Configuración de la aplicación en Microsoft Entra ID
Microsoft Entra ID proporciona a los usuarios de la aplicación acceso a la aplicación de extensión de mensaje o bot. Al usuario de la aplicación que ha iniciado sesión en Teams se le puede conceder acceso a la aplicación.
Configuración del inicio de sesión único en el Centro de administración de Microsoft Entra
Las aplicaciones de extensión de bot y mensaje usan Bot Framework para comunicarse con los usuarios de la aplicación e implementar la autenticación.
Para configurar el inicio de sesión único para la aplicación de extensión de mensaje o bot, deberá hacer lo siguiente:
- Configuración del recurso de bot en Microsoft Entra ID
- Configuración de la aplicación en Microsoft Entra ID
Nota:
Asegúrese de que ha creado una aplicación y un recurso de bot en Microsoft Entra ID.
- Para obtener más información sobre cómo crear una aplicación en Microsoft Entra ID, consulte Registro de una nueva aplicación en Microsoft Entra ID.
- Para obtener más información sobre cómo crear y configurar el recurso del bot en Microsoft Entra ID, consulte Creación de un bot de conversación de Teams.
Puede configurar el recurso de bot y la aplicación en Microsoft Entra ID para la aplicación de extensión de bot o mensaje de una de las dos maneras siguientes:
Configuración del inicio de sesión único mediante el recurso de bot y configuración de la aplicación Microsoft Entra: puede empezar configurando el inicio de sesión único para el recurso de bot y habilitando el inicio de sesión único para la aplicación Microsoft Entra. Configurará:
Para el recurso de bot: punto de conexión de mensajería y conexión de OAuth.
Nota:
Al crear el recurso del bot en Microsoft Entra ID, puede seleccionar la opción para crear un nuevo identificador de aplicación o puede usar un identificador de aplicación existente si ya ha registrado la aplicación en Microsoft Entra ID.
Para la aplicación Microsoft Entra: URI de id. de aplicación, ámbito y permisos, identificadores de cliente de confianza, versión del token de acceso, secreto de cliente y dirección URL de redireccionamiento.
Configurar el inicio de sesión único mediante la aplicación Microsoft Entra y, a continuación, configurar el recurso de bot: puede empezar configurando la aplicación Microsoft Entra y, a continuación, usar este identificador de aplicación en el recurso de bot al habilitar el inicio de sesión único para ella. Configurará:
Para la aplicación Microsoft Entra: URI de id. de aplicación, token de acceso, identificadores de cliente de confianza, versión del token de acceso, secreto de cliente y dirección URL de redireccionamiento.
Para el recurso de bot: punto de conexión de mensajería y conexión de OAuth.
Nota:
Configure el recurso de bot mediante el identificador de aplicación generado por Microsoft Entra ID cuando registró la aplicación.
Habilitación del inicio de sesión único en Microsoft Entra ID
Al final de este tutorial, aprenderá a configurar:
- Id. de aplicación
- Id. de bot
- Token de acceso
- URI de Id. de la aplicación:
- Ámbito, permisos e identificadores de cliente autorizados
- Secreto de cliente
- Dirección URL de redireccionamiento
- Punto de conexión de mensajería y conexión de OAuth
Seleccione una de las dos maneras siguientes de configurar el inicio de sesión único para el recurso de bot:
- Uso del recurso de bot y configuración de la aplicación Microsoft Entra
- Uso de la aplicación Microsoft Entra y, a continuación, configuración del recurso de bot
Para habilitar el inicio de sesión único para la aplicación en Microsoft Entra ID:
- Configuración del punto de conexión de mensajería
- Configuración del inicio de sesión único para la aplicación Microsoft Entra:
- Configuración de la conexión de OAuth
Importante
Asegúrese de que al crear el recurso del bot, seleccione la opción para crear un nuevo identificador de aplicación. También puede usar un identificador de aplicación existente, si ya ha registrado una aplicación en el Centro de administración de Microsoft Entra.
