Настройка приложения в Microsoft Entra ID

Идентификатор Microsoft Entra предоставляет пользователям приложения доступ к боту или приложению расширения сообщений. Пользователю приложения, выполнившему вход в Teams, можно предоставить доступ к вашему приложению.

Настройка единого входа в Центре администрирования Microsoft Entra

Бот и приложения расширения сообщений используют Bot Framework для общения с пользователями приложений и реализации проверки подлинности.

Чтобы настроить единый вход для бота или приложения расширения сообщений, вам потребуется:

  • Настройка ресурса бота в Microsoft Entra ID
  • Настройка приложения в Microsoft Entra ID

Примечание.

Убедитесь, что вы создали приложение и ресурс бота в идентификаторе Microsoft Entra.

Вы можете настроить ресурс и приложение бота в Идентификаторе Microsoft Entra для бота или приложения расширения сообщений одним из следующих двух способов:

  • Настройка единого входа с помощью ресурса бота и настройка приложения Microsoft Entra. Для начала можно настроить единый вход для ресурса бота и включить единый вход для приложения Microsoft Entra. Вы настроите следующее:

    • Для ресурса бота: конечная точка обмена сообщениями и подключение OAuth.

      Примечание.

      При создании ресурса бота в Microsoft Entra ID можно выбрать параметр для создания нового идентификатора приложения или использовать существующий идентификатор приложения, если вы уже зарегистрировали приложение в Microsoft Entra ID.

    • Для приложения Microsoft Entra: URI идентификатора приложения, область и разрешения, идентификаторы доверенных клиентов, версия маркера доступа, секрет клиента и URL-адрес перенаправления.

  • Настройка единого входа с помощью приложения Microsoft Entra, а затем настройка ресурса бота. Вы можете начать с настройки приложения Microsoft Entra, а затем использовать этот идентификатор приложения в ресурсе бота при включении единого входа для него. Вы настроите следующее:

    • Для приложения Microsoft Entra: URI идентификатора приложения, маркер доступа, идентификаторы доверенных клиентов, версия маркера доступа, секрет клиента и URL-адрес перенаправления.

    • Для ресурса бота: конечная точка обмена сообщениями и подключение OAuth.

      Примечание.

      Настройте ресурс бота с помощью идентификатора приложения, созданного идентификатором Microsoft Entra ПРИ регистрации приложения.

Включение единого входа в Microsoft Entra ID

В конце этого руководства вы узнаете, как настроить:

  • Идентификатор приложения
  • ИД бота
  • Маркер доступа
    • URI идентификатора приложения.
    • Область, разрешения и идентификаторы авторизованных клиентов
    • Секрет клиента
    • URL-адрес перенаправления
  • Конечная точка обмена сообщениями и подключение OAuth

Выберите один из следующих двух способов настройки единого входа для ресурса бота:

Чтобы включить единый вход для приложения в Microsoft Entra ID, выполните следующие действия:

Важно!

Убедитесь, что при создании ресурса бота выберите параметр для создания нового идентификатора приложения. Вы также можете использовать существующий идентификатор приложения, если вы уже зарегистрировали приложение в Центре администрирования Microsoft Entra.

Настройка конечной точки обмена сообщениями

Конечная точка обмена сообщениями — это место, где сообщения отправляются боту. Это обеспечивает взаимодействие с ботом.

Настройка конечной точки обмена сообщениями для ресурса бота

  1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

  2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

  3. Выберите Конфигурация параметров>.

    Снимок экрана: меню конфигурации бота.

    Откроется страница Конфигурация .

  4. Введите URL-адрес конечной точки обмена сообщениями, где бот получает сообщения пользователя приложения.

    Снимок экрана: параметр конечной точки обмена сообщениями для добавления URL-адреса, по которому бот взаимодействует с пользователем.

  5. Нажмите Применить.

    Настроена конечная точка обмена сообщениями.

Вы настроили конечную точку обмена сообщениями для ресурса бота. Затем необходимо включить единый вход для приложения Microsoft Entra.

