Konfigurowanie uwierzytelniania użytkownika w usłudze Copilot Studio
Uwierzytelnianie umożliwia użytkownikom logowanie się, dając agent dostęp do zastrzeżonych zasobów lub informacji. Użytkownicy mogą logować się przy użyciu Tożsamości Microsoft Entra lub dowolnego dostawcy tożsamości OAuth2, takiego jak Google lub Facebook.
Notatka
W Microsoft Teams programie można skonfigurować usługę # Copilot Studio agent, aby zapewnić możliwości uwierzytelniania, dzięki czemu użytkownicy mogą logować się przy użyciu identyfikatora Microsoft Entra lub dowolnego dostawcy tożsamości OAuth2, takiego jak Microsoft lub Facebook konto.
Możesz dodać uwierzytelnianie użytkownika do tematów podczas edytowania tematu.
Ważne
Zmiany w konfiguracji uwierzytelniania zaczną obowiązywać dopiero po opublikowaniu agent. Pamiętaj, aby zaplanować z wyprzedzeniem, zanim wprowadzisz zmiany w uwierzytelnieniu w swoim agent.
Wybierz opcję uwierzytelniania
Program Copilot Studio obsługuje szereg opcji uwierzytelniania. Wybieranie jednej dopasowanej do potrzeb.
Przejdź do Ustawień dla swojego agent i wybierz Zabezpieczenia.
Wybierz Uwierzytelnianie.
Dostępne są następujące opcje uwierzytelnienia:
Wybierz pozycję Zapisz.
Bez uwierzytelniania
Brak uwierzytelniania oznacza, że agent nie wymaga od użytkowników logowania się podczas interakcji z agent. Nieuwierzytelniona konfiguracja oznacza, że agent może uzyskać dostęp tylko do informacji i zasobów publicznych. Klasyczne chatboty są domyślnie skonfigurowane tak, aby nie wymagały uwierzytelniania.
Uwaga
Wybranie opcji Brak uwierzytelniania umożliwia każdemu, kto ma połączyć, czatowanie i interakcję z Twoim bot lub agent.
Zalecamy zastosowanie uwierzytelniania, zwłaszcza jeśli używasz bot lub agent w organizacji lub dla określonych użytkowników, wraz z innymi mechanizmami kontroli zabezpieczeń i ładu.
Uwierzytelnij za pomocą usługi firmy Microsoft
Ważne
Po wybraniu opcji Uwierzytelnij z Microsoft wszystkie kanały oprócz kanału Teams zostaną wyłączone.
Ponadto opcja Uwierzytelnij za pomocą Microsoft nie jest dostępna dla agentów zintegrowanych z Dynamics 365 obsługa klienta.
Automatycznie konfiguruje uwierzytelnianie Tożsamości Microsoft Entra dla Teams bez konieczności ręcznej konfiguracji. Ponieważ uwierzytelnianie usługi Teams samo identyfikuje użytkownika, użytkownicy nie są monitowani o zalogowanie się, gdy są w usłudze Teams, chyba że agent wymaga rozszerzonego zakresu.
Po jej wybraniu ta opcja jest dostępna tylko w kanale Teams. Jeśli chcesz opublikować swój agent na innych kanałach, ale nadal chcesz uwierzytelnić swoją agent, wybierz opcję Uwierzytelnij ręcznie.
Jeśli wybierzesz opcję Uwierzytelnij z Microsoft, następujące zmienne są dostępne w kanwach tworzenia:
User.IDUser.DisplayName
Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do tematów.
Zmienne User.AccessToken i User.IsLoggedIn są niedostępne w przypadku tej opcji. Jeśli potrzebny jest token uwierzytelniania, należy użyć opcji Uwierzytelnianie ręczne.
Jeśli zmienisz uwierzytelnienie z Ręczne uwierzytelnienie na Uwierzytelnij z Microsoft, a tematy zawierają zmienne User.AccessToken lub User.IsLoggedIn, po zmianie są one wyświetlane jako zmienne Nieznana. Upewnij się, że poprawiłeś wszystkie tematy z błędami, zanim opublikujesz swój agent.
