Sdílet prostřednictvím

Konfigurace ověřování uživatele pomocí Microsoft Entra ID

  • Článek

Přidání ověřování k agentům umožňuje uživatelům přihlásit se a dát agentovi přístup k omezenému zdroji nebo informacím.

Tento článek popisuje, jak nakonfigurovat Microsoft Entra ID jako poskytovatele služeb. Chcete-li se dozvědět o dalších poskytovatelích služeb a ověřování uživatelů obecně, přečtěte si článek Konfigurace ověřování uživatele v Copilot Studio.

Pokud máte práva správ klienta, můžete konfigurovat oprávnění API. Jinak budete muset požádat správce klienta, aby to za vás provedl.

Předpoklady

Přečtěte si, jak přidat ověřování uživatelů k tématu

Prvních několik kroků provedete na Azure Portal a poslední dva kroky provedete v Copilot Studio.

Vytvoření registrace aplikace

  1. Přihlaste se k portálu Azure pomocí účtu správce ve stejném tenantovi, jako je váš agent.

  2. Přejděte na Registrace aplikací.

  3. Zvolte Nová registrace a zadejte název a popis registrace. Neměňte existující registrace aplikací.

    Může být později užitečné použít jméno vašeho agenta. Pokud se například váš agent jmenuje „Contoso sales help“, můžete registraci aplikace pojmenovat „ContosoSalesReg“.

  4. V části Podporované typy účtů vyberte Účty v libovolném organizačním klientovi (libovolný adresář Microsoft Entra ID – více tenantů) a osobní účty Microsoft (např. Skype, Xbox).

  5. Ponechte část Adresa URI přesměrování zatím prázdnou. Tyto údaje zadáte v dalších krocích.

  6. Vyberte Zaregistrovat.

  7. Po dokončení registrace přejděte na Přehled.

  8. Zkopírujte ID aplikace (klienta) a vložte jej do dočasného souboru. Budete jej potřebovat v dalších krocích.

Přidání adresy URL pro přesměrování

  1. V části Spravovat vyberte Ověřování.

  2. V části Konfigurace platformy vyberte Přidat platformu a poté vyberte Web.

  3. V části Identifikátory URI pro přesměrování zadejte https://token.botframework.com/.auth/web/redirect a vyberte Konfigurovat.

    Tato akce vás vrátí zpět na stránku Konfigurace platformy.

  4. V části Identifikátory URI pro přesměrování pro webovou platformu vyberte Přidat identifikátor URI.

  5. Zadejte https://europe.token.botframework.com/.auth/web/redirect a vyberte Uložit.

    Poznámka:

    V podokně konfigurace ověřování v aplikaci Copilot Studio se může zobrazit následující adresa URL pro přesměrování: https://unitedstates.token.botframework.com/.auth/web/redirect. Při použití této adresy URL se ověření nezdaří; místo toho použijte URI.

  6. V části Implicitní udělení oprávnění a hybridní toky zapněte Přístupové tokeny (používané pro implicitní toky) i Tokeny ID (používané pro implicitní a hybridní toky).

  7. Zvolte Uložit.

Vygenerování tajného klíče klienta

  1. V části Spravovat vyberte Certifikáty a tajné klíče.

  2. V části Tajné klíče klienta vyberte Nový tajný klíč klienta.

  3. (Volitelné) Zadejte popis. Pokud jej nezadáte, vytvoří se automaticky.

  4. Vyberte dobu vypršení. Vyberte nejkratší období, které je relevantní pro životnost vašeho agenta.

  5. Vyberte Přidat k vytvoření tajného kódu.

  6. Uložte Hodnotu tajného kódu do bezpečného dočasného souboru. Budete ho potřebovat při konfiguraci ověřování agent později.

Tip

Neopouštějte stránku, dokud nezkopírujete hodnotu tajného klíče klienta. Pokud tak učiníte, hodnota bude zatemněna a musíte vygenerovat nový tajný klíč klienta.

