你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: SDK v4
标识提供者对用户或客户端标识进行身份验证,然后颁发可使用的安全令牌。 它以服务的形式提供用户身份验证。
客户端应用程序(如 Web 应用程序)将身份验证委托给受信任的标识提供者。 此类客户端应用程序据说是联合的,即它们使用联合标识。 有关详细信息,请参阅 联合标识模式。
使用受信任的标识提供者:
- 启用单一登录(SSO)功能,允许应用程序访问多个受保护的资源。
- 促进云计算资源和用户之间的连接,减少用户重新进行身份验证的需求。
单一登录
单一登录是指一个身份验证过程,该过程允许用户使用一组凭据登录到系统,以访问多个应用程序或服务。
用户使用单个 ID 和密码登录,以获取对多个相关软件系统中的任何一个的访问权限。 有关详细信息,请参阅 单一登录。
许多身份提供者支持注销操作,该操作会撤销用户令牌并终止对相关应用程序和服务的访问。
重要
SSO 通过减少用户必须输入凭据的次数来提高可用性。 它还通过减少潜在的受攻击面来提供更好的安全性。
Microsoft Entra ID 标识提供者
Microsoft Entra ID 是 Azure 中提供标识管理和访问控制功能的Microsoft标识服务。 它允许使用行业标准协议(如 OAuth2.0)安全地登录用户。
可以从两个 Active Directory 标识提供者实现中进行选择,这些实现具有不同的设置,如下所示。
注释
在 Azure 机器人注册应用程序中配置 OAuth 连接设置 时使用这些设置。 有关详细信息,请参阅 向机器人添加身份验证。
Microsoft标识平台(v2.0)(也称为Microsoft Entra ID 终结点)允许机器人获取令牌来调用Microsoft API,例如 Microsoft Graph 或其他 API。 标识平台是 Azure AD 平台(v1.0)的演变。 有关详细信息,请参阅 Microsoft 标识平台 (v2.0) 概述。
使用下面的 AD v2 设置,使机器人能够通过 Microsoft 图形 API 访问 Office 365 数据。
| 资产 | 说明或值 |
|---|---|
| 名称 | 这个身份提供者连接的名称。 |
| 服务提供商 | 要使用的标识提供者。 选择“Microsoft Entra ID”。 |
| 客户端 ID | Azure 标识提供者应用的应用程序(客户端)ID。 |
| 客户端密码 | Azure 标识提供者应用的机密。 |
| 租户 ID | 目录(租户)ID 或 common。 有关详细信息,请参阅有关 租户 ID 的说明。 |
| 范围 | 授予 Microsoft Entra ID 标识提供者应用的 API 权限的空格分隔列表,例如 openid、profile、Mail.Read、Mail.Send、User.Read 和 User.ReadBasic.All。 |
| 令牌交换 URL | 对于 启用了 SSO 的技能机器人 ,请使用与 OAuth 连接关联的令牌交换 URL;否则,请将此保留为空。 有关 SSO 令牌交换 URL 的信息,请参阅 创建 OAuth 连接设置。 |
注释
如果选择以下选项之一,请输入您为 Microsoft Entra ID 身份提供者应用程序记录的 租户 ID。
- 仅用于此组织目录的帐户(仅限 Microsoft - 单一租户)
- 任何组织目录中的帐户(Microsoft AAD 目录 - 多租户)
如果您在任何组织目录中选择了帐户(包括任何 Microsoft Entra ID 目录 - 多租户和个人 Microsoft 帐户,例如 Skype、Xbox、Outlook.com),请继续输入common。
否则,Microsoft Entra ID 身份验证应用程序将利用租户来验证所选 ID,排除个人 Microsoft 帐户。
有关详细信息,请参见:
其他标识提供者
Azure 支持多个标识提供者。 可以通过运行以下 Azure 控制台命令来获取完整列表以及相关详细信息:
az login
az bot authsetting list-providers
定义机器人注册应用的 OAuth 连接设置时,还可以在 Azure 门户中 查看这些提供程序的列表。
OAuth 泛型提供程序
Azure 支持通用 OAuth2,允许你使用自己的标识提供者。
可以从两个通用标识提供者实现中进行选择,这些实现具有不同的设置,如下所示。
注释
在 Azure 机器人注册应用程序中配置 OAuth 连接设置 时,请使用此处所述的设置。
使用此提供程序配置任何具有与 Microsoft entra ID 提供程序(尤其是 AD v2)类似的期望的泛型 OAuth2 标识提供者。 对于此连接类型,查询字符串和请求正文有效负载是固定的。
| 资产 | 说明或值 |
|---|---|
| 名称 | 此标识提供者连接的名称。 |
| 服务提供商 | 要使用的标识提供者。 选择 通用 Oauth 2。 |
| 客户端 ID | 从身份提供者获取的客户 ID。 |
| 客户端密码 | 从身份提供商注册中获取的客户端密钥。 |
| 授权 URL | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 令牌 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 刷新 URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 令牌交换 URL | 将此留空。 |
| 范围 | 向标识提供者应用授予的 API 权限的逗号分隔列表。 |