Udostępnij za pośrednictwem

Konfigurowanie funkcji uwierzytelniania użytkowników za pomocą Tożsamości Microsoft Entra

  • Artykuł

Dodanie uwierzytelniania do agent umożliwia użytkownikom logowanie, dając agent dostęp do zastrzeżonych zasobów lub informacji.

W tym artykule opisano sposób konfigurowania Tożsamości Microsoft Entra jako dostawcy usług. Aby dowiedzieć się więcej o innych dostawcach usług i uwierzytelniania użytkowników ogólnych, zobacz Konfigurowanie uwierzytelniania użytkownika w Copilot Studio.

Jeśli masz uprawnienia administracyjne dzierżawcy, możesz skonfigurować uprawnienia interfejsu API. W przeciwnym razie należy poprosić administratora dzierżawy o wykonanie tego za użytkownika.

Wymagania wstępne

Dowiedz się, jak dodać uwierzytelnienie użytkownika końcowego do tematu

Wykonaj kilka pierwszych kroków w portalu Azure i wykonaj ostatnie dwa kroki w Copilot Studio.

Tworzenie rejestracji aplikacji

  1. Zaloguj się do portalu #Azure, używając konta administratora w tej samej dzierżawie co Twój agent.

  2. Przejdź do Rejestracja aplikacji.

  3. Wybierz pozycję Nazwa rejestracji i wprowadź nazwę rejestracji. Nie zmieniaj istniejących rejestracji aplikacji.

    Później pomocne może być użycie nazwy swojego agent. Jeśli na przykład agent nazywa się "Contoso pomoc sprzedażowa", możesz nazwać rejestrację aplikacji "ContosoSalesReg".

  4. W Obsługiwane typy kont wybierz pozycję Konta w dowolnej dzierżawie organizacyjnej (dowolny katalog usługi Tożsamość Microsoft Entra — wielodostępny) i osobiste konta Microsoft (np. Skype, Xbox).

  5. Na razie pozostaw sekcję Identyfikator URI przekierowywania pustą. Te informacje należy wprowadzić w następnych krokach.

  6. Wybierz pozycję Zarejestruj.

  7. Po zakończeniu rejestracji zobacz Omówienie.

  8. Skopiuj identyfikator aplikacji (klienta) i wklej go w pliku tymczasowym. Będzie potrzebne w kolejnych krokach.

Dodaj URL przekierowania

  1. W sekcji Zarządzanie wybierz Uwierzytelnianie.

  2. W obszarze Konfiguracje platformy wybierz pozycje Dodaj platformę i Internet.

  3. W sekcji Przekierowanie URI wprowadź https://token.botframework.com/.auth/web/redirect i wybierz Konfiguracja.

    Ta czynność powoduje powrót do strony Konfiguracje platformy.

  4. W sekcji Przekierowanie URI dla platformy Sieć wybierz Dodaj URI.

  5. Wprowadź https://europe.token.botframework.com/.auth/web/redirect i zapisz.

    Uwaga

    W okienku konfiguracji uwierzytelniania w Copilot Studio może być pokazywany następujący adres URL przekierowywania: https://unitedstates.token.botframework.com/.auth/web/redirect. Użycie tego adresu URL powoduje niepowodzenie uwierzytelniania, w zamian należy użyć URI.

  6. W sekcji Przyznanie niejawne i przepływy hybrydowe wybierz zarówno tokeny Dostępu (używane dla przepływów niejawnych), jak i tokeny ID (używane dla przepływów niejawnych i hybrydowych).

  7. Wybierz pozycję Zapisz.

Generowanie klucza tajnego klienta

  1. W sekcji Zarządzaj wybierz pozycję Certyfikaty i sekrety.

  2. W sekcji Klucze tajne klienta wybierz pozycję Nowy klucz tajny klienta.

  3. (Opcjonalnie) Wprowadź opis. Jeden jest dostarczany, jeśli pozostawiono puste.

  4. Wybierz okres wygaśnięcia. Wybierz najkrótszy okres, który jest istotny dla życia Twojego agent.

  5. Aby utworzyć wpis tajny, wybierz pozycję Dodaj.

  6. Przechowuj Wartość klucza tajnego w zabezpieczonym pliku tymczasowym. Będzie on potrzebny podczas późniejszej konfiguracji uwierzytelniania agent.

Wskazówka

Nie opuszczaj strony przed skopiowaniem wartości klucza tajnego klienta. Jeśli to zrobisz, ta wartość jest zamaskowana i trzeba wygenerować nowy klucz tajny klienta.

Konfiguruj ręczne uwierzytelnianie

  1. W Copilot Studio przejdź do Ustawień dla swojego agent i wybierz Zabezpieczenia.

  2. Wybierz Uwierzytelnianie.

  3. Wybierz Ręczne uwierzytelnianie.

  4. Pozostaw włączone Wymagaj logowania użytkowników.

  5. Wprowadź następujące wartości dla właściwości:

    • Dostawca usług Wybierz Azure Active Directory v2.

