Authentifizierung

  • 7 Minuten

Die Authentifizierungseinstellung in Microsoft Copilot Studio wirkt sich darauf aus, wie Sie den Zugriff auf den Agent verwalten können. Mit ihr können Sie die Identität eines Benutzers während einer Unterhaltung überprüfen, was Folgendes ermöglicht:

  • Weitere Personalisierung der Unterhaltung

  • Die Funktion des Agents, Aktionen im Namen des Benutzers auszuführen

  • Die Möglichkeit, Dialoge in der Unterhaltung zu überspringen, indem Sie Benutzerdaten vorab eingeben und direkt zum Punkt kommen

  • Variablen wie die Benutzer-ID und der Anzeigename, die in Themen verwendet werden können

Es handelt sich um eine flexible Erfahrung. Sie können einige Teile der Unterhaltung markieren, für die sich der Benutzer anmelden muss, während der Benutzer sich für andere Teile nicht anmelden muss.

Authentifizierungseinstellungen finden Sie in Microsoft Copilot Studio, wenn Sie im seitlichen Navigationsbereich Einstellungen und dann Einstellungen > Sicherheit > Authentifizierung auswählen.

Optionen für die Authentifizierung:

  • Keine Authentifizierung

  • Mit Microsoft authentifizieren

  • Manuell authentifizieren

Screenshot des Dialogfensters „Authentifizierung“ mit ausgewählter manueller Auswahl und ausgefülltem Dienstanbieter

Sie müssen Ihren Agent veröffentlichen, damit Änderungen an der Authentifizierungseinstellung durchgeführt werden.

Keine Authentifizierung

Keine Authentifizierung bedeutet, dass Ihre Benutzenden sich bei der Interaktion mit dem Agent nicht anmelden müssen. Eine nicht authentifizierte Konfiguration bedeutet, dass Ihr Agent nur auf öffentliche Informationen und Ressourcen zugreifen kann. Klassische Agents sind standardmäßig so konfiguriert, dass keine Authentifizierung erforderlich ist.

Mit Microsoft authentifizieren

Diese Konfiguration richtet automatisch die Microsoft Entra ID-Authentifizierung für Teams ein, ohne dass eine manuelle Konfiguration erforderlich ist. Da die Teams-Authentifizierung selbst Benutzende identifiziert, werden diese nicht aufgefordert, sich anzumelden, während sie sich in Teams befinden, es sei denn, Ihr Agent benötigt einen erweiterten Umfang.

Wenn Sie diese Option auswählen, ist nur der Teams-Kanal verfügbar. Wenn Sie Ihren Agent in anderen Kanälen veröffentlichen müssen, aber dennoch eine Authentifizierung für den Agent wünschen, wählen Sie Manuell authentifizieren aus.

Manuell authentifizieren

Microsoft Copilot Studio unterstützt Identitätsanbieter, die mit dem OAuth2-Standard kompatibel sind. Das bedeutet, dass Sie Benutzern die Anmeldung mit jedem OAuth2-Identitätsanbieter ermöglichen können. Die OAuth2-Identitätsanbieter umfassen:

  • Microsoft Entra ID

  • Microsoft-Konto

  • Google

  • Facebook

  • Benutzerdefinierter Authentifizierungsdienst, den Sie für Ihr Unternehmen erstellen.

Sie können die Authentifizierungsaktion während einer Unterhaltung aufrufen. Dadurch wird der Benutzer mit einer Anmeldekarte aufgefordert. Alternativ können Sie auch die Option Benutzer müssen sich anmelden auswählen, die ein Thema „Benutzer muss sich im System anmelden“ erstellt. So wird der Benutzer aufgefordert, sich anzumelden, sobald er die Unterhaltung mit dem Agent beginnt. Der folgende Screenshot zeigt das Systemthema Benutzer muss sich im System anmelden und die gespeicherten Variablen an. Die erhaltenen Variablen sind User.ID, User.FirstName, User.Email, User.DisplayName, User.PrincipalName, User.IsLoggedIn und User.Lastname.

