Partager via


Configurer l’authentification unique avec Microsoft Entra ID

Copilot Studio prend en charge l’authentification unique SSO SSO permet aux copilotes sur votre site Web de se connecter les clients si celui-ci est déjà connecté à la page ou à l’application sur laquelle le copilote est déployé.

Par exemple, le copilote est hébergé sur l’intranet de l’entreprise ou dans une application à laquelle l’utilisateur est déjà connecté.

La configuration de l’authentification SSO pour Copilot Studio implique quatre grandes étapes :

  1. Créer un enregistrement d’application dans Microsoft Entra ID pour votre canevas personnalisé.

  2. Définir une étendue personnalisée pour votre copilote.

  3. Configurer l’authentification dans Copilot Studio pour activer l’authentification SSO.

  4. Configurer le code HTML de votre canevas personnalisé pour activer l’authentification SSO.

Conditions préalables

Note

Pour configurer l’authentification unique à l’aide d’autres fournisseurs OAuth 2.0, consultez Configurer l’authentification unique avec des fournisseurs OAuth génériques.

Canaux pris en charge

Le tableau suivant détaille les canaux qui prennent actuellement en charge l’authentification SSO. Vous pouvez suggérer la prise en charge des canaux supplémentaires dans le forum des idées Microsoft Copilot Studio.

Canal Prise en charge
Canaux Azure Bot Service Non pris en charge
Site web personnalisé Prise en charge
Site web de démonstration Non pris en charge
Facebook Non pris en charge
Microsoft Teams1 Prise en charge
Application mobile Non pris en charge
Omnicanal pour le service clientèle2 Prise en charge

1 Si vous avez également activé le canal Teams, vous devez suivre les instructions de configuration dans la documentation Configure l’authentification unique avec Microsoft Entra ID pour les copilotes créés dans Microsoft Teams. Si vous ne configurez pas les paramètres SSO Teams comme indiqué sur cette page, l’authentification de vos utilisateurs échoue toujours lors de l’utilisation du canal Teams.

2 Seul le canal de conversation en direct est pris en charge. Pour plus d’informations, consultez Configurer le transfert vers Dynamics 365 Customer Service.

Important

Le SSO n’est actuellement pas pris en charge lorsqu’un copilote a été :

Cependant, SSO est pris en charge pour un copilote qui a été publié sur un SharePoint site Web en tant que composant SPFx.

Créer des inscriptions d’applications pour votre site web personnalisé

Pour activer l’authentification SSO, vous devez créer deux inscriptions d’application distinctes :

  • Un enregistrement d’application d’authentification, qui active l’authentification de l’utilisateur Microsoft Entra ID pour votre copilote
  • Une inscription d’applications canevas qui active l’authentification unique (SSO) pour votre page web personnalisée

Nous vous déconseillons de réutiliser la même inscription d’application pour votre copilote et votre site Web personnalisé pour des raisons de sécurité.

  1. Suivez les instructions dans Configurer l’authentification des utilisateurs avec Microsoft Entra ID pour créer une enregistrement d’application d’authentification.

  2. Suivez à nouveau les instructions pour créer un enregistrement d’application d’authentification pour créer un deuxième enregistrement d’application, qui sert d’enregistrement de votre application canevas.

  3. Ajoutez l’ID d’enregistrement de l’application canevas à l’enregistrement de l’application d’authentification.

Ajouter une URL d’échange de jetons

Pour mettre à jour les paramètres d’authentification Microsoft Entra ID dans Copilot Studio, vous devez ajouter l’URL d’échange de jetons pour autoriser votre application et Copilot Studio à partager des informations.

  1. Dans le portail Azure, dans le volet d’enregistrement de votre application d’authentification, accédez à Exposer une API.

  2. Sous Étendues, sélectionnez l’icône Copier dans le Presse-papier.

  3. Dans Copilot Studio, dans le menu de navigation, sous Paramètres, sélectionnez Sécurité, puis sélectionnez la vignette Authentification.

  4. Pour URL d’échange de jeton (obligatoire pour l’authentification SSO), collez l’étendue que vous avez copiée précédemment.

