Oracle Cloud Infrastructure - Dokumentation

Backend-Authentifizierung

Wenn Sie über einen Skill verfügen, der eine Authentifizierung bei einem Identitätsprovider erfordert, können Sie einen Authentifizierungsservice einrichten, um die Interaktion zwischen Digital Assistant und diesem Identitätsprovider zu aktivieren.

Beispiel: Sie müssen einen Authentifizierungsservice einrichten, wenn Sie einen Skill für einen Microsoft Teams-Kanal, einen Skill, der auf einen Google- oder Outlook-Kalender zugreift, oder einen Skill erstellen, der von einer per Anwendung initiierten Unterhaltung aufgerufen wird, die eine authentifizierte Benutzer-ID zur Identifizierung des Benutzers verwendet.

Sie müssen auch einen Authentifizierungsservice einrichten, wenn Ihr Skill eine integrierte Komponente OAuth 2.0-Client, OAuth 2.0-Accountlink oder OAuth2-Token zurücksetzen verwendet.

Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gepaart ist, wie Oracle Sales Automation oder Oracle Fusion Cloud Human Capital Management, müssen Sie nichts tun, um die Backend-Authentifizierung für die angegebenen Skills zu konfigurieren. Diese Aufgabe wurde für Sie übernommen.

Integrierte Sicherheitskomponenten

Oracle Digital Assistant stellt die folgenden Sicherheitskomponenten bereit:

  • OAuth 2.0-Client : Ruft ein OAuth2-Zugriffstoken des Berechtigungstyps "Clientzugangsdaten" ab, mit dem eine benutzerdefinierte Komponente auf Clientressourcen zugreifen kann, die von OCI IAM oder Oracle Access Manager (OAM) gesichert werden.

    (Wenn der Dialogablauf im YAML-Modus entwickelt wurde, verwenden Sie System.OAuth2Client .)

    Bevor Sie diese Komponente in einem Skill verwenden, registrieren Sie eine Anwendung, wie unter Identitätsproviderregistrierung beschrieben, und bitten Sie den Administrator, einen Service für den Client hinzuzufügen, wie unter Authentifizierungsservices beschrieben. Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service, wie Oracle Sales Cloud oder Oracle Human Capital Management Cloud, kombiniert ist, verfügt Ihre OCI-IAM-Identitätsdomain bereits über eine registrierte Anwendung und einen Authentifizierungsservice.

  • OAuth 2.0-Accountlink : Ruft ein OAuth2-Zugriffstoken des Berechtigungstyps "Autorisierungscode" ab, mit dem eine benutzerdefinierte Komponente auf Ressourcen zugreifen kann, die von einem der folgenden Identitätsprovider gesichert sind:
    • OCI-IAM
    • Oracle Access Manager (OAM)
    • Microsoft Identity Platform
    • Google Identity Platform

    (Wenn der Dialogablauf im YAML-Modus entwickelt wurde, verwenden Sie System.OAuth2AccountLink .)

    Eine weitere Verwendung dieser Komponente ist die Authentifizierung von Benutzern für von Anwendungen aktivierte Unterhaltungen, die mobile Benutzer anhand ihrer Benutzernamen identifizieren, wie unter Kanal für die externe App erstellen beschrieben.

    Bevor Sie diese Komponente in einem Skill verwenden, registrieren Sie eine Anwendung, wie unter Identitätsproviderregistrierung beschrieben, und bitten Sie den Administrator, einen Service für den Client hinzuzufügen, wie unter Authentifizierungsservices beschrieben. Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gekoppelt ist, wie Oracle Sales Cloud oder Oracle Human Capital Management Cloud, verfügt Ihre OCI-IAM-Identitätsdomain bereits über eine registrierte Anwendung, und es wurde bereits ein Authentifizierungsservice erstellt.

  • OAuth 2.0-Token zurücksetzen : Entzieht dem angemeldeten Benutzer alle Aktualisierungs- und Zugriffstoken für einen bestimmten Authentifizierungsservice. Dies gilt für Dialogabläufe mit der Accountlinkkomponente OAuth 2.0.

    (Wenn der Dialogablauf im YAML-Modus entwickelt wurde, verwenden Sie System.OAuth2ResetTokens .)

    Beachten Sie, dass Sie diese Komponente nicht mit der Microsoft Identity Platform verwenden können, weil sie das Entziehen von Zugriffstoken nur über die Befehlszeilenschnittstelle und nicht über REST-Aufrufe unterstützt.