Screenshot von Microsoft Copilot Studio, der die Authentifizierungsaktion mit Bedingungen anzeigt

Manuelle Authentifizierung konfigurieren

Registrieren Sie eine neue App bei Ihrem Identitätsanbieter und erhalten Sie eine Client-ID und ein Clientschlüssel, um eine manuelle Authentifizierung in Microsoft Copilot Studio zu konfigurieren. Die folgenden Details zeigen Ihnen, wie Sie dies vom Azure-Portal für Microsoft Entra ID durchführen können.

Sie können aus dem Azure-Portal App-Registrierungen auswählen und eine neue Registrierung erstellen, um eine Anwendung zu registrieren. Sie müssen einen Namen für die Registrierung angeben, z. B. den Agent-Namen, und dann müssen Sie festlegen, welche Konten auf den Agent zugreifen können. Zum Beispiel erlaubt die unten ausgewählte Option Benutzenden von jedem Microsoft Entra ID-Verzeichnis oder persönlichen Microsoft-Konto, sich anzumelden und mit dem Agent zu sprechen. Die Umleitungs-URI sollte https://token.botframework.com/.auth/web/redirect mit Web als Plattform sein.

Screenshot von Microsoft Azure auf der Seite „Anwendung registrieren“ mit eingetragenem Namen, ausgewählten Konten in einem beliebigen Organisationsverzeichnis und festgelegter Umleitungs-URI

Als Nächstes müssen Sie einen neuen Clientschlüssel hinzufügen. Sie können zum Bereich Zertifikate und Geheimnisse der App-Registrierung wechseln und +Neuer Geheimschlüssel auswählen. Hier können Sie eine Beschreibung eingeben und eine Ablaufperiode auswählen.

Screenshot des Dialogfelds „Geheimen Clientschlüssel hinzufügen“ von Microsoft Entra ID mit einer Beschreibung, die auf Microsoft Copilot Studio festgelegt sind und einem Ablauf der auf 12 Monate festgelegt ist

Der Clientschlüssel-Wert wie unten gezeigt, sollte beachtet werden, da er für die Konfiguration verwendet wird.

Sie benötigen zudem die Anwendungs-(Client-)ID, die im Übersichtsbereich der App-Registrierung zu finden ist.

Da Azure jetzt konfiguriert wurde, können die Microsoft Copilot Studio-Authentifizierungseinstellungen ausgefüllt werden. Sie können Ihren Agent in Microsoft Copilot Studio öffnen und zu Einstellungen > Sicherheit > Authentifizierung wechseln.

Die Authentifizierungsoption sollte Manuell sein. Wenn Sie Benutzer müssen sich anmelden auswählen, wird ein Systemthema erstellt, das die Benutzer zu Beginn der Unterhaltung auffordert, sich anzumelden. Andernfalls, wenn dies nicht ausgewählt ist, können Sie die Authentifizierungsaktion an jedem Punkt der Unterhaltung aufrufen.

Der Dienstanbieter sollte Azure Active Directory v2 sein. In die Felder Client-ID und Clientschlüsel können Sie die zuvor erhaltene Anwendungs-ID und den geheimen Client-Wert eingeben. Token-Austausch-URL ist ein optionales Feld, das beim Konfigurieren von einmaligem Anmelden verwendet wird. Der Umfang bezieht sich auf den Zugriff, den authentifizierte Benutzer haben sollen, sobald sie sich angemeldet haben. Weitere Informationen finden Sie unter Umfänge.

Sobald die Authentifizierungseinstellungen gespeichert sind und der Agent veröffentlicht wurde, können Sie Eine Aktion aufrufen > Authentifizieren in Ihren Themen verwenden. Wenn mehrere Themen eine Authentifizierung erfordern, wird der Benutzer während der gesamten Sitzung nur einmal zur Anmeldung aufgefordert.

Screenshot des Flows von Triggerausdrücken, die eine Authentifizierungsaktion aufrufen

Dadurch wird automatisch eine bedingte Verzweigung mit Nachrichten und Variablen eingerichtet, die sich auf die Authentifizierung beziehen. Es gibt eine Variable, die bei Anmeldung des Benutzers das Authentifizierungstoken speichert. Es handelt sich um eine boolesche Variable, die speichert, ob sich der Benutzer angemeldet hat, und Variablen für die ID und den Anzeigenamen des Benutzers.

Screenshot des Flows „Benutzer mit Anmeldekarte auffordern“, komplett mit Authentifizierungsbedingungsaktionen und Meldungen