Configurar la autenticación de usuarios en Copilot Studio
La autenticación permite a los usuarios iniciar sesión, dándole a su agente acceso a un recurso o información restringida. Los usuarios pueden iniciar sesión con Microsoft Entra ID o con cualquier proveedor de identidades OAuth2 como Google o Facebook.
Nota
En Microsoft Teams, puede configurar un Copilot Studio agente para proporcionar capacidades de autenticación, de modo que los usuarios puedan iniciar sesión con un Microsoft Entra ID o cualquier proveedor de identidad OAuth2, como una Microsoft o una Facebook cuenta.
Puede agregar autenticación de usuario final a temas al editar un tema.
Importante
Los cambios en la configuración de autenticación solo surten efecto después de publicar su agente. Asegúrese de planificar con anticipación antes de realizar cambios de autenticación en su agente.
Elegir una opción de autenticación
Copilot Studio admite varias opciones de autenticación. Elija la que se adapte a sus necesidades.
Vaya a Configuración para su agente y Seleccionar Seguridad.
Seleccione Autenticación.
Las siguientes opciones de autenticación están disponibles:
Seleccione Guardar.
Sin autenticación
Sin autenticación significa que el agente no requiere que los usuarios inicien sesión cuando interactúan con él. Una configuración sin autenticar significa que el agente solo puede acceder a información y recursos públicos. Los bots de chat clásicos están configurados de forma predeterminada para no requerir autenticación.
Precaución
Seleccionar la opción Sin autenticación permite a cualquier persona que tenga la vincular chatear e interactuar con su bot o agente.
Le recomendamos que aplique la autenticación, especialmente si utiliza su bot o agente dentro de su organización o para usuarios específicos, junto con otros controles de seguridad y gobernanza.
Autenticar con Microsoft
Importante
Cuando la opción Autenticar con Microsoft está seleccionada, se deshabilitarán todos los canales menos el canal Teams.
Además, la opción Autenticar con Microsoft no está disponible para los agentes que están integrados con Dynamics 365 servicio al cliente.
Esta configuración establece automáticamente la autenticación del Id. de Microsoft Entra para Teams sin necesidad de configuración manual. Dado que la autenticación de Teams identifica al usuario, no se pedirá a los usuarios que inicien sesión mientras están en Teams, a menos que el agente requiera un ámbito ampliado.
Solo está disponible el canal Teams si selecciona esta opción. Si necesita publicar su agente en otros canales, pero aún desea una autenticación para este, elija Autenticarse manualmente.
Si selecciona Autenticar con Microsoft, las siguientes variables están disponibles en el lienzo de creación:
User.IDUser.DisplayName
Para obtener más información sobre estas variables y cómo utilizarlas, consulte Agregar autenticación de usuario final a temas.
Las variables User.AccessToken y User.IsLoggedIn no están disponibles con esta opción. Si necesita un token de autenticación, utilice la opción Autenticar manualmente.
Si cambia de Autenticar manualmente a Autenticar con Microsoft, y sus temas contienen las variables User.AccessToken o User.IsLoggedIn, se muestran como variables de tipo Desconocido después del cambio. Asegúrate de corregir cualquier tema con errores antes de publicar tu agente.
Autenticar manualmente
Copilot Studio admite los siguientes proveedores de autenticación bajo la opción Autenticar manualmente:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 con certificados
- OAuth 2 Genérico - Cualquier proveedor de identidades que cumpla con el estándar OAuth2
Las siguientes variables están disponibles en el lienzo de creación después de configurar la autenticación manual:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Para obtener más información sobre estas variables y cómo utilizarlas, consulte Agregar autenticación de usuario final a temas.
Una vez guardada la configuración, asegúrese de publicar su agente para que los cambios surtan efecto.
Nota
- Los cambios de autenticación solo surten efecto después de que se publique agente.
- Esta configuración puede controlarse mediante el control de administrador correspondiente en Power Platform. Cuando el control está habilitado, evita que la opción Autenticar manualmente se habilite o deshabilite dentro de Copilot Studio. El control siempre está habilitado y la opción Autenticar manualmente no se puede modificar en Copilot Studio.
Se requiere inicio de sesión de usuario y uso compartido de agente
Requerir que los usuarios inicien sesión determina si un usuario necesita iniciar sesión antes de hablar con agente. Le recomendamos encarecidamente que active esta configuración para los agentes que necesitan acceder a información confidencial o restringida.
Esta opción no está disponible para las opciones Sin autenticación y Autenticar con Microsoft .
Nota
Esta opción tampoco se puede configurar cuando la política DLP en el centro de administración de Power Platform está configurada para requerir autenticación. Para obtener más información, consulte el Ejemplo de datos prevención de pérdidas: Requerir autenticación de usuario final en agentes.
Si desactiva esta opción, su agente no solicitará a los usuarios que inicien sesión hasta que encuentre un tema que lo requiera.
Cuando activa esta opción, crea un tema del sistema llamado Requerir que los usuarios inicien sesión. Este tema solo es relevante para la configuración Autenticar manualmente. Los usuarios siempre se autentican en Teams.