Настройка единого входа для приложения Microsoft Entra

Необходимо настроить разрешения и области, авторизовать клиентские приложения, обновить манифест приложения (ранее — манифест приложения Teams) и создать секрет клиента для приложения Microsoft Entra. Эти конфигурации помогают вызвать единый вход для приложения бота.

Настройка области для маркера доступа

Настройка параметров области (разрешений) для отправки маркера доступа в клиент Teams и авторизации доверенных клиентских приложений для включения единого входа.

Тебе нужно:

  • Настройка URI идентификатора приложения: настройте параметры области (разрешения) для приложения. Вы предоставите веб-API и настроите URI идентификатора приложения.
  • Чтобы настроить область API, определите область для API и пользователей, которые могут дать согласие на область действия. Вы можете позволить только администраторам давать согласие на более привилегированные разрешения.
  • Чтобы настроить авторизованное клиентское приложение, создайте авторизованные идентификаторы клиентов для приложений, которые вы хотите предварительно авторизовать. Это позволяет пользователю приложения получать доступ к настроенным вами областям приложения (разрешениям) без дополнительного согласия. Предварительная авторизация только тех клиентских приложений, которым вы доверяете, так как пользователи приложения не будут иметь возможность отклонить согласие.

Настройка URI идентификатора приложения

  1. Откройте портал Azure в веб-браузере.

    Откроется страница Microsoft Azure Bot.

  2. Введите имя ресурса бота в поле поиска и нажмите клавишу ВВОД , чтобы открыть его.

  3. Выберите Конфигурация параметров>.

    Снимок экрана: меню

    Откроется страница Конфигурация .

  4. Выберите Управление.

    Снимок экрана: конфигурация ресурсов Бота.

    Откроется страница приложения Microsoft Entra.

    Новый идентификатор приложения (идентификатор клиента) для приложения появится на этой странице. Запишите и сохраните этот идентификатор приложения. Позже его потребуется обновить в манифесте приложения. Если вы использовали идентификатор существующего приложения при создании ресурса бота, идентификатор этого приложения отображается на этой странице.

    Снимок экрана: страница приложения Bot с выделенным идентификатором клиента приложения.

  5. Выберите Управление>Предоставить API на панели слева.

    Появится страница Предоставление API.

  6. Выберите Добавить , чтобы создать URI идентификатора приложения.

    Снимок экрана: параметр Задать URI идентификатора приложения.

    Появится раздел для настройки идентификатора приложения URI.

  7. Введите URI идентификатора приложения в формате, описанном здесь.

    Снимок экрана: добавленный URI идентификатора приложения.

    • URI идентификатора приложения заполняется идентификатором приложения (GUID) в формате api://{AppID}.

    Важно!

    • Конфиденциальная информация. URI идентификатора приложения регистрируется в процессе проверки подлинности и не должен содержать конфиденциальную информацию.

    • Автономный бот. Если вы создаете автономный бот, введите URI идентификатора приложения как api://botid-{YourBotId}. Здесь {YourBotId} — это идентификатор приложения Microsoft Entra.

    • URI идентификатора приложения для приложения с несколькими возможностями. Если вы создаете приложение с помощью бота, расширения для обмена сообщениями и вкладки, введите URI идентификатора приложения как api://fully-qualified-domain-name.com/botid-{YourClientId}, где {YourClientId} — это идентификатор приложения бота.

    • Формат доменного имени. Используйте строчные буквы для доменного имени. Не используйте верхний регистр.

      Например, чтобы создать службу приложений или веб-приложение с именем ресурса demoapplication:

      Если используется базовое имя ресурса URL-адрес будет... Формат поддерживается на...
      demoapplication https://demoapplication.example.net Все платформы
      DemoApplication https://DemoApplication.example.net Только для компьютеров, Интернета и iOS. Он не поддерживается в Android.

      Используйте вариант demoapplication в нижнем регистре в качестве имени базового ресурса.

