Configurer l’authentification des utilisateurs dans Copilot Studio
L’authentification permet aux utilisateurs de se connecter, donnant ainsi à votre agent accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.
Note
Dans Microsoft Teams, vous pouvez configurer un Copilot Studio agent pour fournir des capacités d’authentification, afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou n’importe quel fournisseur d’identité OAuth2, tel qu’un Microsoft ou Facebook un compte.
Vous pouvez ajouter l’authentification de l’utilisateur final à vos rubriques lors de la modification d’une rubrique.
Important
Les modifications apportées à la configuration d’authentification ne prennent effet qu’après la publication de votre agent. Assurez-vous de planifier à l’avance avant d’apporter des modifications d’authentification à votre agent.
Choisir une option d’authentification
Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.
Accédez aux Paramètres de votre agent et à Sélectionner Sécurité.
Sélectionnez Authentification.
Les options d’authentification suivantes sont disponibles :
Sélectionnez Enregistrer.
Aucune authentification
L’absence d’authentification signifie que votre agent n’exige pas que vos utilisateurs se connectent lorsqu’ils interagissent avec lui. Une configuration non authentifiée signifie que votre agent peut accéder uniquement aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.
Avertissement
La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou agent.
Nous vous recommandons d’appliquer l’authentification, en particulier si vous utilisez votre bot ou agent au sein de votre organisation ou pour des utilisateurs spécifiques, ainsi que d’autres contrôles de sécurité et de gouvernance. ...
Authentifier avec Microsoft
Important
Quand l’option Authentifier avec Microsoft est sélectionnée, tous les canaux sauf le canal Teams sont désactivés.
De plus, l’option S’authentifier avec Microsoft n’est pas disponible pour les agents intégrés à Dynamics 365 service clientèle.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Comme l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre agent nécessite une étendue élargie.
Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous devez publier votre agent sur d’autres canaux, mais souhaitez tout de même l’authentification pour votre agent, choisissez Authentifier manuellement.
Si vous sélectionnez Authentifier avec Microsoft, les variables suivantes sont disponibles dans le canevas de création :
User.IDUser.DisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.
Les variables User.AccessToken et User.IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement.
Si vous passez de Authentifier manuellement à Authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken ou User.IsLoggedIn, celles-ci sont affichées comme des variables Inconnues après le changement. Assurez-vous de corriger tous les sujets comportant des erreurs avant de publier votre agent.
Authentifier manuellement
Copilot Studio prend en charge les fournisseurs d’authentification suivants sous l’option Authentifier manuellement :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 avec certificats
- OAuth 2 générique : tout fournisseur d’identité conforme à la norme OAuth2
Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.
Une fois la configuration enregistrée, assurez-vous de publier votre agent pour que les modifications prennent effet.
Note
- Les modifications d’authentification ne prennent effet qu’après la publication du agent.
- Ce paramètre peut être contrôlé par le contrôle administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’activation ou la désactivation de l’option Authentifier manuellement dans Copilot Studio. Le contrôle est toujours activé et l’option Authentifier manuellement ne peut pas être modifiée dans Copilot Studio.
Connexion utilisateur requise et partage agent
Exiger que les utilisateurs se connectent détermine si un utilisateur doit se connecter avant de parler avec le agent. Nous vous recommandons vivement d’activer ce paramètre pour les agents qui doivent accéder à des informations sensibles ou restreintes.
Cette option n’est pas disponible pour les options Aucune authentification et Authentifier avec Microsoft.
Note
Cette option n’est pas non plus configurable lorsque la stratégie DLP dans le centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, consultez Exemple de données protection des pertes - Exiger l’authentification de l’utilisateur final dans les agents.
Si vous désactivez cette option, votre agent ne demande pas aux utilisateurs de se connecter jusqu’à ce qu’il rencontre un rubrique qui les y oblige.
Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.
Le obliger les utilisateurs à se connecter rubrique est automatiquement déclenché pour tout utilisateur qui parle au agent sans être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôler qui peut discuter avec les agent dans l’organisation
La combinaison de l’authentification de votre agent et du paramètre Exiger que l’utilisateur se connecte détermine si vous pouvez Partager le agent contrôler qui dans votre organisation peut discuter avec lui. Le paramètre d’authentification n’affecte pas le partage d’un agent pour la collaboration.
Aucune authentification : Tout utilisateur qui a un lien vers le agent (ou qui peut le trouver, par exemple sur votre site Web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs de votre organisation peuvent discuter avec le agent.
Authentifiez-vous avec Microsoft : Le agent fonctionne uniquement sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage agent pour contrôler qui dans votre organisation peut discuter avec agent.
Authentifier manuellement :
Si le fournisseur de services est Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Exiger que les utilisateurs se connectent pour contrôler qui dans votre organisation peut discuter avec les agent à l’aide du partage agent.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsqu’il est activé, un utilisateur qui se connecte peut discuter avec le agent. Vous ne pouvez pas contrôler quels utilisateurs spécifiques de votre organisation peuvent discuter avec agent en utilisant le partage agent.
Lorsque le paramètre d’authentification d’un agent ne peut pas contrôler qui peut discuter avec lui, si vous Sélectionner Partager sur la page d’aperçu de agent, un message vous informe que n’importe qui peut discuter avec votre agent.
Champs d’authentification manuelle
Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.
| Nom du champ | Description |
|---|---|
| Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID Client | Votre ID client obtenu auprès du fournisseur d’identité. |
| Client secret | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
| Actualiser le modèle de corps | Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Actualiser le modèle de chaîne de requête de l’URL d’autorisation | Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?). |
| Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
| Étendues | La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
| Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth. |
| ID locataire | Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client. |
| Modèle de corps de jeton | Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL d’échange de jetons (requise pour SSO) | Ce champ facultatif est utilisé lors de la configuration de l’authentification unique. |
| Modèle d’URL de jeton | Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?). |
1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Désactiver l’authentification
Avec votre agent ouvert, Sélectionner Paramètres dans la barre de menu supérieure.
Sélectionnez Sécurité, puis sélectionnez Authentification.
Sélectionnez Aucune authentification.
Si des variables d’authentification sont utilisées dans une rubrique, elles deviennent des variables de type Inconnu. Accédez à la page Rubriques pour voir quelles rubriques comportent des erreurs et corrigez-les avant la publication.
Publiez le agent.
Important
Si votre agent a des actions configurées pour utiliser les informations d’identification de l’utilisateur final, ne désactivez pas l’authentification au niveau agent, car cela empêcherait ces actions de fonctionner.