La opción Requerir que los usuarios inicien sesión tema se activa automáticamente para cualquier usuario que hable con agente sin estar autenticado. Si el usuario no puede iniciar sesión, el tema lo redirige al tema del sistema Escalar.
El tema es de solo lectura y no se puede personalizar. Para verlo, seleccione Ir al lienzo de creación.
Controla quién puede chatear con agente en la organización
La autenticación de su agente y la configuración Requerir que el usuario inicie sesión en combinación determinan si puede Compartir el agente controlar quién en su organización puede chatear con él. La configuración de autenticación no afecta el uso compartido de un agente para colaboración.
Sin autenticación: Cualquier usuario que tenga una cuenta vincular en agente (o pueda encontrarla; por ejemplo, en su sitio web) puede chatear con ella. No puedes controlar qué usuarios de tu organización pueden chatear con agente.
Autenticarse con Microsoft: agente funciona solo en el canal Teams . Dado que el usuario siempre estará conectado, la configuración Requerir que los usuarios inicien sesión está activada y no se puede desactivar. Puedes usar el uso compartido de agente para controlar quién en tu organización puede chatear con agente.
Autenticar manualmente:
Si el proveedor de servicios es Azure Active Directory o Microsoft Entra ID, puede activar Requerir que los usuarios inicien sesión para controlar quién en su organización puede chatear con agente usando el uso compartido de agente.
Si el proveedor de servicios es OAuth2 genérica, puede activar o desactivar Requerir que los usuarios inicien sesión. Cuando está activado, un usuario que inicia sesión puede chatear con agente. No puedes controlar qué usuarios específicos de tu organización pueden chatear con agente usando el uso compartido de agente.
Cuando la configuración de autenticación de un agente no puede controlar quién puede chatear con él, si Seleccionar Compartir en la página de descripción general de agente, un mensaje le informa que cualquiera puede chatear con su agente.
Campos de autenticación manual
Los siguientes son todos los campos que puede ver cuando configura la autenticación manual. Los campos que verá dependen de su elección para proveedor de servicios.
| Nombre de campo | Descripción |
|---|---|
| Plantilla de la dirección URL de autorización | La plantilla de URL para autorización, definida por el proveedor de identidades. Por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Plantilla de la cadena de consulta de la dirección URL de autorización | La plantilla de consulta para autorización, tal como la proporciona su proveedor de identidades. Las claves de la plantilla de cadena de consulta variarán según el proveedor de identidades (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Su id. de cliente, obtenido del proveedor de identidades. |
| Client secret | Su secreto de cliente, obtenido cuando creó el registro de la aplicación del proveedor de identidades. |
| Plantilla del cuerpo de actualización | La plantilla para el cuerpo de actualización (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Plantilla de la cadena de consulta de la dirección URL de actualización | El separador de cadena de consulta de URL de actualización para la URL del token, generalmente un signo de interrogación (?). |
| Plantilla de la dirección URL de actualización | La plantilla de URL para actualizar; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitador de la lista de ámbitos | El carácter separador de la lista de ámbitos. No se admiten los espacios vacíos en este campo.1 |
| Ámbitos | La lista de ámbitos que desea que los usuarios tengan después de iniciar sesión. Utilice el Delimitador de lista de ámbito para separar varios ámbitos.1 Solo establezca únicamente los ámbitos necesarios y siga el principio de control de acceso de privilegios mínimos. |
| Proveedor de servicios | El proveedor de servicios que desea utilizar para autenticación. Para obtener más información, consulte Proveedores genéricos de OAuth. |
| Id. de inquilino | Su id. de inquilino de Microsoft Entra ID. Consulte Usar un inquilino de Microsoft Entra ID existente para saber cómo encontrar su id. de inquilino. |
| Plantilla del cuerpo del token | La plantilla para el cuerpo de token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Dirección URL de intercambio de tokens (necesaria para SSO) | Este es un campo opcional que se usa al configurar el inicio de sesión único. |
| Plantilla de URL de token | La plantilla de URL para tokens, tal como la proporciona su proveedor de identidades; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Plantilla de la cadena de consulta de la dirección URL de token | El separador de cadena de consulta para la URL del token, generalmente un signo de interrogación (?). |
1 Puedes usar espacios en el campo Ámbitos si el proveedor de identidades lo requiere. En ese caso, escriba una coma (,) en Delimitador de la lista de ámbitos y escriba espacios en el campo Ámbitos.
Desactivar la autenticación
Con su agente abierto, Seleccionar Configuración en la barra de menú superior.
Seleccione Seguridad y, a continuación, Autenticación.
Seleccione Sin autenticación.
Si se utilizan variables de autenticación en un tema, se convertirán en variables de tipo Desconocido. Vaya a la página Temas para ver qué temas tienen errores y corregirlos antes de publicarlos.
Publica el agente.
Importante
Si su agente tiene acciones configuradas para usar credenciales de usuario final, no desactive la autenticación en el nivel agente, ya que esto evitaría que estas acciones funcionen.