  8. Выберите Сохранить.

    В браузере появится сообщение о том, что URI идентификатора приложения был обновлен.

    Снимок экрана: сообщение об обновлении URI идентификатора приложения.

    URI идентификатора приложения отображается на странице.

    Снимок экрана: обновленный URI идентификатора приложения.

  9. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Он понадобится для обновления манифеста приложения позже.

Настроен универсальный код ресурса (URI) идентификатора приложения. Теперь вы можете определить область и разрешения для приложения.

Чтобы настроить область действия API

  1. Выберите + Добавить область в разделе Области, определенные этим API.

    Снимок экрана: выделенный параметр

    Появится страница Добавление области.

  2. Введите данные для конфигурации области действия.

    Снимок экрана: добавление сведений о области в Azure.

    1. Введите имя области.

    2. Выберите пользователя, который может дать согласие на эту область. Параметр по умолчанию — Только для администраторов.

    3. Введите отображаемое имя согласия администратора.

    4. Введите описание для согласия администратора.

    5. Введите отображаемое имя согласия пользователя.

    6. Введите описание согласия пользователя.

    7. Выберите параметр Включено для состояния.

    8. Нажмите Добавить область.

      Примечание.

      В этом руководстве можно использовать профиль User.Read User.ReadBasic.All openid в качестве области. Эта область подходит для использования примера кода. Вы также можете добавить дополнительные области и разрешения Graph. Дополнительные сведения см. в статье Расширение приложения с помощью разрешений и областей Microsoft Graph.

    В браузере появится сообщение о добавлении области.

    Снимок экрана: сообщение о добавлении области.

    Примечание.

    Новая область, которую вы определили, отобразится на странице. Обязательно запишите и сохраните настроенную область. Он понадобится для обновления подключения OAuth позже.

Область и разрешения теперь настроены. Затем необходимо настроить авторизованные клиентские приложения для приложения Microsoft Entra.

Настройка авторизованного клиентского приложения

  1. Перейдите на страницу Предоставление API в раздел авторизованного клиентского приложения и выберите + Добавить клиентское приложение.

    Снимок экрана: параметр Добавить клиентское приложение, выделенный в разделе Авторизованные клиентские приложения.

    Появится страница Добавление клиентского приложения.

  2. Введите соответствующий идентификатор клиента Microsoft 365 для приложений, которые вы хотите авторизовать для веб-приложения приложения.

    Снимок экрана: добавленный идентификатор клиента.

    Примечание.

    • Идентификаторы клиентов Microsoft 365 для мобильных, настольных и веб-приложений для Teams, приложения Microsoft 365 и Outlook — это фактические идентификаторы, которые необходимо добавить.
    • Если в вашем приложении есть приложение вкладки, вам потребуется веб-приложение или SPA, так как вы не можете использовать мобильное или классическое клиентское приложение в Teams.
  3. Выберите один из следующих идентификаторов клиентов:

    Использовать идентификатор клиента Для авторизации...
    1fec8e78-bce4-4aaf-ab1b-5451cc387264 Мобильное или настольное приложение Teams
    5e3ce6c0-2b1f-4285-8d4b-75ee78787346 Веб-приложение Teams
    4765445b-32c6-49b0-83e6-1d93765276ca Веб-приложение Microsoft 365
    0ec893e0-5785-4de6-99da-4ed124e5296c Классическое приложение Microsoft 365
    d3590ed6-52b3-4102-aeff-aad2292ab01c Классическое приложение Outlook для мобильных устройств
    Microsoft 365
    bc59ab01-8403-45c6-8796-ac3ef710b3e3 Веб-приложение Outlook
    27922004-5251-4030-b22d-91ecd9a37ea4 Мобильное приложение Outlook
  4. Выберите URI идентификатора приложения, который вы создали для своего приложения, в Авторизованных областях, чтобы добавить область в предоставленный вами веб-API.

  5. Нажмите кнопку Добавить приложение.