Konfigurace ručního ověřování

  1. V aplikaci Copilot Studio přejděte na Nastavení pro agent a vyberte Zabezpečení.

  2. Vyberte Ověřování.

  3. Vyberte Ověřit ručně.

  4. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

  5. Pro vlastnosti zadejte následující hodnoty:

    • Poskytovatel služby: Vyberte Azure Active Directory v2.

    • ID klienta: Zadejte ID aplikace (klienta), které jste zkopírovali z Azure Portal.

    • Tajný klíč klienta: Zadejte tajný klíč klienta, který jste dříve vygenerovali z Azure Portal.

    • Obory: Zadejte profile openid.

  6. Výběrem tlačítka Uložit konfiguraci dokončete.

Konfigurace oprávnění API

  1. Přejděte na Oprávnění API.

  2. Vyberte Udělit souhlas správce pro <název vašeho klienta> a pak vyberte Ano. Pokud tlačítko není k dispozici, možná budete muset požádat správce tenanta, aby ho zadal za vás.

    Screenshot okna s oprávněním API se zvýrazněným oprávněním klienta.

    Důležité

    Aby uživatelé nemuseli udělovat souhlas s každou aplikací, může někdo s rolí alespoň správce aplikací nebo správce cloudových aplikací udělit souhlas pro celého tenanta k registracím vaší aplikace.

  3. Vyberte Přidat oprávnění a poté vyberte Microsoft Graph.

    Screenshot okna s žádostí o oprávnění API se zvýrazněným nástrojem Microsoft Graph.

  4. Vyberte Delegovaná oprávnění.

    Screenshot se zvýrazněnými delegovanými oprávněními.

  5. Rozbalte Oprávnění OpenId a zapněte openid a profile.

    Screenshot se zvýrazněnými oprávněními OpenId, openid a profilem.

  6. Vyberte Přidat oprávnění.

Definování vlastního rozsah pro agenta

Rozsahy umožňují určit uživatelské a administrátorské role a přístupová práva. Můžete vytvořit vlastní rozsah pro registraci aplikace plátna, kterou vytvoříte v pozdějším kroku.

  1. Přejděte do Vystavit rozhraní API a vyberte Přidat rozsah.

    Screenshot se zvýrazněnými tlačítky Vystavit rozhraní API a Přidat rozsah.

  2. Nastavte následující vlastnosti. Ostatní vlastnosti můžete nechat prázdné.

    Vlastnost Hodnota
    Název oboru Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
    Kdo může souhlasit? Vyberte Správci a uživatelé
    Zobrazovaný název souhlasu správce Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
    Popis souhlasu správce Zadejte Allows the app to sign the user in.
    State Vyberte Zapnuto

  3. Vyberte Přidat rozsah.

Konfigurace ověřování v Copilot Studio

  1. V Copilot Studio v části Nastavení vyberte Zabezpečení>Ověřování.

  2. Vyberte Ověřit ručně.

  3. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

  4. Vyberte Poskytovatel služeb a zadejte požadované hodnoty. Viz Konfigurace ručního ověřování v Copilot Studio.

  5. Zvolte Uložit.

Tip

Adresa URL pro výměnu tokenů se používá k výměně tokenu On-Behalf-Of (OBO) za požadovaný přístupový token. Další informace najdete v tématu Konfigurace jednotného přihlašování s Microsoft Entra ID.

Poznámka:

Obory by měly zahrnovat profile openid a následující v závislosti na vašem případu použití:

  • Sites.Read.All Files.Read.All pro SharePoint
  • ExternalItem.Read.All pro připojení grafu
  • https://[OrgURL]/user_impersonation pro uzly zadání a strukturovaná data Dataverse
  • Například strukturovaná data Dataverse nebo uzel zadání by měly mít následující obory: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Otestujte svého agenta

  1. Publikujte agenta.

  2. V podokně Test agent odešlete zprávu svému agent.

  3. Až agent odpoví, vyberte Přihlásit.

    Otevře se nová karta prohlížeče s výzvou k přihlášení.

  4. Přihlaste se a poté zkopírujte zobrazený ověřovací kód.

  5. Vložte kód do chatu agent a dokončete proces přihlášení.

    Snímek obrazovky úspěšného ověření uživatele v konverzaci agent se zvýrazněným ověřovacím kódem.