Поделиться через

Настройка единого входа с Microsoft Entra ID для агентов в Microsoft Teams

  • Статья

Copilot Studio поддерживает единый вход (SSO) для агентов, опубликованных в Microsoft Teams чатах 1:1, что означает, что агенты могут автоматически входить в систему пользователей с помощью своих Microsoft Teams учетных данных. Единый вход поддерживается только при использовании Microsoft Entra ID. Другие поставщики услуг, такие как Azure AD v1, не поддерживают единый вход в Microsoft Teams.

Важно

Можно использовать единый вход в чатах Microsoft Teams без ручной проверки подлинности. Чтобы использовать этот метод для ранее опубликованного агента, перенастройте агент для использования Проверка подлинности в Microsoft, затем снова опубликуйте его в Microsoft Teams. Прежде чем изменение вступит в силу, может пройти несколько часов. Если пользователь находится в середине разговора и кажется, что изменение не вступило в силу, он может ввести в чате «начать сначала», чтобы перезапустить разговор с последней версией агент. Эти изменения теперь доступны для чатов Teams 1:1 между пользователем и агент. Они пока недоступны для групповых чатов и сообщений канала.

Система единого входа не поддерживается для агентов, интегрированных с Dynamics 365 Customer Service.

Не изучайте следующий документ без необходимости. Если вы хотите использовать проверку подлинности вручную для агент, см. статью Настройка проверки подлинности пользователей с помощью Microsoft Entra идентификатора.

Заметка

Если вы используете проверку подлинности единого входа Teams с параметром проверки подлинности вручную, а также используете агент на пользовательских веб-сайтах одновременно, необходимо развернуть приложение Teams с помощью манифеста приложения.

Дополнительные сведения см. в разделе Загрузка манифеста приложения Teams для агента.

Другие конфигурации, такие как параметры проверки подлинности, кроме "Ручная" или через развертывание Teams одним щелчком мыши в Copilot Studio, не будут работать.

Предварительные требования

Настройка регистрации приложения

Перед настройкой единого входа для Teams необходимо настроить проверку подлинности пользователей с помощью Microsoft Entra ID. В ходе этого процесса создается регистрация приложения, необходимая для настройки единого входа.

  1. Создайте регистрацию приложения. См. инструкции в разделе Настройка аутентификации пользователя с помощью Microsoft Entra ID.

  2. Добавьте URL-адрес перенаправления.

  3. Создайте секрет клиента.

  4. Настройте аутентификацию вручную.

Поиск идентификатора приложения канала Microsoft Teams

  1. В Copilot Studio откройте агент, для которого нужно настроить единый вход.

  2. В настройках агент выберите Каналы. Перейдите на плитку Microsoft Teams.

  3. Если канал Microsoft Teams еще не подключен к агенту, выберите Включить Teams. Дополнительные сведения см. в разделе Подключение агента к каналу Microsoft Teams.

  4. Выберите Изменить сведения, разверните раздел Еще, а затем нажмите кнопку Копировать рядом с полем Идентификатор приложения.

Добавьте свой идентификатор приложения канала Microsoft Teams в свою регистрацию приложения

  1. Переход на портал Azure. Откройте колонки регистрации приложения для регистрации приложения, созданного вами при настройте аутентификации пользователя для вашего агента.

  2. Выберите Предоставление API на боковой панели. Для пункта URI-адрес идентификатора приложения выберите Задать.

    Снимок экрана с расположением кнопки «Задать» для URI идентификатора приложения.

  3. Введите api://botid-{teamsbotid} и замените {teamsbotid} вашим идентификатором приложения канала Teams, который вы нашли ранее.

    Снимок экрана с правильно отформатированным URI, введенным в поле URI идентификатора приложения.

  4. Выберите Сохранить.

Приложениям разрешено вызывать API, когда им предоставлены разрешения пользователями или администраторами в рамках процесса получения согласия. Дополнительные сведения о согласии см. в разделе Разрешения и согласие в платформе удостоверений Microsoft.

Если доступен параметр согласия администратора, вы должны предоставить согласие:

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Разрешения API.

