要使用 Microsoft Bot Framework SDK 4.x 创建机器人,您必须在 Azure Active Directory 中创建一个应用程序注册,并启用 Multitenant 选项("谁可以使用此应用程序或访问此 API? => 任何组织目录中的账户")。
如果不在机器人代码内采取安全措施,世界上的每个人都可以访问该机器人,并可以与之聊天。一般来说,在网络频道设计公共机器人时是有帮助的,但在专门为MS Teams频道设计机器人时就不方便了。尤其是租户中的客人用户经常会偶然发现这些应用机器人,他们也可能会开始使用这些机器人。解决方法是查询AD MS Graph,检查当前用户是否有使用权限。
有没有其他的方法来限制机器人应用的使用呢,如果没有,谁有好的最佳实践,如何在代码内安全、可靠地限制机器人,而不产生任何副作用?
非常感谢您!
在你的应用程序设置文件中保留租户Id.On Bot Post Request检查turnContext.Activity.Conversation.TenantId == [应用程序设置中的预期租户Id],然后才继续执行。