Konfigurace ověřování uživatelů v Copilot Studio
Ověřování umožňuje uživatelům přihlásit se a dát agentovi přístup k omezenému zdroji nebo informacím. Uživatelé se mohou přihlásit pomocí Microsoft Entra ID nebo s jakýmkoliv poskytovatelem identity OAuth2, jako je Google nebo Facebook.
Poznámka:
V Microsoft Teams můžete nakonfigurovat agenta Copilot Studio , aby poskytoval možnosti ověřování, takže se uživatelé mohou přihlásit pomocí Microsoft Entra ID nebo jakéhokoli jiného poskytovatele identity OAuth2, jako je například účet Microsoft nebo Facebook.
Můžete přidat ověření uživatele do témat, když upravujete téma.
Důležité
Změny v konfiguraci ověřování se projeví až poté, co agenta publikujete. Než provedete změny ověřování u svého agenta, naplánujte si to dopředu.
Zvolte možnost ověřování
Copilot Studio podporuje několik možností ověřování. Vyberte takovou, která splňuje vaše potřeby.
Přejděte do Nastavení pro agent a vyberte Zabezpečení.
Vyberte Ověřování.
K dispozici jsou následující možnosti ověřování:
Zvolte Uložit.
Bez ověřování
Žádné ověřování znamená, že vaše agent nevyžaduje, aby se uživatelé při interakci s agent přihlašovali. Neověřená konfigurace znamená, že váš agent má přístup pouze k veřejným informacím a prostředkům. Klasičtí chatboti jsou ve výchozím nastavení nakonfigurováni tak, aby nevyžadovali ověření.
Upozornění
Výběrem možnosti Bez ověřování umožníte každému, kdo má odkaz, chatovat a komunikovat s robotem nebo agent.
Doporučujeme použít ověřování, zejména pokud používáte robota nebo agent ve vaší organizaci nebo pro konkrétní uživatele spolu s dalšími ovládacími prvky zabezpečení a zásad správného řízení.
Ověřit přes Microsoft
Důležité
Když je vybrána možnost Ověřit s Microsoftem, všechny kanály kromě kanálu Teams jsou deaktivovány.
Možnost Ověřit pomocí Microsoft navíc není k dispozici pro agenty, kteří jsou integrováni s Dynamics 365 Customer Service.
Tato konfigurace automaticky nastaví ověřování Microsoft Entra ID pro Teams bez nutnosti jakékoli ruční konfigurace. Protože samotné ověřování Teams identifikuje uživatele, uživatelé nejsou vyzváni k přihlášení, když jsou v Teams, pokud váš agent nepotřebuje rozšířený rozsah.
S touto možností je k dispozici pouze kanál Teams. Pokud potřebujete publikovat agenta na jiné kanály, ale přesto chcete pro svého agenta ověření, vyberte si ověření Ověřit ručně.
Pokud vyberete možnost Ověřit pomocí Microsoftu, jsou na plátně pro vytváření obsahu k dispozici následující proměnné:
User.IDUser.DisplayName
Další informace o těchto proměnných a jejich použití naleznete v části Přidat ověření uživatele do témat.
Proměnné User.AccessToken a User.IsLoggedIn nejsou u této možnosti dostupné. Pokud potřebujete ověřovací token, použijte možnost Ověřovat ručně.
Pokud přecházíte z Ověřit ručně na Ověřit s Microsoftem a vaše témata obsahují proměnné User.AccessToken nebo User.IsLoggedIn, jsou zobrazeny jako Neznámé proměnné po změně. Před publikováním agenta nezapomeňte opravit všechna témata s chybami.
Ověřit ručně
Copilot Studio podporuje následující zprostředkovatele ověřování v možnosti Ověřit ručně:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 s certifikáty
- Obecné OAuth 2 – Jakýkoli poskytovatel identity, který je v souladu se standardem OAuth2
Po nakonfigurování ručního ověřování jsou na plátně pro vytváření obsahu k dispozici následující proměnné:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Další informace o těchto proměnných a jejich použití naleznete v části Přidat ověření uživatele do témat.
Jakmile je konfigurace uložena, nezapomeňte publikovat svého agenta, aby se změny projevily.
Poznámka:
- Změny ověřování se projeví až po zveřejnění agenta.
- Toto nastavení lze ovládat pomocí odpovídajícího ovládacího prvku správce v Power Platform. Když je ovládací prvek zapnutý, zabrání tomu, aby bylo zapnuto nebo vypnuto možnost Ověřit ručně v rámci Copilot Studio. Ovládací prvek je vždy zapnut a možnost Ověřit ručně nelze změnit v Copilot Studio.
Požadované přihlášení uživatele a sdílení agenta
Vyžadovat přihlášení uživatelů určuje, zda se uživatel musí přihlásit, než začne mluvit s agentem. Důrazně doporučujeme, abyste toto nastavení pro agenty, kteří potřebují získat přístup k citlivým nebo omezeným informacím.
Tato možnost není dostupná pro možnosti Žádné ověřování a Ověřit pomocí Microsoftu.
Poznámka:
Tato možnost také není konfigurovatelná, když je zásada DLP v centru pro správu Power Platform je nakonfigurováno tak, aby vyžadovalo ověření. Další informace najdete v tématu Příklad ochrany před únikem informací – Vyžadování ověřování uživatelů v agentech.
Pokud tuto možnost vypnete, váš agent nebude žádat uživatele, aby se přihlásili, dokud nenarazí na téma, který to vyžaduje.
Když tuto volbu zapnete, vytvoří se systém s názvem tématu Vyžadovat přihlášení uživatelů. Toto téma je relevantní pouze pro nastavení ověřování Ověřit ručně. Uživatelé jsou v Teams vždy ověřováni.
