Condividi tramite

Configurare l'autenticazione utente con Microsoft Entra ID

  • Articolo

L'autenticazione di un agente consente agli utenti di accedere, dando all'agente l'accesso a una risorsa o informazioni limitate.

Questo articolo spiega come configurare Microsoft Entra ID come provider di servizi. Per informazioni su altri provider di servizi e sull'autenticazione utente in generale, vedi Configurare l'autenticazione utente in Copilot Studio.

Se hai i diritti di amministrazione del tenant puoi configurare le autorizzazioni API. Altrimenti, è necessario chiedere a un amministratore del tenant di farlo al posto tuo.

Prerequisiti

Informazioni su come aggiungere l'autenticazione dell'utente a un argormento

Completa i primi passaggi nel portale di Azure e i due passaggi finali in Copilot Studio.

Creare una registrazione app

  1. Accedi al portale Azure usando un account amministratore nello stesso tenant del tuo agente.

  2. Vai a Registrazioni app.

  3. Seleziona Nuova registrazione e immetti un nome per la registrazione. Non modificare le registrazioni delle app esistenti.

    Può essere utile usare il nome dell'agente in un secondo momento. Ad esempio, se il tuo agente si chiama "Contoso Sales Help", potresti denominare la registrazione dell'app "ContosoSalesReg".

  4. In Tipi di account supportati, seleziona Account in qualsiasi tenant organizzativo (qualsiasi directory di Microsoft Entra ID - Multitenant) e account Microsoft personali (ad esempio Skype, Xbox).

  5. Lascia la sezione URI di reindirizzamento vuota per ora. Immetti tali informazioni nei passaggi successivi.

  6. Selezionare Registrazione.

  7. Una volta completata la registrazione, vai a Panoramica.

  8. Copia l'ID applicazione (client) e incollalo in un file temporaneo. Ti servirà in un secondo momento.

Aggiungere l'URL di reindirizzamento

  1. In Gestisci seleziona Autenticazione.

  2. In Configurazioni della piattaforma seleziona Aggiungi una piattaforma, quindi seleziona Web.

  3. In URI di reindirizzamento, inserisci https://token.botframework.com/.auth/web/redirect e seleziona Configura.

    Questa azione ti riporta alla pagina Configurazioni piattaforma.

  4. In URI di reindirizzamento per la piattaforma Web, seleziona Aggiungi URI.

  5. Immetti https://europe.token.botframework.com/.auth/web/redirect e seleziona Salva.

    Nota

    Il riquadro di configurazione dell'autenticazione in Copilot Studio potrebbe mostrare il seguente URL di reindirizzamento: https://unitedstates.token.botframework.com/.auth/web/redirect. L'utilizzo di quell'URL fa fallire l'autenticazione; utilizza l'URI.

  6. Nella sezione Concessione implicita e flussi ibridi, seleziona Token di accesso (usati per flussi impliciti) e ID token (usati per i flussi impliciti).

  7. Seleziona Salva.

Generare un segreto client

  1. Seleziona Certificati e segreti in Gestisci.

  2. Nella sezione Segreti client seleziona Nuovo segreto client.

  3. Immetti una descrizione (facoltativa). Ne viene fornita una se lasciato vuoto.

  4. Seleziona il periodo di scadenza. Seleziona il periodo più breve rilevante per la vita dell'agente.

  5. Selezionare Aggiungi per creare il segreto.

  6. Conserva il valore del segreto in un file provvisorio protetto. Ti servirà quando configuri l'autenticazione dell'agente successivamente.

Suggerimento

Non uscire dalla pagina prima di aver copiato il valore del segreto client. In caso contrario, il valore verrà offuscato e sarà necessario generare un nuovo segreto client.

Configurare l'autenticazione manuale

  1. In Copilot Studio, vai su Impostazioni per l'agente e seleziona Sicurezza.

  2. Seleziona Autenticazione.

  3. Seleziona Autentica manualmente.

  4. Lascia Richiedi agli utenti di accedere abilitata.

  5. Immetti i seguenti valori per le proprietà:

    • Provider di servizi: seleziona Azure Active Directory v2.

