Konfigurowanie uwierzytelniania użytkownika w usłudze Copilot Studio
Uwierzytelnianie umożliwia użytkownikom zalogowanie się, zapewniając agentowi dostęp do zastrzeżonych zasobów lub informacji. Użytkownicy mogą logować się przy użyciu Tożsamości Microsoft Entra lub dowolnego dostawcy tożsamości OAuth2, takiego jak Google lub Facebook.
Notatka
W usłudze Microsoft Teams można skonfigurować agenta Copilot Studio w celu zapewnienia możliwości uwierzytelniania, tak aby użytkownicy mogli logować się przy użyciu identyfikatora Microsoft Entra ID lub dowolnego dostawcy tożsamości OAuth2, takiego jak konto Microsoft lub Facebook.
Możesz dodać uwierzytelnianie użytkownika do tematów podczas edytowania tematu.
Ważne
Zmiany konfiguracji uwierzytelniania zostaną uwzględnione dopiero po opublikowaniu agent. Przed wprowadzeniem zmian w agencie należy przemyśleć plan.
Wybierz opcję uwierzytelniania
Program Copilot Studio obsługuje szereg opcji uwierzytelniania. Wybieranie jednej dopasowanej do potrzeb.
Przejdź do Ustawień dla swojego agent i wybierz Zabezpieczenia.
Wybierz Uwierzytelnianie.
Dostępne są następujące opcje uwierzytelnienia:
Wybierz pozycję Zapisz.
Bez uwierzytelniania
Brak uwierzytelniania oznacza, że agent nie wymaga od użytkowników logowania się podczas interakcji z agentem. Nieuwierzytelniona konfiguracja oznacza, że agent może uzyskiwać dostęp tylko do informacji i zasobów publicznych. Klasyczne chatboty są domyślnie skonfigurowane tak, aby nie wymagały uwierzytelniania.
Uwaga
Wybranie opcji Bez uwierzytelniania pozwala każdemu, kto ma link, na czatowanie i interakcję z botem lub agentem.
Zalecamy stosowanie uwierzytelniania, zwłaszcza w przypadku korzystania z bota lub agenta w organizacji lub dla określonych użytkowników, wraz z innymi kontrolami bezpieczeństwa i zarządzania.
Uwierzytelnij za pomocą usługi firmy Microsoft
Ważne
Po wybraniu opcji Uwierzytelnij z Microsoft wszystkie kanały oprócz kanału Teams zostaną wyłączone.
Ponadto opcja Uwierzytelnij za pomocą Microsoft nie jest dostępna dla agentów zintegrowanych z Dynamics 365 Customer Service.
Automatycznie konfiguruje uwierzytelnianie Tożsamości Microsoft Entra dla Teams bez konieczności ręcznej konfiguracji. Ponieważ uwierzytelnianie Teams samo w sobie identyfikuje użytkownika, użytkownicy nie są monitowani o zalogowanie się, gdy są w Teams, chyba że Twój agent wymaga rozszerzonego zakresu.
Po jej wybraniu ta opcja jest dostępna tylko w kanale Teams. Jeśli musisz opublikować swojego agenta na innych kanałach, ale nadal chcesz uwierzytelnić swojego agenta, wybierz Uwierzytelnij ręcznie.
Jeśli wybierzesz opcję Uwierzytelnij z Microsoft, następujące zmienne są dostępne w kanwach tworzenia:
User.IDUser.DisplayName
Aby uzyskać więcej informacji na temat tych zmiennych i sposobu ich używania, zobacz temat Dodawanie uwierzytelniania użytkownika do tematów.
Zmienne User.AccessToken i User.IsLoggedIn są niedostępne w przypadku tej opcji. Jeśli potrzebny jest token uwierzytelniania, należy użyć opcji Uwierzytelnianie ręczne.
Jeśli zmienisz uwierzytelnienie z Ręczne uwierzytelnienie na Uwierzytelnij z Microsoft, a tematy zawierają zmienne User.AccessToken lub User.IsLoggedIn, po zmianie są one wyświetlane jako zmienne Nieznana. Przed opublikowaniem agenta należy poprawić tematy, które zawierają błędy.