Téma Vyžadovat přihlášení uživatelů se automaticky spustí pro každého uživatele, který mluví s agentem, aniž by byl ověřen. Pokud se uživateli nepodaří přihlásit, téma přesměruje na téma systému Eskalovat.
Téma je pouze pro čtení a nelze ho přizpůsobit. Chcete-li to zobrazit, vyberte Přejít na plátno pro vytváření obsahu.
Kontrolujte, kdo může chatovat s agentem v organizaci
Ověření agenta a nastavení Vyžadovat přihlášení uživatele společně určuje, zda můžete sdílet agenta k ovládání, kdo ve vaší organizaci s ním může chatovat. Nastavení ověřování neovlivňuje sdílení agenta pro spolupráci.
Žádné ověřování: Každý uživatel, který má odkaz na agenta (nebo ho může najít; například na vašem webu), s ním může chatovat. Nemůžete ovládat, kteří uživatelé ve vaší organizaci mohou chatovat s agentem.
Ověření pomocí Microsoft: agent funguje pouze v kanálu Teams. Protože uživatel je vždy přihlášen, nastavení Vyžadovat přihlášení uživatelů je zapnuto a nelze jej vypnout. Sdílení agenta můžete použít k ovládání, kteří uživatelé ve vaší organizaci mohou chatovat s agentem.
Ověřit ručně:
Pokud je poskytovatel služeb buď Azure Active Directory, nebo Microsoft Entra ID, můžete zapnout Vyžadovat přihlášení uživatelů k ovládání, kdo ve vaší organizaci může chatovat s agentem pomocí sdílení agenta.
Pokud je poskytovatel služeb Obecný protokol OAuth2, můžete zapnout nebo vypnout možnost Vyžadovat přihlášení uživatelů. Když je tato funkce zapnutá, uživatel, který se přihlásí, může s agentem chatovat. Nemůžete ovládat, kteří konkrétní uživatelé ve vaší organizaci mohou chatovat s agentem pomocí sdílení agenta.
Když nastavení ověřování agenta nemůže ovládat, kdo s ním může chatovat, pokud vyberete Sdílet na stránce přehledu agentae, informuje vás zpráva, že s vaším agentem může chatovat kdokoli.
Pole ručního ověřování
Následují všechna pole, která se mohou zobrazit při konfiguraci ručního ověřování. Která pole uvidíte, závisí na vaší volbě zprostředkovatele služeb.
| Název pole | Description |
|---|---|
| Šablona autorizační adresy URL | Šablona adresy URL pro autorizaci, jak ji definuje váš poskytovatel identity. Například https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Šablona řetězce dotazu na autorizační adresu URL | Šablona řetězce pro autorizaci, jak ji poskytuje váš poskytovatel identity. Klíče v šabloně řetězce dotazu se budou lišit v závislosti na zprostředkovateli identity (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Vaše ID klienta, získané od poskytovatele identity. |
| Tajný klíč klienta | Tajný klíč klienta získaný při vytvoření registrace aplikace poskytovatele identity. |
| Šablona textu aktualizace | Šablona pro tělo aktualizace (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Šablona řetězce dotazu na aktualizační adresu URL | Oddělovač řetězce dotazu adresy URL aktualizace pro adresu URL tokenu, obvykle otazník (?). |
| Šablona aktualizační adresy URL | Šablona adresy URL aktualizace, například https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Oddělovač seznamu rozsahů | Oddělovací znak pro seznam oborů. Prázdné mezery nejsou v tomto poli podporována.1 |
| Rozsahy | Seznam rozsahů, které chcete, aby uživatelé měli po přihlášení. K oddělení více rozsahů použijte Oddělovač seznamu oboru.1. Nastavte pouze nezbytné rozsahy a postupujte podle principu řízení přístupu s nejmenšími oprávněními. |
| Poskytovatel služby | Poskytovatel služeb, kterého chcete použít k ověření. Více informací viz Obecní poskytovatelé OAuth. |
| ID tenanta | ID tenanta Microsoft Entra ID. Jak najít ID tenanta naleznete v tématu Použít existujícího tenanta Microsoft Entra ID. |
| Šablona textu tokenu | Šablona pro tělo tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Adresa URL pro výměnu tokenů (vyžadováno pro jednotné přihlašování) | Toto je volitelné pole, které se používá, když konfigurujete jednotné přihlašování. |
| Šablona adresy URL tokenu | Šablona adresy URL pro tokeny, jak ji poskytuje váš poskytovatel identity, například https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Šablona řetězce dotazu na adresu URL tokenu | Oddělovač řetězce dotazu pro adresu URL tokenu, obvykle otazník (?). |
1 Mezery můžete použít v poli Obory, pokud to poskytovatel identity vyžaduje. V takovém případě zadejte čárku (,) do pole Oddělovač seznamu rozsahů a do pole Rozsahy zadejte mezery.
Vypnutí ověřování
Otevřete agent a na horním panelu nabídek vyberte Nastavení .
Vyberte Zabezpečení a poté vyberte Ověřování.
Vyberte Žádné ověřování.
Pokud se v tématu používají proměnné ověřování, stanou se z nich Neznámé proměnné. Přejděte na stránku Témata a podívejte se, která témata obsahují chyby, a před publikováním je opravte.
Publikujte agent.
Důležité
Pokud má váš agent akce nakonfigurované tak, aby vyžadovaly přihlašovací údaje uživatele, nevypínejte ověřování na úrovni agent, protože by to zabránilo fungování těchto akcí.