Поделиться через


Настройка проверки подлинности пользователя в Copilot Studio

Аутентификация позволяет пользователям входить в систему, предоставляя вашему агенту доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с любым поставщиком удостоверений OAuth2, например Google или Facebook.

Заметка

В Microsoft Teams можно настроить агент Copilot Studio, чтобы обеспечить возможности аутентификации, так что пользователи могут войти в систему с Microsoft Entra ID или любым поставщиком удостоверений OAuth2, таким как учетная запись Microsoft или Facebook.

Вы можете добавить аутентификацию пользователя в темы при редактировании темы.

Внимание!

Изменения в конфигурации аутентификации вступают в силу только после того, как вы опубликуете свой агент. Обязательно спланируйте заранее, прежде чем вносить изменения в аутентификацию своего агента.

Выберите вариант аутентификации

Copilot Studio поддерживает несколько вариантов аутентификации. Выберите, который подходит под ваши требования.

  1. Перейдите в раздел Параметры для вашего агента и выберите Безопасность.

  2. Выберите Аутентификация.

    Доступны следующие варианты аутентификации:

  3. Выберите Сохранить.

Без аутентификации

Отсутствие аутентификации означает, что ваш агент не требует от пользователей входа в систему при взаимодействии с агентом. Конфигурация без аутентификации означает, что ваш агент может получить доступ только к общедоступной информации и ресурсам. Классические чат-боты по умолчанию настроены так, чтобы не требовать аутентификации.

Внимание

Если выбрать параметр Без аутентификации , любой, у кого есть ссылка, сможет общаться и взаимодействовать с вашим ботом или агент.

Рекомендуется применять проверку подлинности, особенно если вы используете бот или агент в организации или для определенных пользователей, наряду с другими механизмами контроля безопасности и управления.

Проверка подлинности через Майкрософт

Важно

Когда выбран параметр Аутентификация с помощью Microsoft, все каналы, кроме канала Teams, отключаются.

Кроме того, параметр Аутентификация с помощью Microsoft недоступен для агентов, интегрированных с Dynamics 365 Customer Service.

В этой конфигурации автоматически настраивается аутентификация Microsoft Entra ID для Teams, без необходимости ручной настройки. Поскольку аутентификация Teams сама идентифицирует пользователя, пользователям не предлагается войти в систему, пока они находятся в Teams, если только вашему агенту не требуется расширенная область.

С этим параметром доступен только канал Teams. Если вам нужно опубликовать агент в других каналах, но все равно нужна аутентификация для вашего агента, выберите Аутентификация вручную.

Если вы выберете вариант Аутентификация с помощью Microsoft, на холсте разработки доступны следующие переменные:

  • User.ID
  • User.DisplayName

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации пользователя в темы.

Переменные User.AccessToken и User.IsLoggedIn недоступны с этим параметром. Если вам нужен токен аутентификации, используйте вариант Аутентификация вручную.

Если вы измените аутентификацию с Аутентификация вручную на Аутентификация с помощью Microsoft, а ваши темы содержат переменные User.AccessToken или User.IsLoggedIn, они отображаются как неизвестные переменные после изменения. Обязательно исправьте все темы с ошибками, прежде чем опубликовать своего агента.

Проверка подлинности вручную

Copilot Studio поддерживает следующие поставщики аутентификации в разделе Аутентификация вручную:

  • Azure Active Directory
  • Azure Active Directory v2
  • Azure Active Directory v2 с сертификатами
  • Универсальный OAuth 2 — любой поставщик удостоверений, соответствующий стандарту OAuth2

Если настроить аутентификацию вручную на холсте разработки доступны следующие переменные:

  • User.Id
  • User.DisplayName
  • User.AccessToken
  • User.IsLoggedIn

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации пользователя в темы.

После сохранения конфигурации обязательно опубликуйте свой агент, чтобы изменения вступили в силу.

Заметка

  • Изменения аутентификации вступают в силу только после публикации агента.
  • Этим параметром можно управлять с помощью соответствующего административного элемента управления в Power Platform. Когда элемент управления включен, он предотвращает включение или выключение параметра Аутентификация вручную в Copilot Studio. Этот элемент управления всегда включен, и параметр Аутентификация вручную нельзя изменить в Copilot Studio.

Обязательный вход пользователя и совместное использование агента

Требовать от пользователей входа в систему контролирует, нужно ли пользователю войти в систему перед разговором с агентом. Мы настоятельно рекомендуем вам включить этот параметр для агентов, которым требуется доступ к конфиденциальной или ограниченной информации.

Этот параметр недоступен для вариантов Без аутентификации и Аутентификация с помощью Microsoft.

Заметка

Этот параметр также невозможно настроить, если политика DLP в центре администрирования Power Platform настроена на требование аутентификации. Дополнительные сведения см. в разделе Пример защиты от потери данных — требование проверки подлинности пользователей в агентах.

Если вы отключите этот параметр, ваш агент не просит пользователей войти в систему, пока не встретит тему, требующую от них этого.

