Compartir a través de

Configurar autenticación de usuario con Microsoft Entra ID

  • Artículo

Agregar autenticación a su agente permite a los usuarios iniciar sesión, lo que le otorga a su agente acceso a un recurso o información restringidos.

Este artículo cubre cómo configurar Microsoft Entra ID como su proveedor de servicios. Para obtener más información sobre otros proveedores de servicios y la autenticación de usuarios en general, consulte Configurar la autenticación de usuarios en Copilot Studio.

Si tiene derechos de administración de inquilinos, puede configurar los permisos de la API. De lo contrario, es posible que pedir a un administrador de inquilino que lo haga por usted.

Requisitos previos

Aprenda a agregar una autenticación de usuario final a un tema

Complete los primeros pasos en Azure Portal y complete los dos últimos pasos en Copilot Studio.

Crear un registro de aplicación

  1. Inicie sesión en el portal Azure, utilizando una cuenta de administrador en el mismo inquilino que su agente.

  2. Vaya a Registros de aplicaciones.

  3. Seleccione Nuevo registro y escriba un nombre para el registro. No alterar registros de aplicaciones existentes.

    Puede ser útil más adelante utilizar el nombre de tu agente. Por ejemplo, si su agente se llama "ayuda de ventas Contoso", puede nombrar el registro de la aplicación "ContosoSalesReg".

  4. En Tipos de cuenta admitidos, seleccione Cuentas en cualquier inquilino de organización (Cualquier directorio de Microsoft Entra ID -Multiinquilino) y cuentas de Microsoft personales (p. ej. Skype, Xbox).

  5. Deje la sección URI de redireccionamiento en blanco por ahora. Introduzca esa información en los siguientes pasos.

  6. Seleccione Registro.

  7. Una vez completado el registro, vaya a Información general.

  8. Copie el ID de la aplicación (cliente) y péguelo en un archivo temporal. Lo necesitará en pasos posteriores.

Agregar la URL de redireccionamiento

  1. En Administrar, seleccione Autenticación.

  2. Debajo de Configuraciones de plataforma, seleccione Agregar una plataforma y luego seleccione Web.

  3. En Redirigir URIs, escriba https://token.botframework.com/.auth/web/redirect y seleccione Configurar.

    Esta acción le lleva de vuelta a la página de configuraciones de la plataforma.

  4. En Redirect URIs para la plataforma web , seleccione Agregar URI.

  5. Introduzca https://europe.token.botframework.com/.auth/web/redirect y seleccione Guardar.

    Nota

    El panel de configuración de autenticación en Copilot Studio puede mostrar la siguiente URL de redireccionamiento: https://unitedstates.token.botframework.com/.auth/web/redirect. El uso de esa URL hace que la autenticación falle; utilice el URI en su lugar.

  6. En la sección Concesión implícita y flujos híbridos, seleccione tanto Tokens de id. (utilizados para flujos implícitos e híbridos) como Tokens de acceso (utilizados para flujos implícitos).

  7. Seleccione Guardar.

Generar un secreto de cliente

  1. Seleccione Certificados y secretos en Administrar.

  2. En la sección Secretos de cliente, seleccione Nuevo secreto de cliente.

  3. (Opcional) Escriba una descripción. Se proporciona uno si se deja en blanco.

  4. Seleccione el período de expiración. Seleccionar el período más corto que es relevante para la vida útil de su agente.

  5. Seleccione Agregar para crear el secreto.

  6. Guarde el Valor del secreto en un archivo temporal seguro. Lo necesitarás cuando configures la autenticación de tu agente más adelante.

Propina

No abandone la página antes de copiar el valor del secreto del cliente. Si lo hace, el valor se ofusca y deberá generar un nuevo secreto de cliente.

Configuración manual de la autenticación

  1. En Copilot Studio, vaya a Configuración para su agente y Seleccionar Seguridad.

  2. Seleccione Autenticación.

  3. Seleccione Autenticar manualmente.

  4. Deje Requerir que los usuarios inicien sesión activado.

  5. Introduzca los valores siguientes para las propiedades:

    • Proveedor de servicios: seleccione Azure Active Directory v2.

