
| 屬性 | 描述或值 |
|---|---|
| 名稱 | 此識別提供者連線的名稱。 |
| 服務提供者 | 要使用的識別提供者。 選取 [Microsoft Entra ID]。 |
| 用戶端識別碼 | Azure 識別提供者應用程式的應用程式 (用戶端) 識別碼。 |
| 用戶端密碼 | Azure 識別提供者應用程式的秘密。 |
| 租用戶識別碼 | 您的目錄(租使用者)識別碼或 common 。 如需詳細資訊,請參閱租使用者 識別碼的相關 注意事項。 |
| 範圍 | 您授與 Microsoft Entra ID 識別提供者應用程式之 API 許可權的空間分隔清單,例如 openid 、 profile 、 Mail.Read 、、 Mail.Send 、 User.Read 和 User.ReadBasic.All 。 |
| 權杖交換 URL | 若為 已啟用 SSO 的技能 Bot ,請使用與 OAuth 連線相關聯的權杖交換 URL,否則請將此保留空白。 如需 SSO 權杖交換 URL 的相關資訊,請參閱 建立 OAuth 連線設定 。 |
注意
如果您選取下列其中一項,請輸入 您為 Microsoft Entra ID 識別提供者應用程式記錄的租 使用者識別碼:
- 僅限此組織目錄中的帳戶(僅限 Microsoft - 單一租使用者)
- 任何組織目錄中的帳戶(Microsoft AAD 目錄 - 多租使用者)
如果您在任何組織目錄中選取 [帳戶] (任何 Microsoft Entra ID 目錄 - 多租使用者和個人 Microsoft 帳戶,例如 Skype、Xbox、Outlook.com), 請輸入 common 。
否則,Microsoft Entra ID 識別提供者應用程式會使用租使用者來驗證選取的識別碼,並排除個人 Microsoft 帳戶。
如需詳細資訊,請參閱
其他識別提供者
Azure 支援數個識別提供者。 您可以執行下列 Azure 主控台命令,以取得完整清單以及相關詳細資料:
az login
az bot authsetting list-providers
當您定義 Bot 註冊應用程式的 OAuth 連線設定時,您也可以在Azure 入口網站 中看到 這些提供者的清單。
OAuth 泛型提供者
Azure 支援泛型 OAuth2,可讓您使用自己的識別提供者。
您可以選擇兩個一般識別提供者實作,其設定不同,如下所示。
注意
在 Azure Bot 註冊應用程式中設定 OAuth 連線ion 設定 時 ,請使用此處所述的設定。
使用此提供者來設定任何一般 OAuth2 識別提供者,其預期與 Microsoft Entra ID 提供者類似,尤其是 AD v2。 針對此連線類型,會修正查詢字串和要求主體承載。
| 屬性 | 描述或值 |
|---|---|
| 名稱 | 此識別提供者連線的名稱。 |
| 服務提供者 | 要使用的識別提供者。 選取 [一般 Oauth 2 ]。 |
| 用戶端識別碼 | 從識別提供者取得的用戶端識別碼。 |
| 用戶端密碼 | 從識別提供者註冊取得的用戶端密碼。 |
| 授權 URL | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 權杖 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 重新整理 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 權杖交換 URL | 將此選項維持空白。 |
| 範圍 | 您授與給識別提供者應用程式的 API 許可權逗號分隔清單。 |