Поделиться через


Настройка единого входа с помощью Microsoft Entra ID

Copilot Studio поддерживает единый вход. Единый вход поддерживает помощника, поэтому чат-боты на вашем сайте могут выполнить вход в систему для клиентов, если они уже вошли на страницу или в приложение, где развернут помощник.

Например, помощник размещается в корпоративной интрасети или в приложении, в которое пользователь уже вошел.

Существует четыре основных шага для настройки единого входа для Copilot Studio:

  1. Создайте регистрацию приложения в Microsoft Entra ID для пользовательского холста.

  2. Определите настраиваемую область действия для вашего помощника.

  3. Настройка проверки подлинности в Copilot Studio для включения SSO.

  4. Настройте HTML-код настраиваемого холста, чтобы включить SSO.

Предварительные условия

Заметка

Чтобы настроить единый вход с использованием других поставщиков протокола OAuth 2.0, см. раздел Настройка единого входа с помощью поставщиков универсального протокола OAuth.

Поддерживаемые каналы

В следующей таблице описаны каналы, которые в настоящее время поддерживают SSO. Вы можете предложить поддержку для дополнительных каналов на форуме идей Microsoft Copilot Studio.

Канал Поддерживается
Каналы службы Azure Bot Неподдерживаемые
Пользовательский веб-сайт Поддерживается
Демонстрационный веб-сайт Неподдерживаемые
Facebook Неподдерживаемые
Microsoft Teams1 Поддерживается
Мобильное приложение Неподдерживаемые
Многоканальное взаимодействие для Customer Service2 Поддерживается

1 Если у вас также включен канал Teams, вам необходимо следовать инструкциям по настройке в документации Настройка единого входа с помощью Microsoft Entra ID для помощников в Microsoft Teams. Если вы не настроите параметры единого входа Teams в соответствии с инструкциями на упомянутой странице, проверка подлинности ваших пользователей всегда будет неуспешной при использовании канала Teams.

2 Поддерживается только канал чата в реальном времени. Дополнительная информация: Настройте передачи в Dynamics 365 Customer Service.

Важно

Единый вход в настоящее время не поддерживается, если помощник:

Однако единый вход поддерживается для помощников, которые были опубликованы на веб-сайте SharePoint как компонент SPFx.

Создание регистраций приложений для пользовательского веб-сайта

Чтобы включить систему единого входа, вам потребуются создать две отдельные регистрации приложений:

  • Регистрация приложения для аутентификации, которая позволяет Microsoft Entra ID аутентифицировать пользователя для вашего помощника
  • Регистрация приложения на основе холста, которая включает единый вход для вашей пользовательской веб-страницы

Мы не рекомендуем повторно использовать одну и ту же регистрацию приложения для помощника и пользовательского веб-сайта по соображениям безопасности.

  1. Выполните инструкции в разделе Настройка проверки подлинности пользователей с помощью Microsoft Entra ID, чтобы создать регистрацию аутентификации приложения.

  2. Повторите инструкции по созданию регистрации приложения аутентификации, чтобы создать вторую регистрацию приложения, которая будет служить регистрацией вашего приложения на основе холста.

  3. Добавьте идентификатор регистрации приложения на основе холста в регистрацию приложения аутентификации.

Добавление URL-адреса обмена токенами

Чтобы обновить настройки аутентификации Microsoft Entra ID в Copilot Studio, вам необходимо добавить URL-адрес обмена токенами, чтобы разрешить вашему приложению и Copilot Studio обмениваться информацией.

  1. На портале Azure в колонке регистрации приложения аутентификации перейдите по ссылке Предоставление API.

  2. В разделе Области выберите значок Копировать в буфер обмена.

  3. В меню навигации Copilot Studio в разделе Параметры выберите Безопасность, а затем выберите плитку Аутентификация.

  4. Для URL-адреса обмена токенами (требуется для SSO) вставьте область, которую вы скопировали ранее.

  5. Выберите Сохранить.

Настройка регистрации приложения на основе холста

  1. После создания регистрации приложения на основе холста перейдите на страницу Аутентификация, затем выберите Добавить платформу.

  2. В Конфигурации платформы выберите Добавить платформу, затем выберите Интернет.

  3. В разделе URI перенаправления введите URL-адрес своей веб-страницы, например, http://contoso.com/index.html.

    Снимок экрана: страница «Настройка Интернета».

  4. В разделе Потоки неявного предоставления и гибридные потоки включите оба маркера Маркеры доступа (используются для неявных потоков) и Маркеры идентификаторов (используемые для неявных и гибридных потоков).

  5. Выберите Настроить.

Найдите URL-адрес конечной точки токена вашего помощника

  1. В Copilot Studio откройте ваш помощник и выберите Каналы.

  2. Выберите Мобильное приложение.

  3. В разделе Конечная точка токена выберите Копировать.

    Снимок экрана: копирование URL-адреса конечной точки токена в Copilot Studio.

Настройка единого входа на веб-странице

Используйте код, который можно найти в репозитории GitHub Copilot Studio, для создания веб-страницы для URL-адреса перенаправления. Скопируйте код из репозитория GitHub и измените его, следуя следующим инструкциям.

Заметка

Код в репозитории GitHub требует, чтобы пользователь выбрал кнопку входа или выполнил вход с другого сайта. Чтобы включить автоматический вход, добавьте следующий код в начало aysnc function main():

    (async function main() {
        if (clientApplication.getAccount() == null) {
           await clientApplication.loginPopup(requestObj).then(onSignin).catch(function (error) {console.log(error) });
        }
        // Add your BOT ID below 
        var theURL =
  1. Перейдите на страницу Обзор на портале Azure и скопируйте Идентификатор приложения (клиента) и Идентификатор каталога (клиента) из регистрации приложения на основе холста.

    Снимок экрана: страница «Обзор регистрации приложения» на портале Azure; выделены: «Обзор», «Идентификатор приложения» и «Идентификатор каталога».

  2. Чтобы настроить Библиотеку проверки подлинности Майкрософт (MSAL):

    • Назначьте clientId своему ИД приложения (клиента).
    • Назначьте authority адресу https://login.microsoftonline.com/ и добавьте в конце ИД каталога (арендатора).

    Например:

    var clientApplication;
        (function (){
        var msalConfig = {
            auth: {
                clientId: '00001111-aaaa-2222-bbbb-3333cccc4444',
                authority: 'https://login.microsoftonline.com/7ef988bf-xxxx-51af-01ab-2d7fd011db47'     
            },
    
  3. Задайте для переменной theURL URL-адрес конечной точки токена, который вы скопировали ранее. Например:

    (async function main() {
    
        var theURL = "https://<token endpoint URL>"
    
  4. Измените значение userId так, чтобы оно включало в себя пользовательский префикс. Например:

    var userId = clientApplication.account?.accountIdentifier != null ? 
            ("My-custom-prefix" + clientApplication.account.accountIdentifier).substr(0, 64) 
            : (Math.random().toString() + Date.now().toString()).substr(0,64);
    
  5. Сохранение изменений.

Тестирование помощника с использованием веб-страницы

  1. Откройте свою веб-страницу в браузере.

  2. Выберите Войти.

    Снимок экрана с входом в систему с использованием проверочного кода

    Заметка

    Если ваш браузер блокирует всплывающие окна или вы используете окно браузера в режиме инкогнито или частного просмотра, вам будет предложено войти в систему. В противном случае вход выполняется с использованием кода проверки.

    Открывается новая вкладка браузера.

  3. Перейдите на новую вкладку и скопируйте проверочный код.

  4. Вернитесь на вкладку со своим помощником и вставьте код проверки в разговор с помощником.