    • Id. de cliente: introduzca el Id. de la aplicación (cliente) que copió antes desde Azure Portal.

    • Secreto del cliente : introduzca el secreto de cliente que generó anteriormente desde Azure Portal.

    • Ámbitos: introduzca profile openid.

  6. Seleccione Guardar para finalizar la configuración.

Configurar permisos de API

  1. Vaya a Permisos de API.

  2. Seleccione Otorgar consentimiento de administrador para <su nombre de inquilino> y después seleccione . Si el botón no está disponible, es posible que tenga que pedirle a un administrador del inquilino que lo escriba por usted.

    Una captura de pantalla de la ventana Permisos de API, con un permiso de inquilino resaltado.

    Nota

    Para evitar que los usuarios tengan que dar su consentimiento a cada aplicación, se debe tener un administrador global, una administrador de aplicaciones o un administrador de aplicaciones en la nube para otorgar el consentimiento en todo el inquilino para los registros de aplicaciones.

  3. Seleccione Agregar un permiso y luego elija Microsoft Graph.

    Captura de pantalla de la ventana Permisos de solicitud de API, con Microsoft Graph resaltado.

  4. Seleccione Permisos delegados.

    Captura de pantalla con Permisos delegados resaltado.

  5. Expanda Permisos OpenId y active openid y perfil.

    Captura de pantalla con permisos OpenId, openid y perfil resaltados.

  6. Seleccione Agregar permisos.

Define un alcance personalizado para tu agente

Los ámbitos le permite determinar los roles de usuario y administrador y los derechos de acceso. Crea un ámbito personalizado para el registro de la aplicación de lienzo que crea en un paso posterior.

  1. Vaya a Exponer una API y seleccione Agregar un ámbito.

    Captura de pantalla con Exponer una API y el botón Agregar un ámbito resaltados.

  2. Configure las siguientes propiedades. También puede dejar otras propiedades en blanco.

    Property valor
    Nombre del ámbito Escriba un nombre que tenga sentido en su entorno, como Test.Read
    ¿Quién puede consentir? Seleccione Administradores y usuarios
    Nombre para mostrar del consentimiento del administrador Escriba un nombre que tenga sentido en su entorno, como Test.Read
    Descripción del consentimiento del administrador Introduzca Allows the app to sign the user in.
    Valor Seleccione Habilitado

  3. Seleccione Agregar ámbito.

Configurar la autenticación en Copilot Studio

  1. En Copilot Studio, bajo Configuración, seleccione Seguridad>Autenticación.

  2. Seleccione Autenticar manualmente.

  3. Deje Requerir que los usuarios inicien sesión activado.

  4. Seleccione un proveedor de servicios y proporcione los valores requeridos. Consulte Configurar la autenticación manual en Copilot Studio.

  5. Seleccione Guardar.

Propina

La URL de intercambio de token se utiliza para intercambiar el token de representación (OBO) por el token de acceso solicitado. Para más información, consulte Configurar el inicio de sesión único con Microsoft Entra ID.

Nota

Los ámbitos deben incluir profile openid y lo siguiente, según su caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para conexión de Graph
  • https://[OrgURL]/user_impersonation para Nodos de Prompt y datos estructurados de Dataverse
  • Por ejemplo, los Datos Estructurados de Dataverse o el Nodo de Prompt deben tener los siguientes ámbitos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Probar el agente

  1. Publica tu agente.

  2. En el panel Prueba agente , envía un mensaje a tu agente.

  3. Cuando agente responde, Seleccionar Inicia sesión.

    Se abre una nueva pestaña del navegador que le pedirá que inicie sesión.

  4. Inicie sesión y luego copie el código de validación que se muestra.

  5. Pegue el código en el chat agente para completar el proceso de inicio de sesión.

    Captura de pantalla de una autenticación de usuario exitosa en una conversación agente, con el código de validación resaltado.