Configuración del punto de conexión de mensajería
El punto de conexión de mensajería es donde se envían mensajes al bot. Permite la comunicación con el bot.
Para configurar el punto de conexión de mensajería para el recurso de bot
Abra el Azure Portal en el explorador web. Se abre la página Bot de Microsoft Azure.
Escriba el nombre del recurso del bot en el cuadro Buscar y seleccione Entrar para abrirlo.
Seleccione Configuración>.
Aparece la página Configuración .
Escriba la dirección URL del punto de conexión de mensajería donde el bot recibe los mensajes del usuario de la aplicación.
Seleccione Aplicar.
El punto de conexión de mensajería está configurado.
Ha configurado el punto de conexión de mensajería para el recurso del bot. A continuación, debe habilitar el inicio de sesión único para la aplicación Microsoft Entra.
Configuración del inicio de sesión único para la aplicación Microsoft Entra
Debe configurar permisos y ámbitos, autorizar aplicaciones cliente, actualizar el manifiesto de aplicación (anteriormente denominado manifiesto de aplicación de Teams) y crear un secreto de cliente para la aplicación Microsoft Entra. Estas configuraciones ayudan a invocar el inicio de sesión único para la aplicación de bot.
Configuración del ámbito para el token de acceso
Configure las opciones de ámbito (permiso) para enviar el token de acceso al cliente de Teams y autorizar aplicaciones cliente de confianza para habilitar el inicio de sesión único.
Te hace falta:
- Para configurar el URI del identificador de aplicación: configure las opciones de ámbito (permiso) para la aplicación. Expondrá una API web y configurará el URI del identificador de aplicación.
- Para configurar el ámbito de la API: defina el ámbito de la API y los usuarios que pueden dar su consentimiento para un ámbito. Solo puede permitir que los administradores den su consentimiento para permisos con privilegios superiores.
- Para configurar la aplicación cliente autorizado: cree Id. de cliente autorizados para las aplicaciones que desea autorizar previamente. Permite al usuario de la aplicación acceder a los ámbitos de la aplicación (permisos) que ha configurado, sin necesidad de ningún consentimiento adicional. Autorice previamente solo las aplicaciones cliente en las que confíe, ya que los usuarios de la aplicación no tendrán la oportunidad de rechazar el consentimiento.
Para configurar el URI del identificador de aplicación
Abra el Azure Portal en el explorador web.
Se abre la página Bot de Microsoft Azure.
Escriba el nombre del recurso del bot en el cuadro Buscar y, a continuación, seleccione Entrar para abrirlo.
Seleccione Configuración>.
Aparece la página Configuración .
Haga clic en Administrar.
Aparece la página de la aplicación Microsoft Entra.
El nuevo identificador de aplicación (id. de cliente) de la aplicación aparece en esta página. Tenga en cuenta y guarde este identificador de aplicación. Tendrá que actualizarlo en el manifiesto de la aplicación más adelante. Si usó el identificador de una aplicación existente al crear el recurso de bot, el identificador de esa aplicación aparece en esta página.
Seleccione Administrar>Exponer una API en el panel izquierdo.
Aparece la página Exponer una API.
Seleccione Agregar para generar el URI del identificador de aplicación.
Aparece la sección para establecer el URI del ID de la aplicación.
Introduzca el URI del ID de la aplicación en el formato que se explica aquí.
- El URI del identificador de aplicación se rellena previamente con el identificador de aplicación (GUID) en el formato
api://{AppID}
.
Importante
Información confidencial: el URI del identificador de aplicación se registra como parte del proceso de autenticación y no debe contener información confidencial.
Bot independiente: si va a compilar un bot independiente, escriba el URI del identificador de aplicación como api://botid-{YourBotId}. Aquí, {YourBotId} es el identificador de la aplicación Microsoft Entra.