Uwierzytelnij ręcznie
Copilot Studio obsługuje następujących dostawców uwierzytelniania w opcji Uwierzytelnij ręcznie:
- Azure Active Directory
- Azure Active Directory w wersji 2
- Azure Active Directory v2 z certyfikatami
- Generic OAuth 2 - dowolny dostawca tożsamości zgodny ze standardem OAuth2
Następujące zmienne są dostępne w kanwach tworzenia po skonfigurowaniu uwierzytelnienia ręcznego:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do tematów.
Po zapisaniu konfiguracji opublikuj swój agent, aby zmiany zaczęły obowiązywać.
Notatka
- Zmiany uwierzytelniania zaczynają obowiązywać dopiero po opublikowaniu agent.
- To ustawienie może być kontrolowane przez odpowiednią kontrolkę administratora w Power Platform. Jeśli formant jest włączony, uniemożliwia to włączyć lub wyłączyć ustawienie Uwierzytelnianie ręczne w obrębie Copilot Studio. Formant jest zawsze włączony, a ustawienia Uwierzytelnianie ręczne nie można modyfikować w Copilot Studio.
Wymagane logowanie użytkownika i udostępnianie agent
Wymagaj od użytkowników zalogowania określa , czy użytkownik musi się zalogować przed rozmową z agent. Zdecydowanie zalecamy włączenie tego ustawienia dla agentów, którzy muszą uzyskać dostęp do poufnych lub ograniczonych informacji.
Ta opcja nie jest dostępna dla opcji Brak uwierzytelniania i Uwierzytelnij za pomocą Microsoft.
Uwaga
Tej opcji nie można konfigurować również wtedy, gdy skonfigurowano zasady DLP w centrum administracyjnym Power Platform jako wymagane uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Przykład ochrony przed utratą danych — wymaganie uwierzytelniania użytkownika końcowego w agentach.
Jeśli wyłączysz tę opcję, agent nie będzie prosić użytkowników o zalogowanie się, dopóki nie napotka temat, który tego od nich wymaga.
Po włączeniu tej opcji tworzony jest temat o tytule Wymagaj logowania użytkownika. To temat ma znaczenie tylko w przypadku ustawienia Uwierzytelniania ręcznego. Użytkownicy są zawsze uwierzytelniani w zespołach.
Opcja Wymagaj od użytkowników zalogowania się temat jest automatycznie uruchamiana dla każdego użytkownika, który rozmawia z agent bez uwierzytelnienia. Jeśli użytkownik się nie zaloguje, temat przekieruje do tematu systemowego Eskalacja.
Temat jest tylko do odczytu i nie można go dostosować. Aby go wyświetlić, wybierz opcję Przejdź do kanwy tworzenia.
Kontrolowanie, kto może czatować z agent w organizacji
Uwierzytelnianie agent i ustawienie Wymagaj od użytkownika zalogowania się w połączeniu określa, czy możesz udostępnić agent , aby kontrolować, kto w Twojej organizacji może z nim rozmawiać. Ustawienie uwierzytelniania nie ma wpływu na udostępnianie agent do współpracy.
Brak uwierzytelniania: każdy użytkownik, który ma połączyć do agent (lub może go znaleźć, na przykład w Twojej witrynie), może z nim rozmawiać. Nie możesz kontrolować, którzy użytkownicy w Twojej organizacji mogą czatować z agent.
Uwierzytelnij się za pomocą Microsoft: agent działa tylko w kanale Teams. Ponieważ użytkownik jest zawsze zalogowany, ustawienie Wymagaj logowania użytkowników jest włączone i nie można go wyłączyć. Możesz użyć udostępniania agent, aby kontrolować, kto w Twojej organizacji może rozmawiać z agent.
Uwierzytelnij ręcznie:
Jeśli usługodawcą jest Azure Active Directory identyfikator lub Microsoft Entra ID, możesz włączyć opcję Wymagaj od użytkowników logowania , aby kontrolować, kto w organizacji może czatować z agent przy użyciu udostępniania agent.