  • OAuth-Accountlink : Ermittelt den Autorisierungscode für Identitätsprovider, die das OAuth2-Protokoll unterstützen. Die benutzerdefinierte Komponente muss diesen Code gegen ein Zugriffstoken austauschen. Diese Komponente verwendet keinen Authentifizierungsservice.

    (Wenn der Dialogablauf im YAML-Modus entwickelt wurde, verwenden Sie System.OAuthAccountLink .)

Identitätsproviderregistrierung

Ein Administrator muss eine Anwendung (auch als OAuth-Client bezeichnet) beim Identitätsprovider (IDP) registrieren, bevor Sie die Komponente OAuth2Client, OAuth2AccountLink oder OAuthAccountLink in einem Skill verwenden können.

Anwendung bei OCI IAM oder OAM registrieren

Bevor Sie die Komponente OAuth2Client, OAuth2AccountLink oder OAuthAccountLink in einem Skill verwenden können, muss ein Administrator eine vertrauliche Anwendung (auch als OAuth-Client bezeichnet) bei OCI IAM oder OAM registrieren.

Hinweis

Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gekoppelt ist, wie Oracle Sales Cloud oder Oracle Human Capital Management Cloud, verfügt Ihre OCI IAM-Identitätsdomain bereits über eine registrierte Anwendung für diesen Service.

Informationen zum Registrieren einer Anwendung bei OCI IAM finden Sie unter Vertrauliche Anwendung hinzufügen in der Oracle Cloud Infrastructure-Dokumentation. Informationen zur Registrierung einer Anwendung bei OAM finden Sie unter OAuth-Services konfigurieren in Oracle Access Management verwalten.

Wenn Sie eine Anwendung (einen Client) bei OCI IAM oder OAM registrieren, müssen Sie folgende Informationen angeben:

  • Zulässige Berechtigungstypen: Die Anwendung muss den Berechtigungstyp "Autorisierungscode" oder "Clientzugangsdaten" verwenden.

  • Geltungsbereiche oder Rollen: Fügen Sie die Ressourcen hinzu, auf die Ihre benutzerdefinierten Komponenten zugreifen müssen. Wenn Sie den Berechtigungstyp "Aktualisierungstoken" hinzufügen, müssen Sie auch den entsprechenden Geltungsbereich hinzufügen, der für OCI IAM offline_access ist.

  • Umleitungs- oder Callback-URL: Sie müssen die URL angeben, die vom IDP für das Zurücksenden des Autorisierungscodes verwendet wird. Diese wird bei einigen Identitätsprovidern als Umleitungs-URL oder Callback-URI bezeichnet. Um die zu verwendende Umleitungs-URL zu ermitteln, gehen Sie zur Seite "Kanäle", und öffnen Sie einen beliebigen Facebook- oder Webhook-Kanal. (Erstellen Sie bei Bedarf einen fiktiven Kanal.) Verwenden Sie die Domain und den Port aus der Webhook-URL des Kanals (z.B. https://<domain>:<port>/connectors/v2/tenants/<tenantId>/listeners/facebook/channels/<channelId>), um die Umleitungs-URL zu erstellen. Diese muss im Format https://<domain>:<port>/connectors/v2/callback angegeben werden. Beispiel: https://example.com:443/connectors/v2/callback.

    Wenn die Instanz auf Oracle Cloud Platform bereitgestellt ist (wie alle Instanzen der Version 19.4.1), verwenden Sie v1 anstelle von v2.

Wenn Sie OAuth2Client oder OAuth2AccountLink zur Authentifizierung mit dem IDP verwenden, notieren Sie sich nach dem Erstellen der Anwendung (OAuth-Client) die Clientzugangsdaten, das IDP-Token und die Autorisierungs-URL. Sie benötigen diese Informationen, wenn Sie einen Authentifizierungsservice erstellen, wie unter Authentifizierungsservices beschrieben.

Anwendungen bei Microsoft Identity Platform registrieren

Um eine Anwendung bei Microsoft Identity Platform zu registrieren, befolgen Sie die Anweisungen von Microsoft unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

Legen Sie den App-Typ Web fest.