URI de identificador de aplicación para la aplicación con varias funcionalidades: si va a compilar una aplicación con un bot, una extensión de mensajería y una pestaña, escriba el URI del identificador de aplicación como
api://fully-qualified-domain-name.com/botid-{YourClientId}
, donde{YourClientId}
es el identificador de la aplicación de bot.Formato para el nombre de dominio: use letras minúsculas para el nombre de dominio. No use mayúsculas.
Por ejemplo, para crear un servicio de aplicaciones o una aplicación web con el nombre del recurso, "demoapplication":
Si el nombre del recurso base usado es La dirección URL será... El formato es compatible con... demoapplication https://demoapplication.example.net
Todas las plataformas DemoApplication https://DemoApplication.example.net
Solo para escritorio, web e iOS. No es compatible con Android. Use la opción en minúsculas demoapplication como nombre de recurso base.
- El URI del identificador de aplicación se rellena previamente con el identificador de aplicación (GUID) en el formato
Haga clic en Guardar.
Aparece un mensaje en el explorador que indica que se actualizó el URI del identificador de aplicación.
El URI del identificador de aplicación se muestra en la página.
Tenga en cuenta y guarde el URI del identificador de aplicación. Lo necesitará para actualizar el manifiesto de la aplicación más adelante.
El URI del identificador de aplicación está configurado. Ahora puede definir el ámbito y los permisos para la aplicación.
Para configurar el ámbito de la API
Seleccione + Agregar un ámbito en la sección Ámbitos definidos por esta API.
Aparece la página Agregar un ámbito.
Introduzca los detalles para configurar el ámbito.
Introduzca el nombre del ámbito.
Seleccione el usuario que puede dar su consentimiento para este ámbito. La opción predeterminada es Solo administradores.
Introduzca el nombre para mostrar del consentimiento del administrador.
Introduzca la descripción para el consentimiento del administrador.
Introduzca el nombre para mostrar del consentimiento del usuario.
Escriba la descripción del consentimiento del usuario.
Seleccione la opción Habilitado para el estado.
Seleccione Agregar ámbito.
Nota:
En este tutorial, puede usar el perfil
User.Read User.ReadBasic.All
openid como ámbito. Este ámbito es adecuado para usar el ejemplo de código. También puede agregar más ámbitos y permisos de Graph. Para obtener más información, consulte Extensión de la aplicación con permisos y ámbitos de Microsoft Graph.
Aparece un mensaje en el explorador que indica que se agregó el ámbito.
Nota:
El nuevo ámbito definido se muestra en la página. Asegúrese de anotar y guardar el ámbito que ha configurado. Necesitará que actualice la conexión de OAuth más adelante.
El ámbito y los permisos ahora están configurados. A continuación, debe configurar las aplicaciones cliente autorizadas para la aplicación Microsoft Entra.
Para configurar la aplicación cliente autorizada
Desplácese por la página Exponer una API hasta la sección Aplicación cliente autorizada, y seleccione + Agregar una aplicación cliente.
Aparece la página Agregar una aplicación cliente.
Escriba el identificador de cliente de Microsoft 365 adecuado para las aplicaciones que desea autorizar para la aplicación web de la aplicación.
Nota:
- Los identificadores de cliente de Microsoft 365 para aplicaciones móviles, de escritorio y web para Teams, la aplicación de Microsoft 365 y Outlook son los identificadores reales que debe agregar.
- Si la aplicación tiene una aplicación de pestaña, necesitará web o SPA, ya que no puede tener una aplicación cliente de escritorio o móvil en Teams.
