Partager via

Configurer l’authentification utilisateur avec Microsoft Entra ID

  • Article

L’ajout d’une authentification à votre agent permet aux utilisateurs de se connecter, donnant ainsi à votre agent l’accès à une ressource ou à des informations restreintes.

Cet article explique comment configurer Microsoft Entra ID comme fournisseur de services. Pour en savoir plus sur les autres fournisseurs de services et l’authentification de l’utilisateur en général, voir Configurer l’authentification de l’utilisateur dans Copilot Studio.

Si vous disposez des droits d’administration des clients, vous pouvez configurer des autorisations d’API. Sinon, vous devrez peut-être demander à votre administrateur de client de le faire.

Prérequis

Découvrez comment ajouter l’authentification de l’utilisateur final à une rubrique

Vous effectuez les premières étapes dans le portail Azure et effectuez les deux dernières étapes dans Copilot Studio.

Créer une inscription d’application

  1. connectez-vous au portail Azure, en utilisant un compte administrateur dans le même locataire que votre agent.

  2. Accédez à Inscriptions d’applications.

  3. Sélectionnez Nouvelle inscription et tapez un nom pour l’inscription. Ne modifiez pas les inscriptions d’applications existantes.

    Il peut être utile plus tard d’utiliser le nom de votre agent. Par exemple, si votre agent s’appelle "Contoso sales help", vous pouvez nommer l’enregistrement de l’application "ContosoSalesReg".

  4. Dans Types de comptes pris en charge, sélectionnez Comptes dans n’importe quel client organisationnel (tout répertoire Microsoft Entra ID - mutualisé) et comptes Microsoft personnels (par exemple, Skype, Xbox).

  5. Laissez la section URI de redirection vide pour l’instant. Entrez ces informations dans les étapes suivantes.

  6. Sélectionnez Inscrire.

  7. Une fois l’inscription terminée, accédez à Vue d’ensemble.

  8. Copiez l’ID d’application (client) et collez-le dans un fichier temporaire. Vous en aurez besoin dans des étapes ultérieures.

Ajouter l’URL de redirection

  1. Sous Gérer, sélectionnez Authentification.

  2. Sous Configurations de plate-forme, sélectionnez Ajouter une plateforme, puis sélectionnez Web.

  3. Sous URI de redirection, entrez https://token.botframework.com/.auth/web/redirect et sélectionnez Configurer.

    Cette action vous redirige vers la page Configurations de la plateforme.

  4. Sous URI de redirection pour la plateforme Web, sélectionnez Ajouter un URI.

  5. Entrez https://europe.token.botframework.com/.auth/web/redirect et sélectionnez Enregistrer.

    Note

    Le volet de configuration de l’authentification dans Copilot Studio peut afficher l’URL de redirection suivante : https://unitedstates.token.botframework.com/.auth/web/redirect. L’utilisation de cette URL fait échouer l’authentification ; utilisez plutôt l’URI.

  6. Dans la section Octroi implicite et flux hybrides, sélectionnez à la fois Jetons d’accès (utilisés pour les flux implicites) et Jetons d’identification (utilisés pour les flux implicites et hybrides).

  7. Sélectionnez Enregistrer.

Générer un secret client

  1. Sous Gérer, sélectionnez Certificats et secrets.

  2. Dans la section Clé secrète client, sélectionnez Nouvelle clé secrète.

  3. (En option) Saisissez une description. Un est fourni s’il est laissé vide.

  4. Sélectionnez la période d’expiration. Sélectionner la période la plus courte pertinente pour la vie de votre agent.

  5. Sélectionnez Ajouter pour créer le secret.

  6. Conservez la Valeur de clé secrète dans un fichier temporaire sécurisé. Vous en aurez besoin lorsque vous configurerez l’authentification de votre agent plus tard.

Astuce

Ne quittez pas la page avant d’avoir copié la valeur de la clé secrète client. Si vous le faites, la valeur est obscurcie et vous devez générer un nouveau secret client.

Configurer l’authentification manuelle

  1. Dans Copilot Studio, accédez à Paramètres pour votre agent et Sélectionner Sécurité.

  2. Sélectionnez Authentification.

  3. Sélectionnez Authentifier manuellement.

  4. Laissez l’option Demander aux utilisateurs de se connecter activée.

  5. Saisissez les valeurs suivantes pour les propriétés :

    • Fournisseur de services : sélectionnez Azure Active Directory v2.