    В браузере появится сообщение о добавлении авторизованного клиентского приложения.

    Снимок экрана: сообщение о добавлении идентификатора клиента.

    На странице отображается идентификатор клиента авторизованного приложения.

    Снимок экрана: добавленный идентификатор клиента на экране Авторизованные клиентские приложения.

    Примечание.

    Вы можете авторизовать более одного клиентского приложения. Повторите шаги этой процедуры для настройки другого авторизованного клиентского приложения.

Вы успешно настроили область приложения, разрешения и клиентские приложения. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Затем настройте версию маркера доступа.

Настройка версии маркера доступа

Необходимо определить версию маркера доступа для приложения в манифесте приложения Microsoft Entra.

Чтобы определить версию маркера доступа

  1. Выберите Управление>Манифест на панели слева.

    Снимок экрана: манифест Центра администрирования Microsoft Entra.

    Откроется манифест приложения Microsoft Entra.

  2. Введите 2 в качестве значения свойства accessTokenAcceptedVersion.

    Снимок экрана: значение для принятой версии маркера доступа.

  3. Выберите Сохранить.

    В браузере появится сообщение о том, что манифест приложения успешно обновлен.

    Снимок экрана: сообщение об обновлении манифеста.

Вы обновили версию маркера доступа. Затем вы создадите секрет клиента для приложения.

Создание секрета клиента

Секрет клиента — это строка, которую приложение использует для подтверждения своего удостоверения при запросе маркера.

Создание секрета клиента для приложения

  1. Выберите Управление>сертификатами & секретами.

    Снимок экрана: пункт меню

    Откроется страница Секреты сертификатов & .

  2. Выберите + Новый секрет клиента.

    Снимок экрана: выделен параметр

    Откроется страница Добавление секрета клиента .

    Снимок экрана: страница

    1. Введите описание.
    2. Выберите срок действия секрета.
  3. Нажмите Добавить.

    В браузере появится сообщение о том, что секрет клиента был обновлен, а секрет клиента отображается на странице.

    Снимок экрана: сообщение о добавлении секрета клиента.

  4. Нажмите кнопку копировать рядом со значением секрета клиента.

  5. Сохраните скопированное значение. Он понадобится позже для обновления кода.

    Важно!

    Обязательно скопируйте значение секрета клиента сразу после его создания. Значение отображается только в момент создания секрета клиента, и его невозможно просмотреть после этого.

Вы настроили секрет клиента. Затем необходимо настроить URL-адрес перенаправления.

Настройка URL-адреса перенаправления

Конфигурация проверки подлинности зависит от платформы или устройства, на котором вы хотите нацелиться на приложение. Может потребоваться настроить URI перенаправления, параметры проверки подлинности или сведения о конкретной платформе.

Примечание.

  • Если приложению бота не предоставлено согласие ИТ-администратора, пользователи приложений должны предоставить согласие при первом использовании приложения на другой платформе.
  • Неявное предоставление не требуется, если единый вход включен в приложении бота.

Вы можете настроить проверку подлинности для нескольких платформ, если URL-адрес уникален.

Настройка URL-адреса перенаправления

  1. Откройте приложение, зарегистрированное на портале Azure.

  2. Выберите Управление>Проверка подлинности на панели слева.

    Снимок экрана: параметр

    Появится страница Конфигурации платформ.

  3. Выберите + Добавить платформу.

    Снимок экрана: параметр

    Появится страница Настройка платформ.

  4. Выберите платформу, которую вы хотите настроить для приложения. Тип платформы можно выбрать из веб-сайта или SPA.

    Снимок экрана: выбор веб-платформы.

    Откроется веб-страница Настройка .

    Примечание.

    Конфигурации будут отличаться в зависимости от выбранной платформы.

  5. Введите сведения о конфигурации платформы.

    Снимок экрана: настройка веб-страницы для предоставления входных данных.

    1. Введите URI перенаправления. URI должен быть уникальным.

      Примечание.