Sie müssen die URL angeben, die die Plattform zum Zurücksenden des Autorisierungscodes verwendet. Um die zu verwendende URL zu ermitteln, gehen Sie zur Seite "Kanäle" des digitalen Assistenten, und öffnen Sie einen beliebigen Facebook- oder Webhook-Kanal. (Erstellen Sie bei Bedarf einen fiktiven Kanal.) Verwenden Sie die Domain und den Port aus der Webhook-URL des Kanals (z.B. https://<domain>:<port>/connectors/v2/tenants/<tenantId>/listeners/facebook/channels/<channelId>), um die Umleitungs-URL zu erstellen. Diese muss im Format https://<domain>:<port>/connectors/v2/callback angegeben werden. Beispiel: https://example.com:443/connectors/v2/callback.

Nachdem Sie die Anwendung registriert haben, müssen Sie ein Client Secret erstellen, wie im Microsoft-Thema Erstellen eines neuen Anwendungsgeheimnisses beschrieben. Sie verwenden dieses Secret, wenn Sie einen Authentifizierungsservice für die Anwendung erstellen.

Anwendungen mit Google OAuth2-Autorisierung registrieren

Um eine Anwendung bei Google OAuth2 zu registrieren, erstellen Sie ein Projekt und aktivieren die erforderlichen APIs, wie im Google-Thema Enable APIs for your project beschrieben. Wenn Sie die Kalenderkomponenten verwenden möchten, müssen Sie sowohl die Google Calendar-API als auch die CalDAV-API aktivieren.

Rufen Sie anschließend die Client-ID und das Secret der Anwendung ab, wie im Google-Thema Create authorization credentials beschrieben.

Geben Sie im OAuth-Zustimmungsbildschirm die Geltungsbereiche an, für die Ihre App Zugriffsberechtigungen benötigt. Weitere Informationen finden Sie im Google-Thema Identify access scopes.

Authentifizierungsservices

Um die Sicherheitskomponenten OAuth 2.0 Client und OAuth 2.0 AccountLink zu verwenden, muss der Administrator zuerst auf der Seite "Authentifizierungsservices" einen Service für den IDP hinzufügen. Sie können Services für die Berechtigungstypen "Autorisierungscode" und "Clientzugangsdaten" erstellen. Authentifizierungsservices unterstützen OCI IAM- und OAM R2PS3-Identitätsprovider.

Hinweis

Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gekoppelt ist, wie Oracle Sales Cloud oder Oracle Human Capital Management Cloud, wurde bereits ein Authentifizierungsservice für die OCI-IAM-Identitätsdomain erstellt, die mit Ihrer Digital Assistant-Instanz verknüpft ist.

Bevor Sie einen Service erstellen, müssen Sie Ihren IDP-Administrator um die Informationen bitten, die Sie zum Hinzufügen eines Service benötigen.

Autorisierungscodeservice hinzufügen

Im Folgenden wird beschrieben, wie Sie einen Authentifizierungsservice für den Berechtigungstyp "Autorisierungscode" für OCI IAM, OAM, Microsoft Identity Platform und Google Identity Platform erstellen. Dieser Berechtigungstyp authentifiziert nach Benutzername und Kennwort.

  1. Öffnen Sie das Seitenmenü, und klicken Sie auf Einstellungen > Authentifizierungsservices.
  2. Klicken Sie auf + Service.
  3. Wählen Sie den Berechtigungstyp Autorisierungscode aus.
  4. Geben Sie folgende Werte ein:

    • Identitätsprovider: Der Typ des verwendeten Identitätsproviders (IDP).

    • Name: Ein Name, mit dem der Authentifizierungsservice identifiziert wird.

    • Tokenendpunkt-URL: Die IDP-URL für die Anforderung von Zugriffstoken.

      • OCI IAM: Verwenden Sie https://<IAM-Service-Instance>.identity.oraclecloud.com/oauth2/v1/token.

      • OAM: Verwenden Sie http://<Managed-Server-Host>:<Managed-Server-Port>/oauth2/rest/token.

      • Microsoft Identity Platform: Verwenden Sie https://login.microsoftonline.com/<Azure-Active-Directory-TenantID>/oauth2/v2.0/token.

      • Google Identity Platform: Verwenden Sie https://www.googleapis.com/oauth2/v4/token.

    • Autorisierungsendpunkt: Die IDP-URL für die Seite, über die sich Benutzer authentifizieren, indem sie ihren Benutzernamen und ihr Kennwort eingeben.