Jeśli dostawcą usługi jest Ogólny OAuth2, można włączyć lub wyłączyć Wymagaj logowania użytkownika. Po włączeniu ta opcja użytkownik, który się zaloguje, może rozmawiać z agent. Nie możesz kontrolować, którzy konkretni użytkownicy w Twojej organizacji mogą czatować z agent przy użyciu udostępniania agent.
Jeśli ustawienie uwierzytelniania agent nie może kontrolować, kto może z nim rozmawiać, jeśli wybierzesz opcję Udostępnij na stronie przeglądu agent, pojawi się komunikat informujący, że każdy może rozmawiać z Twoim agent.
Pola ręcznego uwierzytelniania
Poniższe pola są dostępne podczas konfigurowania uwierzytelniania ręcznego. Zakres wyświetlonych pól zależy od wyboru dostawcy usługi.
| Nazwa pola | opis |
|---|---|
| Szablon adresu URL autoryzacji | Szablon adresu URL na potrzeby autoryzacji, który jest definiowany przez dostawcę tożsamości. Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Szablon ciągu zapytania dotyczącego adresu URL autoryzacji | Szablon adresu zapytania autoryzacji podany przez dostawcę tożsamości. Klucze w szablonie ciągu zapytania różnią się w zależności od dostawcy tożsamości (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Identyfikator klienta uzyskany od dostawcy tożsamości. |
| Client secret | Klucz tajny klienta uzyskany podczas tworzenia rejestracji aplikacji dla dostawcy tożsamości. |
| Szablon odświeżania treści | Szablon treści odświeżenia (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Szablon ciągu zapytania dotyczącego adresu URL odświeżania | Separator ciągów zapytania odświeżenia adresu URL dla adresu URL tokenu, zwykle znak zapytania (?). |
| Szablon adresu URL odświeżania | Szablon adresu URL do odświeżenia; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Ogranicznik listy zakresów | Znak separatora listy zakresów. W tym polu nie są obsługiwane puste spacje.1 |
| Zakresy | Lista zakresów, które użytkownicy mają mieć po zalogowaniu. Użyj ogranicznika listy zakresów do oddzielenia wielu zakresów.1 Ustaw tylko niezbędne zakresy i postępuj zgodnie z zasadą kontroli dostępu z najmniejszymi uprawnieniami. |
| Dostawca usług | Dostawca usługi, którego chcesz użyć do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Ogólni dostawcy usługi OAuth. |
| Identyfikator dzierżawy | Identyfikator dzierżawy Tożsamości Microsoft Entra. Zapoznaj się z tematem Korzystanie z istniejącej dzierżawy Tożsamości Microsoft Entra w celu dowiedzieć się, jak znaleźć identyfikator dzierżawcy. |
| Szablon treści tokenu | Szablon treści tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Adres URL wymiany tokenów (wymagany w przypadku logowania jednokrotnego) | Jest to opcjonalne pole używane podczas konfigurowania logowania jednokrotnego. |
| Szablon adresu URL tokenu | Szablon adresu URL tokenu podany przez dostawcę tożsamości; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Szablon ciągu zapytania dotyczącego adresu URL tokenu | Separator ciągów zapytania dla adresu URL tokenu, zwykle znak zapytania (?). |
1 Możesz użyć spacji w polu Zakresy, jeśli wymaga tego dostawca tożsamości. W tym przypadku wprowadź przecinek (,) w Ograniczniku listy zakresów i wprowadź spacje w polu Zakresy.
Wyłącz uwierzytelnianie
Po otwarciu agent wybierz Ustawienia na górnym pasku menu.
Wybierz Bezpieczeństwo, a następnie wybierz Uwierzytelnianie.
Wybierz Brak uwierzytelnienia.
Jeśli zmienne uwierzytelniania są używane w temacie, staną się Nieznanymi zmiennymi. Przejdź na stronę Tematy, aby sprawdzić, które tematy zawierają błędy, i poprawić je przed opublikowaniem.
Opublikuj agent.
Ważne
Jeśli agent ma akcje skonfigurowane do używania poświadczeń użytkownika końcowego, nie wyłączaj uwierzytelniania na poziomie agent, ponieważ uniemożliwiłoby to działanie tych akcji.