  5. Sélectionnez Enregistrer.

Configurer votre inscription d’application canevas

  1. Après avoir créé l’inscription d’applications canevas, accédez à Authentification, puis sélectionnez Ajouter une plateforme.

  2. Sous Configurations de plate-forme, sélectionnez Ajouter une plateforme, puis sélectionnez Web.

  3. Sous URI de redirection, entrez l’URL de votre page Web ; par exemple, http://contoso.com/index.html.

    Capture d’écran de la page Configurer Web.

  4. Sous la section Octroi implicite et flux hybrides, activez les deux Jetons d’accès (utilisés pour les flux implicites) et Jetons d’ID (utilisés pour les flux implicites et hybrides).

  5. Sélectionnez Configurer.

Trouvez l’URL du jeton de votre copilote point de terminaison

  1. Dans Copilot Studio, ouvrez votre copilote, puis sélectionnez Canaux.

  2. Sélectionnez Application mobile.

  3. Sous Point de terminaison de jeton, sélectionnez Copier.

    Capture d’écran de la copie de l’URL du point de terminaison du jeton dans Copilot Studio.

Configurer SSO dans votre page Web

Utilisez le code fourni dans le référentiel GitHub de Copilot Studio pour créer une page web pour l’URL de redirection. Copiez le code à partir du référentiel GitHub et modifiez-le en suivant les instructions suivantes.

Note

Le code dans le référentiel GitHub nécessite que l’utilisateur utilise un bouton de connexion ou se connecte à partir d’un autre site. Pour activer la connexion automatique, ajoutez le code suivant au début de aysnc function main() :

    (async function main() {
        if (clientApplication.getAccount() == null) {
           await clientApplication.loginPopup(requestObj).then(onSignin).catch(function (error) {console.log(error) });
        }
        // Add your BOT ID below 
        var theURL =
  1. Accédez à la page Vue d’ensemble dans le portail Azure et copiez l’ID de l’application (client) et l’ID d’annuaire (client).

    Capture d’écran de la page Présentation de l’inscription d’une application dans le portail Azure, avec Présentation, ID de l’application et ID du répertoire en surbrillance.

  2. Pour configurer la bibliothèque d’authentification Microsoft (MSAL) :

    • Attribuez clientId à votre ID d’application (client).
    • Attribuez authority à https://login.microsoftonline.com/ et ajoutez votre ID du répertoire (client) à la fin.

    Par exemple :

    var clientApplication;
        (function (){
        var msalConfig = {
            auth: {
                clientId: '00001111-aaaa-2222-bbbb-3333cccc4444',
                authority: 'https://login.microsoftonline.com/7ef988bf-xxxx-51af-01ab-2d7fd011db47'     
            },
    
  3. Définissez la variable theURL sur l’URL du point de terminaison du jeton que vous avez copiée précédemment. Par exemple :

    (async function main() {
    
        var theURL = "https://<token endpoint URL>"
    
  4. Modifiez la valeur de userId pour inclure un préfixe personnalisé. Par exemple :

    var userId = clientApplication.account?.accountIdentifier != null ? 
            ("My-custom-prefix" + clientApplication.account.accountIdentifier).substr(0, 64) 
            : (Math.random().toString() + Date.now().toString()).substr(0,64);
    
  5. Enregistrez vos modifications.

Testez votre copilote à l’aide de votre page web

  1. Ouvrez votre page Web dans votre navigateur.

  2. Sélectionnez Connexion.

    Capture d’écran illustrant la connexion à l’aide du code de validation

    Note

    Si votre navigateur bloque les fenêtres contextuelles ou si vous utilisez une fenêtre de navigation privée ou de navigation privée, vous êtes invité à vous connecter. Sinon, la connexion se termine à l’aide d’un code de validation.

    Un nouvel onglet du navigateur s’ouvre.

  3. Passez au nouvel onglet et copiez le code de validation.

  4. Revenez à l’onglet avec votre copilote et collez le code de validation dans la conversation du copilote.