      • OCI IAM: Verwenden Sie https://<IAM-Service-Instance>.identity.oraclecloud.com/oauth2/v1/authorize.

      • OAM: Verwenden Sie http://<host>:<port>/oauth2/rest/authz.

      • Microsoft Identity Platform: Verwenden Sie https://login.microsoftonline.com/<Azure-Active-Directory-TenantID>/oauth2/v2.0/authorize.

      • Google Identity Platform: Verwenden Sie https://accounts.google.com/o/oauth2/v2/auth.

    • URL der Kurzautorisierungscode-Anforderung: (Optional) Eine verkürzte Version der Autorisierungs-URL, die Sie von einem URL-Kürzungsservice erhalten können (mit der Sie Abfrageparameter senden können). Dies ist möglicherweise erforderlich, weil die generierte Autorisierungscodeanforderungs-URL für SMS und ältere Smartphones zu lang sein könnte.

      Standardmäßig lauten die Autorisierungscodeanforderungs-URLs für die einzelnen Plattformen wie folgt:

      • OCI IAM und OAM: 

        {Authorization Endpoint URL}?client_id={clientId}&response_type=code&scope={scope}&redirect_uri={redirectUri}&state={state}

      • Microsoft Identity Platform: 

        {Authorization Endpoint URL}?client_id={clientId}&response_type=code&scope={scope}&redirect_uri={redirectUri}&response_mode=query&state={state}

      • Google Identity Platform: 

        {Authorization Endpoint URL}?client_id={clientId}&response_type=code&scope={scope}&redirect_uri={redirectUri}&access_type=offline&prompt=consent&state={state}

      Nachfolgend finden Sie ein Beispiel für die URL, die in einer Textnachricht angezeigt wird:

      Eine Beschreibung von long-url.png folgt.
      Beschreibung der Abbildung long-url.png

      Sie können z.B. eine gekürzte Version dieser URL erhalten:

      {Authorization Endpoint
      URL}?client_id={clientId}&response_type=code&scope={scope}&redirect_uri={redirectUri}&state={state}

      Mit der URL der Kurzautorisierungscode-Anforderung erstellt Oracle Digital Assistant die Autorisierungscodeanforderungs-URL wie folgt: 

      {Short Authorization Code Request URL}?state={state}

    • Endpunkt-URL zum Entziehen von Token: (Optional) Wenn Sie alle Aktualisierungstoken und Zugriffstoken des angemeldeten Benutzers aus einem Dialogablauf widerrufen möchten, benötigen Sie die URL zum Widerrufen von Aktualisierungstoken des IDP. Wenn Sie diese URL angeben, können Sie die Benutzertoken für diesen Service mit der Komponente "Token zurücksetzen" OAuth 2.0 widerrufen.

      • OCI IAM: Verwenden Sie https://<IAM-Service-Instance>.identity.oraclecloud.com/oauth2/v1/revoke.

      • OAM: Verwenden Sie https://<host>:<port>/ms_oauth/oauth2/endpoints/<OAuth-Service-Name>/tokens.

      • Microsoft Identity Platform: Nicht unterstützt.

      • Google Identity Platform: Verwenden Sie https://oauth2.googleapis.com/revoke.

    • Client-ID und Client Secret: Die Client-ID und das Client Secret für die IDP-Anwendung (OAuth-Client), die wie in der Identitätsproviderregistrierung beschrieben registriert wurde. Verwenden Sie bei Microsoft Identity Platform die Anwendungs-ID und das Secret.

    • Geltungsbereiche: Eine per Leerzeichen getrennte Liste der Geltungsbereiche, die angegeben werden müssen, wenn Digital Assistant ein Zugriffstoken vom Provider anfordert. Fügen Sie alle erforderlichen Geltungsbereiche hinzu, um auf die Ressourcen zuzugreifen. Wenn Aktualisierungstoken aktiviert sind, fügen Sie den Geltungsbereich hinzu, der für das Abrufen des Aktualisierungstokens erforderlich ist (im Allgemeinen offline_access).

      • OCI IAM: Verwenden Sie den Geltungsbereich urn:opc:idm:__myscopes__, wenn Sie ein Zugriffstoken abrufen müssen, das alle zulässigen Bereiche enthält. Verwenden Sie den Geltungsbereich urn:opc:idm:role.<roll-name> (Beispiel: urn:opc:idm:role.User%20Administrator), wenn Sie ein Zugriffstoken abrufen müssen, das die anwendbaren Geltungsbereiche einer bestimmten Rolle enthält.

