Identitetsprovidrar
GÄLLER FÖR: SDK v4
En identitetsprovider autentiserar användar- eller klientidentiteter och utfärdar förbrukningsbara säkerhetstoken. Den tillhandahåller användarautentisering som en tjänst.
Klientprogram, till exempel webbprogram, delegerar autentisering till en betrodd identitetsprovider. Sådana klientprogram sägs vara federerade, det vill säga att de använder federerad identitet. Mer information finns i Federerat identitetsmönster.
Använda en betrodd identitetsprovider:
- Aktiverar funktioner för enkel inloggning (SSO) så att ett program kan komma åt flera skyddade resurser.
- Underlättar anslutningar mellan molnbaserade databehandlingsresurser och användare, vilket minskar behovet av att användare autentiserar igen.
Enkel inloggning
Enkel inloggning refererar till en autentiseringsprocess som gör att en användare kan logga in på ett system en gång med en enda uppsättning autentiseringsuppgifter för att få åtkomst till flera program eller tjänster.
En användare loggar in med ett enda ID och lösenord för att få åtkomst till något av flera relaterade programvarusystem. Mer information finns i Enkel inloggning.
Många identitetsprovidrar stöder en utloggningsåtgärd som återkallar användartoken och avslutar åtkomsten till de associerade programmen och tjänsterna.
Viktigt!
Enkel inloggning förbättrar användbarheten genom att minska antalet gånger en användare måste ange autentiseringsuppgifter. Det ger också bättre säkerhet genom att minska den potentiella attackytan.
Microsoft Entra ID-identitetsprovider
Microsoft Entra ID är identitetstjänsten i Microsoft Azure som tillhandahåller funktioner för identitetshantering och åtkomstkontroll. Det gör att du kan logga in användare på ett säkert sätt med hjälp av branschstandardprotokoll som OAuth2.0.
Du kan välja mellan två implementeringar av Active Directory-identitetsprovidern, som har olika inställningar enligt nedan.
Kommentar
Använd de här inställningarna när du konfigurerar OAuth Anslut ion Inställningar i Azure-robotregistreringsprogrammet. Mer information finns i Lägga till autentisering i en robot.
Med Microsofts identitetsplattform (v2.0) – även kallad Microsoft Entra ID-slutpunkt – kan en robot hämta token för att anropa Microsoft-API:er, till exempel Microsoft Graph eller andra API:er. Identitetsplattformen är en utveckling av Azure AD-plattformen (v1.0). Mer information finns i översikten över Microsofts identitetsplattform (v2.0).
Använd AD v2-inställningarna nedan för att aktivera en robot för åtkomst till Office 365-data via Microsoft Graph-API:et.
| Property | Beskrivning eller värde |
|---|---|
| Namn | Ett namn på den här identitetsprovideranslutningen. |
| Tjänsteleverantör | Identitetsprovidern som ska användas. Välj Microsoft Entra-ID. |
| Klient-ID | Program-ID :t (klient) för din Azure-identitetsproviderapp. |
| Client secret | Hemligheten för din Azure-identitetsproviderapp. |
| Tenant ID | Ditt katalog-ID (klientorganisation) eller common. Mer information finns i anteckningen om klientorganisations-ID:t. |
| Scope | En blankstegsavgränsad lista över DE API-behörigheter som du har beviljat identitetsproviderappen microsoft Entra ID, till exempel openid, profile, Mail.Read, Mail.Send, User.Readoch User.ReadBasic.All. |
| Token Exchange-URL | För en SSO-aktiverad kunskapsrobot använder du tokenutbytes-URL:en som är associerad med OAuth-anslutningen. Annars lämnar du detta tomt. Information om URL:en för utbyte av SSO-token finns i Skapa en OAuth-anslutningsinställningar. |
Kommentar
Om du har valt något av följande anger du det klientorganisations-ID som du registrerade för Microsoft Entra ID-identitetsproviderappen:
- Endast konton i den här organisationskatalogen (endast Microsoft – enskild klientorganisation)
- Konton i valfri organisationskatalog (Microsoft AAD-katalog – flera klientorganisationer)
Om du har valt Konton i en organisationskatalog (Alla Microsoft Entra-ID-kataloger – Flera klientorganisationer och personliga Microsoft-konton, t.ex. Skype, Xbox, Outlook.com), anger du common.
Annars använder Microsoft Entra ID-identitetsproviderappen klientorganisationen för att verifiera det valda ID:t och exkludera personliga Microsoft-konton.
Mer information finns i:
- Varför uppdateras till Microsofts identitetsplattform (v2.0)?
- Microsofts identitetsplattform (Microsoft Entra-ID för utvecklare).
Andra identitetsprovidrar
Azure har stöd för flera identitetsprovidrar. Du kan hämta en fullständig lista, tillsammans med den relaterade informationen, genom att köra följande Azure-konsolkommandon:
az login
az bot authsetting list-providers
Du kan också se listan över dessa leverantörer i Azure-portalen när du definierar OAuth-anslutningsinställningarna för en robotregistreringsapp.
Allmänna OAuth-providers
Azure stöder allmän OAuth2, som gör att du kan använda din egen identitetsprovider.
Du kan välja mellan två allmänna implementeringar av identitetsprovidern, som har olika inställningar enligt nedan.
Kommentar
Använd inställningarna som beskrivs här när du konfigurerar OAuth-Anslut ion Inställningar i Azure-robotregistreringsprogrammet.
Använd den här providern för att konfigurera alla generiska OAuth2-identitetsprovider som har liknande förväntningar som Microsoft Entra ID-provider, särskilt AD v2. För den här anslutningstypen är frågesträngarna och begärandetextnyttolasterna fasta.
| Property | Beskrivning eller värde |
|---|---|
| Namn | Ett namn på den här identitetsprovideranslutningen. |
| Tjänsteleverantör | Identitetsprovidern som ska användas. Välj Allmän Oauth 2. |
| Klient-ID | Ditt klient-ID som hämtats från identitetsprovidern. |
| Client secret | Din klienthemlighet som hämtas från identitetsproviderns registrering. |
| Auktoriserings-URL | https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Token-URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Uppdatera URL | https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Token Exchange-URL | Lämna tomt. |
| Scope | En kommaavgränsad lista över DE API-behörigheter som du har beviljat till identitetsproviderappen. |