Compartir vía

Configure el inicio de sesión único con Microsoft Entra ID para agentes en Microsoft Teams

  • Artículo

Copilot Studio admite el inicio de sesión único (SSO) para los agentes publicados en Microsoft Teams chats 1:1, lo que significa que los agentes pueden iniciar sesión automáticamente en los usuarios con sus Microsoft Teams credenciales. SSO solo se admite cuando se usa ID de Microsoft Entra. Otros proveedores de servicios, como Azure AD v1, no admiten SSO en Microsoft Teams.

Importante

Es posible usar SSO en chats de Microsoft Teams y no requerir autenticación manual. Para usar este método para un agente publicado anteriormente, vuelva a configurar el agente para usar Autenticar con Microsoft y luego vuelva a publicarlo en Microsoft Teams. Es posible que pasen algunas horas antes de que este cambio surta efecto. Si un usuario está en medio de una conversación y el cambio no parece haber surtido efecto, puede escribir "empezar de nuevo" en el chat para forzar el reinicio de la conversación con la última versión del agente. Estos cambios ya están disponibles para los chats 1:1 de Teams entre el usuario y el agente. Todavía no están disponibles para chats grupales o mensajes de canal.

SSO no es compatible para agentes integrados con Dynamics 365 Customer Service.

Por favor, no continúe con el siguiente documento a menos que sea necesario. Si desea utilizar la autenticación manual para su agente, consulte Configurar la autenticación de usuario con Microsoft Entra ID.

Nota

Si usa la autenticación SSO de Teams con la opción de autenticación manual y también usa el agente en sitios web personalizados al mismo tiempo, debe implementar la aplicación Teams mediante el manifiesto de la aplicación.

Para obtener más información, consulte Descargar el manifiesto de la aplicación de Teams para un agente.

Otras configuraciones, como las opciones de autenticación además de Manual o a través de la implementación de Teams con un clic de Copilot Studio, no funcionarán.

Requisitos previos

Configurar un registro de aplicación

Antes de configurar SSO para Teams, debe configurar la autenticación de usuarios con ID de Microsoft Entra. Este proceso crea un registro de aplicación que es necesario para configurar el SSO.

  1. Crear un registro de aplicación. Consulte las instrucciones en Configurar la autenticación de usuario con Microsoft Entra ID.

  2. Agregar la URL de redireccionamiento.

  3. Generar un secreto de cliente.

  4. Configuración manual de la autenticación.

Localice su ID de aplicación de canal de Microsoft Teams

  1. En Copilot Studio, abra el agente para el que desea configurar SSO.

  2. En la configuración de agente, seleccione Canales. Seleccione el icono Microsoft Teams.

  3. Si el Microsoft Teams canal aún no está conectado a tu agente, selecciona Activar Teams. Para obtener más información, consulte Conexión de un agente al Microsoft Teams canal.

  4. Seleccione Editar detalles, expanda Más y, a continuación, seleccione Copiar junto al campo ID de aplicación.

Agregar su id. de aplicación de canal de Microsoft Teams Teams al registro de la aplicación

  1. Vaya a Azure Portal. Abra la hoja de registro de aplicaciones para el registro de aplicaciones que creó al configurar la autenticación de usuario para su agente.

  2. En el panel lateral, seleccione Exponer una API. Para URI de id. de la aplicación, seleccione Establecer.

    Captura de pantalla de la ubicación del botón Establecer para el URI de ID de aplicación.

  3. Introduzca api://botid-{teamsbotid} y reemplace {teamsbotid} con su Id. de aplicación de canal de Teams que encontró antes.

    Captura de pantalla de un URI con formato correcto ingresado en el cuadro URI de ID de aplicación.

  4. Seleccione Guardar.

Las aplicaciones están autorizadas a llamar a las API cuando los usuarios o administradores les conceden permisos como parte del proceso de consentimiento. Para más información sobre los consentimiento, consulte Permisos y consentimiento de la Plataforma de identidad de Microsoft.

Si la opción de consentimiento del administrador está disponible, debe otorgar el consentimiento:

  1. En el portal Azure en su hoja de registro de aplicación, vaya a Permisos API.

  2. Seleccione Otorgar consentimiento de administrador para <su nombre de inquilino> y después seleccione .

Importante

Para evitar que los usuarios tengan que dar su consentimiento a cada aplicación, alguien asignado con al menos el rol de Administrador de aplicaciones o un Administrador de aplicaciones en la nube puede conceder el consentimiento en todo el inquilino para los registros de aplicaciones.

