Udostępnij za pośrednictwem

Konfigurowanie zabezpieczeń kanału sieci web i kanału Direct Line

  • Artykuł

Po utworzeniu identyfikatora Copilot Studio agent jest on natychmiast dostępny w witrynie demonstracyjnej i kanałach witryny niestandardowej dla każdego, kto zna identyfikator agent. Te kanały są dostępne domyślnie i nie jest wymagana żadna konfiguracja.

Dla aplikacji Microsoft Teams aplikacji możesz skonfigurować zaawansowane opcje zabezpieczeń kanału internetowego.

Uwaga

W przypadku posiadania licencji tylko Teams, nie możesz tworzyć wpisów tajnych, aby umożliwić dostęp bezpieczny. Tokeny bezpiecznego dostępu są tworzone automatycznie dla użytkownika, a bezpieczny dostęp jest domyślnie włączony.

Użytkownicy mogą znaleźć identyfikator agent bezpośrednio z poziomu Copilot Studio lub otrzymując go od kogoś. Ale w zależności od możliwości i Ważność agent może to nie być pożądane.

Dzięki zabezpieczeniom opartym na Direct Line możesz umożliwić dostęp tylko do lokalizacji, które kontrolujesz, włączając bezpieczny dostęp za pomocą wpisów tajnych lub tokenów Direct Line.

Możesz także wymieniać i regenerować wpisy tajne i odświeżać tokeny, a także łatwo wyłączyć bezpieczny dostęp, jeśli nie chcesz już go używać.

Notatka

Copilot Studio Używa kanału Bot Framework Direct Line , aby połączyć Twoją stronę internetową lub aplikację z agent.

Włączanie lub wyłączanie zabezpieczeń kanału internetowego

Możesz wymusić użycie wpisów tajnych i tokenów dla każdej osoby agent.

Po włączeniu tej opcji kanały muszą wymagać, aby klient uwierzytelniał swoje żądania albo używając wpisu tajnego, albo za pomocą tokenu wygenerowanego przy użyciu wpisu tajnego uzyskanego w środowisku uruchomieniowym.

Wszelki dostęp do agent, który nie zapewnia tego środka bezpieczeństwa, nie będzie działać.

  1. Pod numerem agent w obszarze Ustawienia wybierz pozycję Zabezpieczenia. Następnie wybierz kafelek Zabezpieczenia kanału sieci Web.

    Zrzut ekranu przedstawiający zabezpieczenia kanału internetowego podświetlone w menu wysuwanym Ustawienia.

  2. Włącz przełącznik Wymagaj bezpiecznego dostępu na Włączone.

    Zrzut ekranu pokazujący stronę Zabezpieczenia kanału sieci Web.

Ostrzeżenie

Po włączeniu lub wyłączeniu opcji „Wymagaj bezpiecznego dostępu” rozpowszechnienie ustawień i ich zastosowanie może zająć systemowi do dwóch godzin. Do tego momentu poprzednie ustawienie będzie aktywne. Nie musisz publikować agent, aby ta zmiana została wprowadzona.

Powinieneś planować z wyprzedzeniem, aby uniknąć niezamierzonego ujawnienia swojego agent.

Jeśli chcesz wyłączyć opcję zabezpieczeń kanału internetowego, możesz to zrobić, przełączając Wymagaj bezpiecznego dostępu na Wyłączony. Wyłączanie bezpiecznego dostępu może potrwać maksymalnie dwie godziny do propagowania.

Zrzut ekranu pokazujący komunikat potwierdzenia podczas wyłączania bezpiecznego dostępu, który zawiera tę akcję, można renderować pokazową witrynę sieci Web i kanał Direct Line bez użycia tajnego wpisu lub dostępnego tokenu. Wykonanie tej czynności może potrwać do dwóch godzin.

Korzystanie z wpisów tajnych i tokenów

Tworząc aplikację typu usługa-usługa, najprostszym rozwiązaniem może być określenie wpisu tajnego w żądaniach nagłówka autoryzacji.

Jeśli piszesz aplikację, w której klient działa w przeglądarce internetowej lub aplikacji mobilnej, albo w innym przypadku kod może być widoczny dla klientów, musisz wymienić swój tajny wpis na token. Jeśli nie użyjesz tokena, Twój tajny wpis może zostać naruszony. Po otrzymaniu przez użytkownika żądania pobrania tokenu usługi należy określić wpis tajny w nagłówku autoryzacji.