Seleccione uno de los siguientes identificadores de cliente:
Usar Id. de cliente Para autorizar... 1fec8e78-bli4-4aaf-ab1b-5451cc387264 Aplicación móvil o de escritorio de Teams 5e3ce6c0-2b1f-4285-8d4b-75ee78787346 Aplicación web de Teams 4765445b-32c6-49b0-83e6-1d93765276ca Aplicación web de Microsoft 365 0ec893e0-5785-4de6-99da-4ed124e5296c Aplicación de escritorio de Microsoft 365 d3590ed6-52b3-4102-aeff-aad2292ab01c Aplicación móvil de Microsoft 365 Para
aplicaciones de escritorio de Outlookbc59ab01-8403-45c6-8796-ac3ef710b3e3 Aplicación web de Outlook 27922004-5251-4030-b22d-91ecd9a37ea4 Aplicación móvil de Outlook Seleccione el URI de identificador de aplicación que creó para la aplicación en Ámbitos autorizados para agregar el ámbito a la API web que ha expuesto.
Seleccione Agregar aplicación.
Aparece un mensaje en el explorador que indica que se agregó la aplicación cliente autorizada.
El identificador de cliente de la aplicación autorizada se muestra en la página.
Nota:
Puede autorizar más de una aplicación cliente. Repita los pasos de este procedimiento para configurar otra aplicación cliente autorizada.
Ha configurado correctamente el ámbito de la aplicación, los permisos y las aplicaciones cliente. Asegúrese de anotar y guardar el URI del identificador de aplicación. A continuación, configure la versión del token de acceso.
Configuración de la versión del token de acceso
Debe definir la versión del token de acceso de la aplicación en el manifiesto de la aplicación Microsoft Entra.
Para definir la versión del token de acceso
Seleccione Administrar>manifiesto en el panel izquierdo.
Aparece el manifiesto de la aplicación Microsoft Entra.
Introduzca 2 como valor de la
accessTokenAcceptedVersion
propiedad.Haga clic en Guardar.
Aparece un mensaje en el explorador que indica que el manifiesto de la aplicación se actualizó correctamente.
Ha actualizado la versión del token de acceso. A continuación, creará un secreto de cliente para la aplicación.
Creación de un secreto de cliente
Un secreto de cliente es una cadena que la aplicación usa para demostrar su identidad al solicitar un token.
Para crear un secreto de cliente para la aplicación
Seleccione Administrar>certificados & secretos.
Aparece la página Certificados & secretos .
Seleccione + Nuevo secreto de cliente.
Aparece la página Agregar un secreto de cliente .
- Escriba la descripción.
- Seleccione la duración de validez del secreto.
Seleccione Agregar.
Aparece un mensaje en el explorador que indica que el secreto de cliente se actualizó y el secreto de cliente se muestra en la página.
Seleccione el botón copiar situado junto al valor del secreto de cliente.
Guarde el valor que copió. Lo necesitará más adelante para actualizar el código.
Importante
Asegúrese de copiar el valor del secreto de cliente justo después de crearlo. El valor solo está visible en el momento en que se crea el secreto de cliente y no se puede ver después de eso.
Ha configurado el secreto de cliente. A continuación, debe configurar la dirección URL de redireccionamiento.
Configuración de la dirección URL de redireccionamiento
La configuración para la autenticación depende de la plataforma o dispositivo en el que quiera dirigirse a la aplicación. Es posible que tenga que configurar uri de redireccionamiento, opciones de autenticación o detalles específicos de la plataforma.
Nota:
- Si a la aplicación de bot no se le ha concedido el consentimiento del administrador de TI, los usuarios de la aplicación tendrán que proporcionar su consentimiento la primera vez que usen la aplicación en otra plataforma.
- La concesión implícita no es necesaria si el inicio de sesión único está habilitado en una aplicación de bot.
Puede configurar la autenticación para varias plataformas siempre que la dirección URL sea única.
Para configurar la dirección URL de redireccionamiento
Abra la aplicación que registró en el Azure Portal.
Seleccione Administrarautenticación>en el panel izquierdo.
Aparece la página Configuraciones de la plataforma.
Seleccione + Agregar una plataforma.
Aparece la página Configurar plataformas.
Seleccione la plataforma que desea configurar para la aplicación. Puede seleccionar el tipo de plataforma en Web o SPA.