Agrega permisos de API

  1. En el portal Azure en su hoja de registro de aplicación, vaya a Permisos API.

  2. Seleccione Agregar un permiso y elija Microsoft Graph.

  3. Seleccione Permisos delegados. Aparecerá una lista de permisos.

  4. Ampliar Permisos OpenId.

  5. Seleccione openid y perfil.

  6. Seleccione Agregar permisos.

    Captura de pantalla de los permisos de perfil y openid activados.

Definir un ámbito personalizado para su agente

  1. En el portal Azure en su hoja de registro de aplicación, vaya a Exponer una API.

  2. Seleccione Agregar un ámbito.

    Captura de pantalla del botón Agregar un ámbito.

  3. Configure las siguientes propiedades:

    Property valor
    Nombre del ámbito Introduzca Test.Read
    ¿Quién puede consentir? Seleccione Administradores y usuarios
    Nombre para mostrar del consentimiento del administrador Introduzca Test.Read
    Descripción del consentimiento del administrador Introduzca Allows the app to sign the user in.
    Valor Seleccione Habilitado

    Nota

    El nombre del ámbito Test.Read es un valor de marcador de posición y debe reemplazarse con un nombre que tenga sentido en su entorno.

  4. Seleccione Agregar ámbito.

Agregar Id. de cliente de Microsoft Teams

Importante

En los siguientes pasos, los valores proporcionados para los ID de cliente de Microsoft Teams deben usarse literalmente porque son los mismos en todos los inquilinos.

  1. En la hoja de Azure Portal de su registro de aplicación, vaya a Exponer API y seleccione Agregar una aplicación de cliente.

    Captura de pantalla del botón Agregar una aplicación cliente.

  2. En el campo Id. de cliente, introduzca el Id. de cliente para Microsoft Teams móvil/escritorio, que es 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Seleccione la casilla de verificación para el ámbito que creó antes.

    Captura de pantalla del Id. de cliente ingresado en el panel Agregar una aplicación de cliente.

  3. Seleccione Agregar aplicación.

  4. Repite los pasos anteriores pero, para ID de cliente, introduce el ID de cliente para Microsoft Teams en la web, que es 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Confirme que la página Exponer una API enumera ID de aplicación de cliente de Microsoft Teams.

En resumen, los dos ID de cliente Microsoft Teams añadidos a la página Exponer una API son:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Agregar la URL de intercambio de tokens a la configuración de autenticación de su agente

Para actualizar la configuración de autenticación de ID de Microsoft Entra en Copilot Studio, debe agregar la URL de intercambio de token para permitir que Microsoft Teams y Copilot Studio compartan información,

  1. En el portal Azure en su hoja de registro de aplicación, vaya a Exponer una API.

  2. En Ámbitos, seleccione el icono Copiar al portapapeles.

  3. En Copilot Studio, en los ajustes para el agente, seleccione Seguridad y, a continuación, seleccione el icono Autenticación.

  4. Para URL de intercambio de tokens (obligatorio para SSO), pegue el alcance que copió anteriormente.

  5. Seleccione Guardar.

    Captura de pantalla de dónde pegar la URL de intercambio de tokens en Copilot Studio.

Agregar SSO al canal Microsoft Teams de su agente

  1. En Copilot Studio, en la configuración del agente, seleccione Canales.

  2. Seleccione el icono Microsoft Teams.

  3. Seleccione Editar detalles y ampliar Más.

  4. Para la Id. de cliente de la aplicación AAD introduzca el Id. de aplicación (cliente) desde su registro de aplicación.

    Para obtener este valor, abra Azure Portal. Luego, en la hoja de registro de la aplicación, vaya a Vista general. Copie el valor en la sección Id. de aplicación (cliente).

  5. Para URI de recurso, introduzca la URI de Id. de aplicación desde el registro de su aplicación.

    Para obtener este valor, abra Azure Portal. Luego, en la hoja de registro de la aplicación, vaya a Exponer una API. Copie el valor en la sección URI de Id. de aplicación.

    Captura de pantalla de dónde pegar el URI de ID de aplicación en el canal de equipos de Copilot Studio.

  6. Seleccione Guardar y luego Cerrar.

  7. Vuelva a publicar el agente, para poner los últimos cambios a disposición de sus clientes.

  8. Seleccione Abrir el agente en Teams, para iniciar una nueva conversación con su agente en Microsoft Teams y compruebe si le registra automáticamente.

Problemas conocidos

Si publicó por primera vez su agente mediante autenticación manual sin SSO de Teams, el agente en Teams solicitará continuamente a los usuarios que inicien sesión.