    • Identyfikator klienta: Wprowadź identyfikator aplikacji (klienta), który został skopiowany wcześniej z portalu Azure.

    • Klient systemu: wprowadź dane klienta wygenerowane wcześniej z portalu Azure.

    • Zakresy: Wprowadź profile openid.

  6. Wybierz Zapisz, aby zakończyć konfigurację.

Konfiguracja uprawnień API

  1. Przejdź do obszaru Uprawnienia interfejsu API.

  2. Wybierz opcję Przyznawanie zgody administratora <Nazwa dzierżawy>, a następnie wybierz Tak. Jeśli przycisk jest niedostępny, może być konieczne poproszenie administratora dzierżawy o wprowadzenie go za Ciebie.

    Zrzut ekranu okna uprawnień API z wyróżnionym uprawnienie dzierżawcy.

    Uwaga

    W celu uniknięcia udzielania zgody przez użytkowników dla każdej aplikacji, administrator globalny, administrator aplikacji lub administrator aplikacji w chmurze może przyznać zgodę na poziomie całej dzierżawy na rejestrację aplikacji.

  3. Wybierz opcję Dodaj uprawnienie, a następnie wybierz Microsoft Graph.

    Zrzut ekranu okna uprawnień API żądań z wyróżnionym Microsoft Graph.

  4. Wybieranie delegowanych uprawnień.

    Zrzut ekranu z wyróżnionymi uprawnieniami delegowanymi.

  5. Rozwiń uprawnienia OpenId i włącz openid i profile.

    Zrzut ekranu z wyróżnionymi uprawnieniami OpenId, openid i profilem.

  6. Wybierz Przyznaj uprawnienia.

Zdefiniuj zakres niestandardowy dla swojego agent

Zakresy umożliwiają określenie ról użytkowników i administratorów oraz praw dostępu. Tworzysz niestandardowy zakres dla rejestracji aplikacji kanwy, która zostanie utworzona w późniejszym kroku.

  1. Wybierz opcję Uwidacznianie interfejsu API i następnie wybierz Dodaj zakres.

    Zrzut ekranu z ujawnionym identyfikatorem API i wyróżnionym przyciskiem Dodaj zakres.

  2. Określ następujące właściwości. Pozostałe właściwości można pozostawić puste.

    Właściwości Wartość
    Nazwa zakresu Wprowadź nazwę, która ma sens w Twoim środowisku, na przykład Test.Read
    Kto może wyrazić zgodę? Wybierz Administratorzy i użytkownicy
    Zgodę administratora wyświetlana nazwa Wprowadź nazwę, która ma sens w Twoim środowisku, na przykład Test.Read
    Opis zgody administratora Wprowadź Allows the app to sign the user in.
    Stan Wybierz opcję Włącz

  3. Wybierz Dodaj zakres.

Konfigurowanie uwierzytelniania w Copilot Studio

  1. W Copilot Studio, w sekcji Ustawienia wybierz Bezpieczeństwo>Uwierzytelnianie.

  2. Wybierz Ręczne uwierzytelnianie.

  3. Pozostaw włączone Wymagaj logowania użytkowników.

  4. Wybierz Dostawcę usług i podaj wymagane wartości. Zobacz Konfigurowanie ręczne uwierzytelniania użytkownika w usłudze Copilot Studio.

  5. Wybierz pozycję Zapisz.

Porada

Adres URL wymiany tokenu jest używany do wymiany tokenu W imieniu (OBO) dla żądanego tokenu dostępu. Aby uzyskać dalsze informacje, zobacz Konfigurowanie informacji dotyczących logowania jednokrotnego w usłudze Microsoft Entra ID.

Uwaga

Zakresy powinny zawierać profile openid i następujące, w zależności od przypadku użycia:

  • Sites.Read.All Files.Read.All dla SharePoint
  • Adres URL programu ExternalItem.Read.All dla połączenia Graph
  • https://[OrgURL]/user_impersonation dla węzłów prompt i danych strukturalnych Dataverse
  • Na przykład dane struktury Dataverse lub węzeł prompt powinny mieć następujące zakresy: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Przetestuj swojego agenta

  1. Opublikuj swój agent.

  2. W okienku Test agent wyślij wiadomość na adres agent.

  3. Gdy agent odpowie, wybierz pozycję Zaloguj się.

    Otworzy się nowa karta przeglądarki, która poprosi Cię o zalogowanie.

  4. Zaloguj się, a następnie skopiuj wyświetlany kod sprawdzania poprawności.

  5. Wklej kod na czacie agent, aby zakończyć proces logowania.

    Zrzut ekranu przedstawiający pomyślne uwierzytelnienie użytkownika w konwersacji agent z wyróżnionym kodem weryfikacyjnym.