    • ID client : saisissez l’ID de l’application (client) que vous avez copié précédemment à partir du portail Azure.

    • Secret client : entrez le secret client que vous avez généré précédemment à partir du portail Azure.

    • Étendues : saisissez profile openid.

  6. Sélectionnez Enregistrer pour terminer les configurations.

Configurer les autorisations API

  1. Accédez à Autorisations API.

  2. Sélectionnez Accorder un consentement administrateur pour <votre nom de client>, puis cliquez sur Oui. Si le bouton n’est pas disponible, vous devrez peut-être demander à un administrateur de client de le saisir pour vous.

    Capture d’écran de la fenêtre des autorisations de l’API avec une autorisation de client en surbrillance.

    Note

    Pour éviter aux utilisateurs d’avoir à consentir à chaque application, un administrateur global, un administrateur d’application ou un administrateur d’application cloud peut accorder son consentement à l’échelle du locataire à vos inscriptions d’applications.

  3. Sélectionnez Ajouter une permission et choisissez Microsoft Graph.

    Capture d’écran de la fenêtre des autorisations de l’API de demande avec Microsoft Graph en surbrillance.

  4. Sélectionnez Autorisations déléguées.

    Capture d’écran avec les permissions déléguées en surbrillance.

  5. Développez Autorisations OpenId et activez openid et profil.

    Capture d’écran avec les autorisations OpenId, l’openid et le profil en surbrillance.

  6. Sélectionnez Ajouter des autorisations.

Définissez une portée personnalisée pour votre agent

Les étendues vous permettent de déterminer les rôles d’utilisateur et d’administrateur, ainsi que les droits d’accès. Vous créez une étendue personnalisée pour l’enregistrement de l’application canevas que vous créez lors d’une étape ultérieure.

  1. Accédez à Exposer une API et sélectionnez Ajouter une étendue.

    Capture d’écran avec Exposer une API et le bouton Ajouter une étendue en surbrillance.

  2. Définissez les propriétés suivantes. Vous pouvez laisser les autres propriétés vides.

    Property active
    Nom de l’étendue Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Qui peut donner son consentement ? Sélectionnez Administrateurs et utilisateurs
    Nom d’affichage du consentement administrateur Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Description du consentement administrateur Entrez Allows the app to sign the user in.
    État Sélectionnez Activé

  3. Sélectionnez Ajouter une étendue.

Configurer l’authentification dans Copilot Studio

  1. Dans Copilot Studio, sous Paramètres, sélectionnez Sécurité>Authentification.

  2. Sélectionnez Authentifier manuellement.

  3. Laissez l’option Demander aux utilisateurs de se connecter activée.

  4. Sélectionnez un Fournisseur de services et fournissez les valeurs requises. Consultez Configurer l’authentification manuelle dans Copilot Studio.

  5. Sélectionnez Enregistrer.

Astuce

L’URL d’échange de jetons est utilisée pour échanger le jeton OBO contre le jeton d’accès demandé. Pour plus d’informations, consultez Configurer l’authentification unique avec Microsoft Entra ID.

Note

Les portées doivent inclure profile openid les éléments suivants, en fonction de votre cas d’utilisation :

  • Sites.Read.All Files.Read.All pour SharePoint
  • ExternalItem.Read.All pour la connexion Graph
  • https://[OrgURL]/user_impersonation pour les nœuds d’invite et les données structurées Dataverse
  • Par exemple, les données structurées Dataverse ou le nœud d’invite doivent avoir les portées suivantes : profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Tester votre assistant

  1. Publiez votre agent.

  2. Dans le volet Test agent , envoyez un message à votre agent.

  3. Lorsque le agent répond, Sélectionner Connectez-vous.

    Un nouvel onglet du navigateur s’ouvre alors et vous invite à vous connecter.

  4. Connectez-vous, puis copiez le code de validation affiché.

  5. Collez le code dans le chat agent pour terminer le processus de connexion.

    Capture d’écran d’une authentification utilisateur réussie dans une conversation agent, avec le code de validation mis en évidence.