Uwierzytelnij ręcznie
Copilot Studio obsługuje następujących dostawców uwierzytelniania w opcji Uwierzytelnij ręcznie:
- Azure Active Directory
- Azure Active Directory w wersji 2
- Azure Active Directory v2 z certyfikatami
- Generic OAuth 2 - dowolny dostawca tożsamości zgodny ze standardem OAuth2
Następujące zmienne są dostępne w kanwach tworzenia po skonfigurowaniu uwierzytelnienia ręcznego:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Aby uzyskać więcej informacji na temat tych zmiennych i sposobu ich używania, zobacz temat Dodawanie uwierzytelniania użytkownika do tematów.
Po zapisaniu konfiguracji opublikuj agenta, aby zmiany zaczęły obowiązywać.
Notatka
- Zmiany uwierzytelniania są uwzględniane tylko po opublikowaniu agenta.
- To ustawienie może być kontrolowane przez odpowiednią kontrolkę administratora w Power Platform. Jeśli formant jest włączony, uniemożliwia to włączyć lub wyłączyć ustawienie Uwierzytelnianie ręczne w obrębie Copilot Studio. Formant jest zawsze włączony, a ustawienia Uwierzytelnianie ręczne nie można modyfikować w Copilot Studio.
Wymagane logowanie użytkownika i udostępnianie agentów
Opcja Wymagaj logowania użytkowników określa, czy użytkownik musi się zalogować przed rozpoczęciem rozmowy z agentem. Zdecydowanie zalecamy włączenie tego ustawienia, kiedy agent ma uzyskać dostęp do poufnych lub zastrzeżonych informacji.
Ta opcja nie jest dostępna dla opcji Brak uwierzytelniania i Uwierzytelnij za pomocą Microsoft.
Uwaga
Tej opcji nie można konfigurować również wtedy, gdy skonfigurowano zasady DLP w centrum administracyjnym Power Platform jako wymagane uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Przykład ochrony przed utratą danych — wymaganie uwierzytelniania użytkownika w agentach.
Jeśli ta opcja zostanie wyłączona, agent nie będzie mógł logować się do momentu napotkania tematu, który tego wymaga.
Po włączeniu tej opcji tworzony jest temat o tytule Wymagaj logowania użytkownika. To temat ma znaczenie tylko w przypadku ustawienia Uwierzytelniania ręcznego. Użytkownicy są zawsze uwierzytelniani w zespołach.
Temat Wymaga logowania użytkownika jest automatycznie wyzwalany dla każdego użytkownika, który rozmawia z agentem bez uwierzytelnienia. Jeśli użytkownik się nie zaloguje, temat przekieruje do tematu systemowego Eskalacja.
Temat jest tylko do odczytu i nie można go dostosować. Aby go wyświetlić, wybierz opcję Przejdź do kanwy tworzenia.
Kontrola rozmów z agentem w organizacji
Kombinacja opcji uwierzytelniania agenta i Wymagaj zalogowania się użytkownika określa, czy możesz udostępnić agenta, aby kontrolować, kto w organizacji może z nim rozmawiać. Ustawienie uwierzytelniania nie ma wpływu na udostępnianie agenta do współpracy.
Brak uwierzytelniania: każdy użytkownik, który ma łącze do tego agenta (lub może go znaleźć; na przykład w witrynie internetowej), może z nim czatować. Nie można kontrolować, którzy użytkownicy w organizacji mogą czatować z agentem.
Uwierzytelnianie przy użyciu Microsoft: agent działa tylko w kanale Teams. Ponieważ użytkownik jest zawsze zalogowany, ustawienie Wymagaj logowania użytkowników jest włączone i nie można go wyłączyć. Możesz używać udostępniania agenta do kontrolowania, kto w organizacji może z agentem czatować.
Uwierzytelnij ręcznie:
Jeśli dostawcą usługi jest Azure Active Directory lub Microsoft Entra ID, można włączyć Wymagaj logowaniu użytkownika, aby kontrolować, kto w organizacji może czatować z agentem za pomocą udostępniania agenta.