      Примером является URL-адрес, упомянутый в URI перенаправления .

    2. Введите URL-адрес выхода из внешнего канала.

    3. Выберите маркеры, которые вы хотите отправить идентификатору Microsoft Entra для приложения.

  6. Нажмите Настроить.

    Платформа настраивается и отображается на странице Конфигурации платформ.

Настройка приложения Microsoft Entra завершена, и теперь необходимо включить поддержку единого входа для ресурса бота, настроив подключение OAuth.

Настройка подключения OAuth

Чтобы бот поддерживал единый вход, необходимо обновить его параметры подключения к OAuth. Этот процесс связывает бота со сведениями о приложении, настроенными для приложения Microsoft Entra:

  • Идентификатор приложения Microsoft Entra, который является идентификатором клиента
  • Идентификатор клиента
  • Область и разрешения

После предоставления идентификатора приложения (клиента) и секрета клиента хранилище токенов Bot Framework обменивается маркером на маркер графа с определенными разрешениями.

Обновление подключения OAuth

  1. Откройте портал Azure в веб-браузере. Откроется страница Microsoft Azure Bot.

  2. Введите имя приложения Microsoft Entra в поле поиска и откройте приложение.

  3. Выберите Конфигурация параметров>.

    Снимок экрана: настройка параметров OAUth для приложения бота.

    Откроется страница Конфигурация .

  4. Перейдите на страницу Конфигурация и выберите Добавить параметры подключения OAuth.

    Снимок экрана: выделенный параметр Add OAuth Connection Settings (Добавить параметры подключения OAuth).

    Откроется страница Новый параметр подключения .

  5. Введите параметры конфигурации OAuth для бота Azure.

    Снимок экрана: новый параметр подключения для предоставления сведений.

    1. Введите имя параметра конфигурации.

    2. Выберите поставщика услуг.

      Отобразятся остальные сведения о конфигурации.

      Снимок экрана: дополнительные поля для нового параметра подключения.

    3. Введите идентификатор приложения (клиента) для приложения Microsoft Entra.

    4. Введите секрет клиента, созданный для бота.

    5. Введите URI идентификатора приложения бота в поле URL-адрес Обмена токенами.

    6. Введите идентификатор клиента.

    7. Введите область, определенную при настройке области и разрешений.

  6. Нажмите кнопку Сохранить.

  7. Нажмите Применить.

    Настроив подключение OAuth, можно выбрать Проверить подключение , чтобы проверить, успешно ли выполнено подключение OAuth.

    Снимок экрана: параметр

    Если подключение не выполнено успешно, идентификатор Microsoft Entra отображает ошибку. Вы можете проверить все конфигурации и снова протестировать.

Поздравляем! Вы выполнили следующие конфигурации приложений в Microsoft Entra ID, необходимые для включения единого входа для приложения бота:

  • Идентификатор приложения
  • ИД бота
  • Маркер доступа
    • URI идентификатора приложения.
    • Область, разрешения и идентификаторы авторизованных клиентов
    • Секрет клиента
    • URL-адрес перенаправления
  • Конечная точка обмена сообщениями и подключение OAuth

Лучшие методики

  • Оставьте регистрацию приложения Microsoft Entra ограниченной первоначальной целью обслуживания приложения службы.
  • Чтобы лучше контролировать отключение подключений к проверке подлинности, развертывание секретов или повторное использование приложения Microsoft Entra с другими приложениями, создайте дополнительное приложение Microsoft Entra для любого пользователя, которое будет обслуживать проверку подлинности.

Если вы используете приложение для регистрации Microsoft Entra для проверки подлинности, могут возникнуть следующие проблемы:

  • Обновление сертификата, присоединенного к регистрации приложения Microsoft Entra, влияет на пользователей, прошедших проверку подлинности в других службах Microsoft Entra с помощью сертификата.
  • Он создает единую точку сбоя и управления для всех действий, связанных с проверкой подлинности, с помощью бота.

Следующее действие