Tokeny działają tylko dla pojedynczej konwersacji i wygasną, o ile nie zostaną odświeżone.

Wybierz model zabezpieczeń, który najlepiej pasuje do danej sytuacji.

Ostrzeżenie

Zdecydowanie odradzamy ujawnianie tajnego wpisu w jakimkolwiek kodzie działającym w przeglądarce, zakodowanym na stałe lub przesłanym przez połączenie sieciowe.

Uzyskanie tokenu przy użyciu wpisu tajnego w kodzie usługi jest najbezpieczniejszym sposobem na chronić agent Twoje Copilot Studio #.

Uzyskiwanie tajnych wpisów

Jeśli wpis tajny jest potrzebny, można określić go w żądaniach nagłówka autoryzacji aplikacji lub w podobny sposób.

  1. W menu nawigacji, w sekcji Ustawienia wybierz Zabezpieczenia. Następnie wybierz kafelek Zabezpieczenia kanału sieci Web.

  2. Wybierz Kopiuj dla Tajny wpis 1 lub Tajny wpis 2, aby skopiować do schowka. Wybierz ikonę widoczności ikona widoczności ikona Widoczność., aby odsłonić dany klucz tajny. Zanim będzie można go ujawnić, pojawi się ostrzeżenie.

Zamiana tajnych wpisów

Jeśli chcesz zmienić wpis tajny używany przez agent, możesz to zrobić bez żadnych przestojów ani przerw.

Copilot Studio udostępnia dwa sekrety, które działają jednocześnie. Możesz zamienić używany tajny wpis na inny. Gdy sekrety zostaną zamienione, a Twoi użytkownicy połączą się za pomocą nowego tajnego wpisu, możesz bezpiecznie odtworzyć sekret.

Wygeneruj ponownie wpis tajny

Aby ponownie wygenerować wygenerowanie danych, należy wybrać opcjęRegenerowanie obok wpisu tajnego.

Ostrzeżenie

Każdy użytkownik połączony przy użyciu oryginalnego wpisu tajnego lub tokenu uzyskanego z tego wpisu tajnego zostanie odłączony.

Generowanie tokenu

Możesz wygenerować token, którego można użyć podczas rozpoczynania pojedynczej konwersacji agent. Aby uzyskać więcej informacji, zobacz sekcję Pobieranie Direct Line tokenu w temacie Publikowanie agent w aplikacjach mobilnych lub niestandardowych.

  1. Uzyskiwanie tajnego wpisu.

  2. Wyślij następujące żądanie w kodzie usługi, aby wymienić tajny wpis na token. Zamień <SECRET> na wartość wpisu tajnego uzyskanego w Kroku 1.

    POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer <SECRET>

Poniższe fragmenty kodu zawierają przykłady wygenerowanego żądania tokenu i jego odpowiedzi.

Przykłady generowania żądania tokenu

POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0

Przykłady generowania odpowiedzi tokenu

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn",
  "expires_in": 1800
}

Jeśli żądanie zakończy się pomyślnie, odpowiedź zawiera token ważny dla jednej konwersacji, a wartość expires_in wskazuje liczbę sekund do wygaśnięcia tokenu.

Aby token był dalej przydatny, należy odświeżyć token przed jego wygaśnięciem.

Odświeżanie tokenu

Token można odświeżać dowolną liczbę razy, o ile nie wygasł.

Nie można odświeżyć tokenu, który wygasł.

Aby odświeżyć token, należy wygenerować poniższe żądanie i zastąpić <TOKEN TO BE REFRESHED> tokenem, który ma być odświeżony.

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer <TOKEN TO BE REFRESHED>

Poniższe fragmenty zawierają przykłady żądania odświeżanie tokenu i odpowiedzi.

Przykładowe żądanie odświeżania

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer CurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn

Przykładowa odpowiedź odświeżania

Jeśli żądanie zakończy się pomyślnie, odpowiedź zawiera token ważny dla tej samej konwersacji co poprzedni token, a wartość expires_in wskazuje liczbę sekund do wygaśnięcia nowego tokenu.

Aby nowy token pozostał użyteczny, należy go ponownie odświeżyć, zanim wygaśnie.

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xniaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0",
  "expires_in": 1800
}

Więcej informacji na temat odświeżania tokenu znajduje się w sekcji Odświeżenie tokenu Direct Line w temacie Interfejs API Direct Line - Uwierzytelnianie.

Powiązana zawartość