    • ID client: immetti l'ID applicazione (client) copiato in precedenza dal portale di Azure.

    • Segreto client: immetti il segreto client generato in precedenza dal portale di Azure.

    • Ambiti: immetti profile openid.

  6. Seleziona Salva per completare la configurazione.

Configurare autorizzazioni API

  1. Vai ad Autorizzazioni API.

  2. Seleziona Concedi consenso amministratore per <nome del tenant> e quindi . Se il pulsante non è disponibile, potrebbe essere necessario chiedere a un amministratore del tenant di inserirlo per te.

    Screenshot della finestra delle autorizzazioni API con un'autorizzazione del tenant evidenziata.

    Importante

    Per evitare che gli utenti debbano fornire il consenso per ciascuna applicazione, qualcuno con il ruolo di amministratore dell'applicazione o amministratore dell'applicazione cloud può concedere il consenso a livello di tenant alle registrazioni dell'applicazione.

  3. Seleziona Aggiungi un'autorizzazione, quindi seleziona Microsoft Graph.

    Screenshot della finestra Richiedi autorizzazioni API con Microsoft Graph evidenziato.

  4. Seleziona Autorizzazioni delegate.

    Screenshot con le autorizzazioni delegate evidenziate.

  5. Espandi Autorizzazioni OpenId e attiva openid e profilo.

    Screenshot con autorizzazioni OpenId, openid e profilo evidenziati.

  6. Selezionare Aggiungi autorizzazioni.

Definire l'ambito personalizzato per l'agente

Gli ambiti ti consentono di determinare i ruoli utente e amministratore e i diritti di accesso. Crea un ambito personalizzato per la registrazione dell'app canvas creata in un passaggio successivo.

  1. Vai a Esponi un'API e seleziona Aggiungi un ambito.

    Screenshot con Esponi un'API e il pulsante Aggiungi un ambito evidenziato.

  2. Imposta le proprietà seguenti. Puoi lasciare vuote le altre proprietà.

    Proprietà valore
    Nome ambito Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Chi può concedere il consenso? Seleziona Amministratori e utenti
    Nome visualizzato consenso dell'amministratore Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Descrizione consenso dell'amministratore Immetti Allows the app to sign the user in.
    Provincia Seleziona Abilitato

  3. Seleziona Aggiungi ambito.

Configurare l'autenticazione in Copilot Studio

  1. In Copilot Studio, in Impostazioni, seleziona Sicurezza>Autenticazione.

  2. Seleziona Autentica manualmente.

  3. Lascia Richiedi agli utenti di accedere abilitata.

  4. Seleziona un Fornitore di servizi e fornisci i valori richiesti. Vedi Configurazione dell'autenticazione manuale in Copilot Studio.

  5. Seleziona Salva.

Suggerimento

L'URL di scambio del token viene utilizzato per scambiare il token On-Behalf-Of (OBO) con il token di accesso richiesto. Per ulteriori informazioni, vedi Configura Single Sign-on con Microsoft Entra ID.

Nota

Gli ambiti dovrebbero includere profile openid e quanto segue, a seconda del caso d'uso:

  • Sites.Read.All Files.Read.All per SharePoint
  • ExternalItem.Read.All per il grafico delle connessioni
  • https://[OrgURL]/user_impersonation per nodi Prompt e dati strutturati Dataverse
  • Ad esempio, Dati struttura Dataverse o Nodo richiesta dovrebbero avere i seguenti ambiti: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testare l'agente

  1. Pubblicare l'agente.

  2. Nel riquadro Test agente invia un messaggio al tuo agente.

  3. Quando l'agente risponde, seleziona Accedi.

    Si apre una nuova scheda nel browser che ti chiede di accedere.

  4. Accedi, quindi copia il codice di convalida visualizzato.

  5. Incolla il codice nella chat agente per completare il processo di accesso.

    Screenshot di un'autenticazione utente riuscita in una conversazione agente, con il codice di convalida evidenziato.