      • Microsoft Identity Platform: Sie müssen openid email profile offline_access aufnehmen. Wenn Sie Kalenderkomponenten verwenden möchten, müssen Sie https://graph.microsoft.com/Calendars.ReadWrite einschließen. Verwenden Sie für andere Berechtigungen das Format https://graph.microsoft.com/<permission>. Ersetzen Sie <permission> durch einen gültigen Berechtigungsnamen aus der Microsoft Graph-Berechtigungsreferenz.

      • Google Identity Platform: Sie müssen https://www.googleapis.com/auth/userinfo.email aufnehmen. Hiermit wird die Anmelde-ID des Benutzers abgerufen. Wenn Sie Kalenderkomponenten verwenden möchten, müssen Sie https://www.googleapis.com/auth/calendar einschließen. Weitere Geltungsbereiche finden Sie unter OAuth 2.0 Scopes for Google APIs.

    • Subject-Anspruch: Der zu verwendende Zugriffstoken-Profilanspruch zur Identifizierung des Benutzers.

      • OCI IAM und OAM: Dies ist in der Regel der Claim sub (Subject). Wenn der Claim sub jedoch eine interne Benutzer-ID enthält, ist dies für Digital Assistant nicht hilfreich. Geben Sie in diesen Fällen einen Profilanspruch an, mit dem Digital Assistant den Benutzer identifizieren kann, wie email oder name.

      • Microsoft Identity Platform: Verwenden Sie preferred_username.

      • Google Identity Platform: Verwenden Sie email.

    • Aktualisierungstoken-Aufbewahrungszeitraum: Die Anzahl der Tage, die das Aktualisierungstoken im Cache von Digital Assistant gespeichert werden soll. Wenn Sie dieses Feld leer lassen, wird standardmäßig 7 verwendet.
    Eine Beschreibung von auth-service-ac.png folgt.
    Beschreibung der Abbildung auth-service-ac.png
  5. Klicken Sie auf Erstellen.

Tipp:

Wenn sich ein Benutzer bei OCI IAM über eine OAuth 2-Accountlinkkomponente (Visual Flow Designer) oder eine System.OAuth2AccountLink-Komponente (YAML-Modus) anmeldet, können Sie die Profilinformationen des IAM-Benutzers für die Dauer einer Session automatisch speichern. Siehe Benutzerprofil für die Dauer der Session speichern.

Clientzugangsdatenservice hinzufügen

So erstellen Sie einen Authentifizierungsservice für den Berechtigungstyp "Zugangsdaten". Dieser Berechtigungstyp authentifiziert nach Client-ID und Client Secret.

  1. Öffnen Sie das Seitenmenü, und klicken Sie auf Einstellungen > Authentifizierungsservices.
  2. Klicken Sie auf + Service.
  3. Wählen Sie den Berechtigungstyp Clientzugangsdaten aus.
  4. Geben Sie folgende Werte ein:

    • Identitätsprovider: Der Typ des verwendeten Identitätsproviders (IDP).

    • Name: Ein Name, mit dem der Authentifizierungsservice identifiziert wird.

    • Tokenendpunkt-URL: Die IDP-URL für die Anforderung von Zugriffstoken.

    • Client-ID und Client Secret: Die Client-ID und das Client Secret für die IDP-Anwendung (OAuth-Client), die wie in der Identitätsproviderregistrierung beschrieben registriert wurde.

    • Geltungsbereiche: Die Geltungsbereiche, die angegeben werden müssen, wenn Digital Assistant ein Zugriffstoken vom Provider anfordert. Fügen Sie alle erforderlichen Geltungsbereiche hinzu, um auf die Ressourcen zuzugreifen.