Когда вы включаете этот параметр, он создает системную тему с именем Требовать входа для пользователей. Этот тема актуальна только для параметра Аутентификация вручную. Пользователи всегда проходят проверку подлинности в Teams.

Тема Требовать входа для пользователей автоматически запускается для любого пользователя, который разговаривает с агентом без аутентификации. Если пользователю не удается войти в систему, тема перенаправляет в системную тему Эскалация.

Тема доступна только для чтения и не может быть изменена. Чтобы увидеть, выберите Перейти к холсту разработки.

Управление тем, кто может общаться с агентом в организации

Комбинация параметра аутентификации и параметра Требовать входа для пользователей агента определяет, можете ли вы поделиться агентом, чтобы контролировать, кто в вашей организации может общаться с вашим агентом, а кто нет. Параметр аутентификации не влияет на общий доступ к агенту для совместной работы.

  • Без аутентификации: любой пользователь, у которого есть ссылка на агент (или он может найти ее, например, на вашем сайте), может общаться с ним. Вы не можете контролировать, какие пользователи в вашей организации могут общаться с агентом.

  • Аутентификация с помощью Microsoft: агент работает только в канале Teams. Поскольку пользователь всегда входит в систему, параметр Требовать входа для пользователей включен и не может быть отключен. Вы можете использовать общий доступ к агенту, чтобы контролировать, кто может общаться с агентом в вашей организации.

  • Аутентификация вручную:

    • Если поставщик услуг либо Azure Active Directory, либо Microsoft Entra ID, вы можете включить Требовать входа для пользователей, чтобы контролировать, кто в вашей организации может общаться с агентом, используя общий доступ к агенту.

    • Если поставщик услуг — Универсальный OAuth2, вы можете включить или выключить Требовать входа для пользователей. Когда он включен, пользователь, вошедший в систему, может общаться с агентом. Вы не можете контролировать, какие конкретные пользователи в вашей организации могут общаться с агентом, используя общий доступ к агентам.

Если параметр аутентификации агента не может контролировать, кто может общаться с ним, выберите Общий доступ на странице обзора агента, сообщение информирует, что с агентом может общаться любой желающий.

Поля аутентификации вручную

Ниже приведены все поля, которые вы можете увидеть при настройке аутентификации вручную. Какие поля вы увидите, зависит от вашего выбора для поставщика услуг.

Имя поля Описание
Шаблон URL-адреса авторизации Шаблон URL-адреса для авторизации, как он определен вашим поставщиком удостоверений. Например: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Шаблон строки запроса URL-адреса авторизации Шаблон запроса для авторизации, определенный вашим поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}).
Client ID Ваш идентификатор клиента, полученный от поставщика удостоверений.
Client secret Ваш секрет клиента, полученный при создании регистрации приложения поставщика удостоверений.
Обновить шаблон основного текста Шаблон для текста обновления (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}).
Обновить шаблон строки запроса URL-адреса Разделитель строки запроса URL-адреса обновления для URL-адреса маркера, обычно знак вопроса (?).
Обновить шаблон URL-адреса Шаблон URL для обновления; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Разделитель списка областей Символ разделителя для списка областей. Пустые места в этом поле не поддерживаются.1
Области Список областей, которые должны быть у пользователей после входа в систему. Используйте Разделитель списка областей для разделения нескольких областей.1 Устанавливайте только необходимые области и следуйте принципу управления доступом с наименьшими привилегиями.
Поставщик услуг Поставщик услуг, которого вы хотите использовать для аутентификации. Для получения дополнительной информации см. раздел Универсальные поставщики OAuth.
Идентификатор клиента Ваш идентификатор клиента Microsoft Entra ID. Прочтите Использование существующего клиента Microsoft Entra ID, чтобы узнать, как найти свой идентификатор клиента.
Шаблон текста маркера Шаблон для текста маркера. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
URL-адрес обмена токенами (обязательно для единого входа) Это необязательное поле используется, когда вы настраиваете единый вход.
Шаблон URL-адреса токена Шаблон URL для маркеров, как предоставляется вашим поставщиком удостоверений; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Шаблон строки запроса URL-адреса токена Разделитель строки запроса для URL-адреса маркера, обычно знак вопроса (?).

1 Вы можете использовать области в поле Области, если это требуется поставщику удостоверений. В этом случае введите запятую (,) в Разделитель списка областей и введите пробелы в поле Области.

Отключение аутентификации

  1. Открыв агент, выберите Настройки в верхней строке меню.

  2. Выберите Безопасность, затем выберите Аутентификация.

  3. Выберите Без аутентификации.

    Если в теме используются переменные аутентификации, они станут неизвестными переменными. Перейдите на страницу Темы, чтобы увидеть, в каких темах есть ошибки, и исправьте их перед публикацией.

  4. Опубликуйте агент.

Внимание!

Если в агент есть действия , настроенные на требование учетных данных пользователей, не отключайте аутентификацию на уровне агент, так как это помешает работе этих действий.