Authentification

  • 7 minutes

Le paramètre d’authentification de Microsoft Copilot Studio impacte la façon dont vous pouvez gérer l’accès à l’agent. Il vous permet de vérifier l’identité d’un utilisateur au cours d’une conversation, ce qui permet :

  • de personnaliser davantage la conversation ;

  • à l’agent d’exécuter des actions au nom de l’utilisateur ;

  • d’ignorer des dialogues dans la conversation en préremplissant les données utilisateur et en allant droit au but ;

  • d’utiliser des variables telles que l’ID utilisateur et le nom d’affichage dans les rubriques.

Il s’agit d’une expérience flexible. Vous pouvez marquer certaines parties de la conversation nécessitant une connexion de l’utilisateur, contrairement à d’autres.

Les paramètres d’authentification sont consultables dans Microsoft Copilot Studio en cliquant sur Paramètres dans le volet de navigation latéral, puis en accédant à Paramètres > Sécurité > Authentification.

Voici les options d’authentification :

  • Aucune authentification

  • Authentifier avec Microsoft

  • Authentifier manuellement

Capture d’écran de la boîte de dialogue Authentification avec l’option Manuelle sélectionnée et le champ Prestataire de services renseigné.

Vous devez publier votre agent afin que les modifications du paramètre d’authentification soient prises en compte.

Aucune authentification

L’absence d’authentification signifie que votre agent n’exige pas que vos utilisateurs se connectent lorsqu’ils interagissent avec lui. Une configuration non authentifiée signifie que votre agent peut accéder uniquement aux informations et ressources publiques. Les agents classiques sont configurés par défaut pour ne pas nécessiter d’authentification.

Authentifier avec Microsoft

Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans qu’aucune configuration manuelle ne soit nécessaire. Comme l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre agent nécessite une étendue élargie.

Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous devez publier votre agent sur d’autres canaux, mais souhaitez tout de même l’authentification pour votre agent, choisissez Authentifier manuellement.

Authentifier manuellement

Microsoft Copilot Studio prend en charge les fournisseurs d’identité conformes à la norme OAuth2. Autrement dit, vous pouvez autoriser les utilisateurs à se connecter avec tout fournisseur d’identité OAuth2. Voici certains fournisseurs d’identité OAuth2 :

  • Microsoft Entra ID

  • Compte Microsoft

  • Google

  • Facebook

  • Service d’authentification personnalisé que vous créez pour votre société.

Vous pouvez appeler l’action Authentifier au cours d’une conversation, afin d’inviter l’utilisateur à l’aide d’une carte de connexion. Vous pouvez également sélectionner l’option Demander aux utilisateurs de se connecter, afin de créer la rubrique système Demander à l’utilisateur de se connecter. L’utilisateur est alors invité à se connecter dès qu’il commence la conversation avec l’agent. Cette capture d’écran illustre la rubrique système Demander à l’utilisateur de se connecter et les variables stockées. Les variables obtenues sont User.Id, User.FirstName, User.Email, User.DisplayName, User.PrincipalName, User.IsLoggedIn et User.Lastname.

Capture d’écran de Microsoft Copilot Studio illustrant l’action Authentifier avec des conditions.

Configurer l’authentification manuelle

Pour configurer l’authentification manuelle dans Microsoft Copilot Studio, inscrivez une nouvelle application auprès de votre fournisseur d’identité et obtenez un ID client et une clé secrète client. Les détails ci-dessous vous montrent comment le faire à partir du portail Azure pour Microsoft Entra ID.

Pour inscrire une application, vous pouvez accéder à Inscriptions d’applications depuis le portail Azure, puis créer une inscription. Vous devez fournir un nom pour l’inscription, par exemple celui de l’agent, puis spécifier les comptes pouvant accéder à l’agent. Par exemple, l’option sélectionnée ici permet aux utilisateurs de tout répertoire Microsoft Entra ID ou compte Microsoft personnel de se connecter et parler à l’agent. L’URI de redirection doit être https://token.botframework.com/.auth/web/redirect avec Web comme plateforme.

Capture d’écran de Microsoft Azure sur la page Inscrire une application avec le champ Nom renseigné, l’option Comptes de tout répertoire organisationnel sélectionnée et l’URI de redirection défini.

Ensuite, vous devez ajouter une nouvelle clé secrète client. Vous pouvez accéder à la zone Certificats et secrets de l’inscription de l’application, puis cliquer sur + Nouvelle clé secrète client. Ici, vous pouvez fournir une description et sélectionner une période d’expiration.

Capture d’écran de la boîte de dialogue Microsoft Entra ID Ajouter une clé secrète client, avec le champ Description défini sur Microsoft Copilot Studio et le champ Période d’expiration défini sur 12 mois.

La Valeur de clé secrète client doit être notée, car elle est utilisée à des fins de configuration.

Vous avez également besoin de l’ID d’application (client), qui se trouve dans la zone Vue d’ensemble de l’inscription de l’application.

Maintenant qu’Azure est configuré, les paramètres d’authentification de Microsoft Copilot Studio peuvent être renseignés. Vous pouvez ouvrir votre agent dans Microsoft Copilot Studio, puis accéder à Paramètres > Sécurité > Authentification.

L’option d’authentification doit être Manuelle. Si vous sélectionnez l’option Demander aux utilisateurs de se connecter, une rubrique système est créée, afin d’inviter les utilisateurs à se connecter au début de la conversation. Sinon, si elle n’est pas sélectionnée, vous pouvez appeler l’action d’authentification à tout moment de la conversation.

Le champ Prestataire de services doit être défini sur Azure Active Directory v2. Les champs ID client et Clé secrète client vous permettent de saisir l’ID d’application et la valeur de clé secrète client obtenus précédemment. URL d’échange de jetons est un champ facultatif utilisé lors de la configuration de l’authentification unique. L’étendue fait référence à l’accès que vous souhaitez octroyer aux utilisateurs authentifiés une fois connectés. Pour en savoir plus, consultez Étendues.

Une fois les paramètres d’authentification enregistrés et l’agent publié, vous pouvez utiliser Appeler une action > Authentifier dans vos rubriques. Si plusieurs rubriques nécessitent une authentification, l’utilisateur est invité à se connecter une seule fois au cours de la session.

Capture d’écran du flux de phrases déclencheur appelant une action d’authentification.

Cette action entraîne la configuration automatique des branches conditionnelles, avec des messages et variables liés à l’authentification. Une variable stocke le jeton d’authentification lorsque l’utilisateur se connecte. Il s’agit d’une variable booléenne qui stocke si l’utilisateur est connecté et de variables pour l’ID et le nom d’affichage de l’utilisateur.

Capture d’écran de l’utilisateur invité avec le flux de carte de connexion complet avec les actions et messages de condition d’authentification.