    Eine Beschreibung von auth-service-cc.png folgt.
    Beschreibung der Abbildung auth-service-cc.png

  5. Klicken Sie auf Erstellen.

Benutzeridentität im digitalen Assistenten

In Oracle Digital Assistant stehen Ihnen zwei Hauptoptionen zur Verwaltung der Identitäten von Benutzern eines bestimmten Skills zur Verfügung:

  • Stellen Sie mit Digital Assistant ein temporäres und vorläufiges Benutzerprofil zusammen, das auf dem Kanal des Benutzers und gegebenenfalls den Benutzerdetails basiert, die vom Provider dieses Kanals bereitgestellt werden. In solchen Fällen hätte eine Person, die über verschiedene Kanäle auf denselben Skill zugreift, unterschiedliche Profile für jeden Kanal. Details dieses Profils werden 14 Tage lang gespeichert. Dies ist das Standardverhalten.
  • Erstellen Sie eine einheitliche Benutzeridentität für jeden Benutzer, der über mehrere Kanäle hinweg erkannt und für einen längeren (oder kürzeren) Zeitraum persistiert werden kann. In diesem Modus können Sie Benutzern die Möglichkeit geben, der Verknüpfung ihrer Identitätsdetails mit der einheitlichen Benutzeridentität zuzustimmen oder diese zu deaktivieren. Dieser Ansatz ist für die Kanäle Twilio, Slack und MS Teams verfügbar.
Hinweis

Das Verknüpfen mit einem einheitlichen Benutzer hilft auch bei Push-Benachrichtigungen. Dadurch kann der Benachrichtigungsservice bestimmen, welcher der Kanäle des Benutzers für den Empfang einer Benachrichtigung geeignet ist, und die Nachricht somit an diesen Kanal weiterleiten.

Unified User Identity konfigurieren

Sie können Skills für einheitliche Benutzeridentitäten mit den folgenden allgemeinen Schritten konfigurieren:

  1. Verknüpfung von Kanalaccounts aktivieren in der Digital Assistant-Instanz.
  2. Fügen Sie einen Autorisierungscodeservice in der Digital Assistant-Instanz hinzu.
  3. Fügen Sie im Dialogablauf des Skills eine Komponente OAuth 2.0 Accountlink (für den visuellen Dialogmodus) oder System.OAuth2AccountLink (für den YAML-Modus) hinzu.
  4. Konfigurieren Sie in der Komponente die Verarbeitung der Benutzereinwilligung zum Speichern der einheitlichen Benutzeridentitätsdaten.

Die einheitliche Benutzer-ID für einen bestimmten Benutzer wird beim ersten Zugriff des Benutzers auf den digitalen Assistenten festgelegt und authentifiziert sich mit einer Autorisierung mit der Komponente OAuth 2.0. Das heißt, die ursprüngliche authentifizierte Identität wird zum "Punkt der Wahrheit". Alle Kanalaccount-IDs für denselben authentifizierten Benutzer OAuth 2.0 sind mit der einheitlichen Benutzer-ID verknüpft.

Verknüpfung von Vertriebskanalaccounts aktivieren

Sie können die Kanalaccountverknüpfung aktivieren, damit Benutzeridentitäten über mehrere Kanäle eines Skills erkannt werden können. Beispiel: Wenn ein Benutzer eine Unterhaltung in einem Kanal startet und auf eine Antwort wartet, kann er auch eine Benachrichtigung über diese Antwort in dem anderen Kanal erhalten.

So aktivieren Sie die Kanalverknüpfung:

  1. Klicken Sie auf Symbol zum Öffnen des Seitenmenüs, um das Seitenmenü zu öffnen, und wählen Sie Einstellungen > Unified Identity Services aus.
  2. Setzen Sie den Schalter Verknüpfung von Kanalaccounts auf "Ein".
Hinweis

Vor dem Release 22.12 war es möglich, die Verknüpfung von Kanalaccounts in einzelnen Skills zu aktivieren, indem eine Komponente OAuth 2.0 Accountlink in den Skill aufgenommen und die Eigenschaft associateWithUnifiedUser auf true gesetzt wurde. Ab dem 22.12. ist diese Eigenschaft veraltet und hat keine Wirkung, auch wenn sie in der YAML einer Komponente verbleibt.

Endbenutzer-Datenschutz: Benutzerzustimmungsoptionen

Wenn Sie die Channelaccountverknüpfung aktiviert haben, können Sie konfigurieren, wie die Benutzerzustimmung für jeden Skill einzeln verarbeitet wird. Verwenden Sie dazu die Eigenschaft requiresAssociationConsent in der Accountlinkkomponente OAuth 2.0 des Skills. Sie haben folgende Optionen:

  • Yes: Weist dem Benutzer die folgenden Einwilligungsoptionen zur Verknüpfung der Kanalaccountdaten mit einer einheitlichen Benutzer-ID zu:
    • Account zuordnen. Bestätigt, dass der Benutzer die Verknüpfung der aktuellen Kanalidentität mit der zentralen einheitlichen Benutzer-ID genehmigt hat.
    • Dieses Konto niemals verknüpfen. Gibt an, dass dieser spezifische Kanalaccount nicht der einheitlichen Benutzer-ID zugeordnet werden darf. Der Benutzer wird anschließend nicht gefragt, ob er dieses Konto zukünftig verknüpfen soll (obwohl der Benutzer diese Entscheidung später rückgängig machen kann).
    • Derzeit nicht. Verknüpft die Accounts nicht mit der aktuellen Session, verhindert jedoch nicht, dass der Benutzer in nachfolgenden Sessions zur Genehmigung aufgefordert wird. Die Einwilligungsaufforderung wird vorübergehend unterdrückt, nachdem der Benutzer diese Option ausgewählt hat. Sie kann jedoch erneut angezeigt werden, wenn der Benutzer sich mehr als 24 Stunden später erneut authentifiziert.
  • No . Der Benutzerkanalaccount wird automatisch mit der einheitlichen Benutzer-ID verknüpft, ohne dass der Benutzer zur Zustimmung aufgefordert wird.
  • Notify. Der Benutzerkanalaccount wird automatisch mit der einheitlichen Benutzer-ID verknüpft, und der Benutzer wird über diesen Fakt benachrichtigt.

Der Standardwert der Eigenschaft ist Yes.

Benutzereinwilligungs-Prompts und -Nachrichten anpassen

Es gibt eine Gruppe von Prompts und Nachrichten, die in der Unterhaltung angezeigt werden, wenn ein Benutzer benachrichtigt wird, dass seine Kanalaccountidentitätsinformationen mit einer einheitlichen Benutzeridentität verknüpft werden oder wenn ihm Einwilligungsoptionen erteilt werden. Sie können die Formulierung dieser Eingabeaufforderungen in Nachrichten im Resource Bundle des Skills anpassen.

So greifen Sie auf diese speziellen Prompts und Nachrichten im Resource Bundle zu:

  1. Klicken Sie im Skill auf Symbol für Resource Bundles, um das Ressourcen-Bundle zu öffnen.
  2. Wählen Sie die Registerkarte Konfiguration aus.
  3. Geben Sie im Feld Filter die Option OAuthAccount2Link - consent ein, um die einwilligungsbezogenen Bundle-Einträge anzuzeigen.

Aufbewahrung einheitlicher Benutzerdaten

Die Dauer der Speicherung einheitlicher Benutzeridentitätsdaten wird auf Instanzebene festgelegt.

So konfigurieren Sie die Dauer der Speicherung dieser Daten:

  1. Klicken Sie auf Symbol zum Öffnen des Seitenmenüs, um das Seitenmenü zu öffnen, und wählen Sie Einstellungen > Unified Identity Services aus.
  2. Setzen Sie den Schalter Kanalaccountdaten des Benutzers nach dem angegebenen Aufbewahrungszeitraum löschen auf "Ein".

    Wenn sie nicht eingeschaltet ist, werden die Kanalkontodaten des Benutzers auf unbestimmte Zeit gespeichert.

  3. Geben Sie im Aufbewahrungszeitraum für Kanalaccountbenutzerdaten (in Tagen) die Anzahl der Tage ein, in denen die Daten gespeichert werden sollen.

    Das Minimum von 7 und das Maximum ist 1100.

    Hinweis

    Jobs zum Löschen der Daten werden nur einmal alle 24 bis 48 Stunden ausgeführt. Je nach Zeitpunkt des Jobs können die Daten also bis zu 48 Stunden länger aufbewahrt werden als der von Ihnen angegebene Aufbewahrungszeitraum.
Hinweis

Die Kanalaccountdaten des Benutzers nach dem angegebenen Aufbewahrungszeitraum löschen wirkt sich nur auf kanalbezogene Daten aus, die als Teil einer einheitlichen Benutzeridentität gespeichert werden. Wenn die Verknüpfung mit einem Kanalaccount nicht aktiviert wurde, werden die Profildaten des Benutzers aus dem Kanal 14 Tage lang beibehalten.

Für Kanäle, bei denen die Kanalverknüpfung nicht unterstützt wird, gilt auch der 14-Tage-Zeitraum, selbst wenn die Kanalaccountverknüpfung global aktiviert wurde.