Aparece la página Configurar web .
Nota:
Las configuraciones serán diferentes en función de la plataforma que seleccione.
Introduzca los detalles de configuración de la plataforma.
Introduzca el URI de redireccionamiento. El URI debe ser único.
Nota:
La dirección URL mencionada en URI de redireccionamiento es un ejemplo.
Introduzca la URL de cierre de sesión del canal frontal.
Seleccione los tokens que quiere que microsoft Entra ID envíe para la aplicación.
Seleccione Configurar.
La plataforma se configura y se muestra en la página Configuraciones de la plataforma.
La configuración de la aplicación Microsoft Entra está completa y ahora debe habilitar la compatibilidad con SSO para el recurso del bot mediante la configuración de la conexión de OAuth.
Configuración de la conexión de OAuth
Para que un bot admita SSO, debe actualizar su configuración de conexión de OAuth. Este proceso asocia el bot con los detalles de la aplicación que configuró para la aplicación Microsoft Entra:
- Identificador de aplicación de Microsoft Entra, que es el identificador de cliente
- Identificación del inquilino
- Ámbito y permisos
Con el identificador de aplicación (cliente) y el secreto de cliente proporcionados, Bot Framework Token Store intercambia el token por un token de grafo con permisos definidos.
Para actualizar la conexión de OAuth
Abra el Azure Portal en el explorador web. Se abre la página Bot de Microsoft Azure.
Escriba el nombre de la aplicación Microsoft Entra en el cuadro Buscar y abra la aplicación.
Seleccione Configuración>.
Aparece la página Configuración .
Vaya a la página Configuración y seleccione Agregar configuración de conexión de OAuth.
Aparece la página Nueva configuración de conexión .
Escriba los valores de configuración de OAuth para el bot de Azure.
Escriba un nombre para la configuración.
Seleccione el proveedor de servicios.
Aparecen los detalles de configuración restantes.
Escriba el identificador de aplicación (cliente) de la aplicación Microsoft Entra.
Escriba el secreto de cliente que ha creado para el bot.
Escriba el URI del identificador de aplicación del bot en la dirección URL de Token Exchange.
Escriba el identificador de inquilino.
Escriba el ámbito que definió al configurar el ámbito y los permisos.
Seleccione Guardar.
Seleccione Aplicar.
Después de configurar la conexión de OAuth, puede seleccionar Probar conexión para comprobar si la conexión de OAuth se ha realizado correctamente.
Si la conexión no se realiza correctamente, Microsoft Entra ID muestra un error. Puede comprobar todas las configuraciones y volver a probarlas.
Enhorabuena. Ha completado las siguientes configuraciones de aplicación en Microsoft Entra ID necesarias para habilitar el inicio de sesión único para la aplicación bot:
- Id. de aplicación
- Id. de bot
- Token de acceso
- URI de Id. de la aplicación:
- Ámbito, permisos e identificadores de cliente autorizados
- Secreto de cliente
- Dirección URL de redireccionamiento
- Punto de conexión de mensajería y conexión de OAuth
Procedimientos recomendados
- Mantenga el registro de la aplicación Microsoft Entra restringido a su propósito original de servicio a aplicación de servicio.
- Para un mejor control sobre la deshabilitación de conexiones de autenticación, la puesta en marcha de secretos o la reutilización de la aplicación Microsoft Entra con otras aplicaciones, cree una aplicación de Microsoft Entra adicional para que cualquier usuario realice la autenticación de servicio.
Si usa la aplicación de registro de Microsoft Entra para la autenticación, es posible que encuentre los siguientes problemas:
- Si renueva el certificado adjunto al registro de la aplicación Microsoft Entra, afecta a los usuarios que se han autenticado con otros servicios de Microsoft Entra mediante el certificado.
- Crea un único punto de error y control para todas las actividades relacionadas con la autenticación con el bot.