Jeśli dostawcą usługi jest Ogólny OAuth2, można włączyć lub wyłączyć Wymagaj logowania użytkownika. Po włączeniu tej aplikacji użytkownik, który się loguje, może czatować z agentem. Nie można kontrolować, którzy konkretni użytkownicy w organizacji mogą czatować z agentem za pomocą udostępniania agenta.
Gdy ustawienie uwierzytelniania agenta nie może kontrolować, kto może czatować z botem, po wybraniu opcji Udostępnij na stronie głównej agenta pojawi się informacja, że dowolna osoba może czatować z agentem.
Pola ręcznego uwierzytelniania
Poniższe pola są dostępne podczas konfigurowania uwierzytelniania ręcznego. Zakres wyświetlonych pól zależy od wyboru dostawcy usługi.
| Nazwa pola | opis |
|---|---|
| Szablon adresu URL autoryzacji | Szablon adresu URL na potrzeby autoryzacji, który jest definiowany przez dostawcę tożsamości. Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Szablon ciągu zapytania dotyczącego adresu URL autoryzacji | Szablon adresu zapytania autoryzacji podany przez dostawcę tożsamości. Klucze w szablonie ciągu zapytania różnią się w zależności od dostawcy tożsamości (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Identyfikator klienta uzyskany od dostawcy tożsamości. |
| Client secret | Klucz tajny klienta uzyskany podczas tworzenia rejestracji aplikacji dla dostawcy tożsamości. |
| Szablon odświeżania treści | Szablon treści odświeżenia (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Szablon ciągu zapytania dotyczącego adresu URL odświeżania | Separator ciągów zapytania odświeżenia adresu URL dla adresu URL tokenu, zwykle znak zapytania (?). |
| Szablon adresu URL odświeżania | Szablon adresu URL do odświeżenia; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Ogranicznik listy zakresów | Znak separatora listy zakresów. W tym polu nie są obsługiwane puste spacje.1 |
| Zakresy | Lista zakresów, które użytkownicy mają mieć po zalogowaniu. Użyj ogranicznika listy zakresów do oddzielenia wielu zakresów.1 Ustaw tylko niezbędne zakresy i postępuj zgodnie z zasadą kontroli dostępu z najmniejszymi uprawnieniami. |
| Dostawca usług | Dostawca usługi, którego chcesz użyć do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Ogólni dostawcy usługi OAuth. |
| Identyfikator dzierżawy | Identyfikator dzierżawy Tożsamości Microsoft Entra. Zapoznaj się z tematem Korzystanie z istniejącej dzierżawy Tożsamości Microsoft Entra w celu dowiedzieć się, jak znaleźć identyfikator dzierżawcy. |
| Szablon treści tokenu | Szablon treści tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Adres URL wymiany tokenów (wymagany w przypadku logowania jednokrotnego) | Jest to opcjonalne pole używane podczas konfigurowania logowania jednokrotnego. |
| Szablon adresu URL tokenu | Szablon adresu URL tokenu podany przez dostawcę tożsamości; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Szablon ciągu zapytania dotyczącego adresu URL tokenu | Separator ciągów zapytania dla adresu URL tokenu, zwykle znak zapytania (?). |
1 Możesz użyć spacji w polu Zakresy, jeśli wymaga tego dostawca tożsamości. W tym przypadku wprowadź przecinek (,) w Ograniczniku listy zakresów i wprowadź spacje w polu Zakresy.
Wyłącz uwierzytelnianie
Po otwarciu agent wybierz Ustawienia na górnym pasku menu.
Wybierz Bezpieczeństwo, a następnie wybierz Uwierzytelnianie.
Wybierz Brak uwierzytelnienia.
Jeśli zmienne uwierzytelniania są używane w temacie, staną się Nieznanymi zmiennymi. Przejdź na stronę Tematy, aby sprawdzić, które tematy zawierają błędy, i poprawić je przed opublikowaniem.
Opublikuj agent.
Ważne
Jeśli agent ma akcje skonfigurowane tak, aby wymagały poświadczeń użytkownika, nie wyłączaj uwierzytelniania na poziomie agent, ponieważ uniemożliwiłoby to działanie tych akcji.