  2. Выберите Предоставить согласие администратора для <имя вашего арендатора>, затем Да.

Внимание!

Чтобы пользователям не требовалось давать согласие на каждое приложение, кто-то с ролью не менее администратора приложений или администратора облачных приложений может предоставлять согласие в рамках всего клиента для регистраций ваших приложений.

Добавление разрешений API-интерфейса

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Разрешения API.

  2. Выберите Добавить разрешение и выберите Microsoft Graph.

  3. Выберите Делегированные разрешения. Появится список разрешений.

  4. Разверните элемент Разрешения OpenID.

  5. Выберите openid и profile.

  6. Выберите Добавить разрешения.

    Снимок экрана с включенными разрешениями openid и профиля.

Определение пользовательской области для своего агента

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Предоставление API.

  2. Выберите Добавить область.

    Снимок экрана с выделенной кнопкой добавления области действия.

  3. Задайте следующие свойства:

    Свойство Стоимость
    Имя области Введите Test.Read
    Кто может дать согласие? Выберите Администраторы и пользователи
    Отображаемое имя согласия администратора Введите Test.Read
    Описание согласия администратора Введите Allows the app to sign the user in.
    State Выберите Включено

    Заметка

    Имя области Test.Read является заполнителем и должно быть заменено именем, которое имеет смысл в вашей среде.

  4. Выберите Добавить область.

Добавьте идентификаторы клиента Microsoft Teams

Внимание

На следующих шагах значения, предоставленные для идентификаторов клиентов Microsoft Teams, следует использовать буквально, поскольку они одинаковы для всех клиентов.

  1. На портале Azure в колонке регистрации вашего приложения перейдите в раздел Предоставление API и выберите Добавить клиентское приложение.

    Снимок экрана с выделенной кнопкой добавления клиентского приложения.

  2. В поле ИД клиента введите идентификатор клиента для мобильной/классической версии Microsoft Teams, который равен 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Установите флажок для области, которую вы создали ранее.

    Снимок экрана с идентификатором клиента, введенным в область добавления клиентского приложения.

  3. Выберите Добавить приложение.

  4. Повторите предыдущие шаги, но в поле Идентификатор клиента введите идентификатор клиента для Microsoft Teams в Интернете — 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Проверьте, что на странице Предоставление API перечислены идентификаторы клиентских приложений Microsoft Teams.

Подводя итог, два идентификатора клиента Microsoft Teams добавлены на страницу Предоставление API:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Добавление URL-адреса обмена токенами в настройках аутентификации вашего агента

Чтобы обновить настройки аутентификации Microsoft Entra ID в Copilot Studio, вам необходимо добавить URL-адрес обмена токенами, чтобы разрешить Microsoft Teams и Copilot Studio обмениваться информацией.

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Предоставление API.

  2. В разделе Области выберите значок Копировать в буфер обмена.

  3. В Copilot Studio в разделе параметров агента выберите Безопасность, а затем выберите плитку Проверка подлинности.

  4. Для URL-адреса обмена токенами (требуется для SSO) вставьте область, которую вы скопировали ранее.

  5. Выберите Сохранить.

    Снимок экрана, показывающий, куда вставить URL-адрес обмена токенами в Copilot Studio.

Добавьте единый вход в канал Microsoft Teams вашего агента

  1. В Copilot Studio в настройках для агента выберите Каналы.

  2. Перейдите на плитку Microsoft Teams.

  3. Выберите Изменить сведения и разверните Дополнительно.

  4. Для ИД клиента приложения AAD введите ИД приложения (клиента) из вашей регистрации приложения.

    Чтобы получить это значение, откройте портал Azure. Затем в колонке регистрации приложения перейдите в раздел Обзор. Скопируйте значение в поле Идентификатор приложения (клиент).

  5. Для URI ресурса введите URI идентификатора приложения из регистрации вашего приложения.

    Чтобы получить это значение, откройте портал Azure. Затем в колонке регистрации приложения перейдите в раздел Предоставление API. Скопируйте значение в поле URI идентификатора приложения.

    Снимок экрана, показывающий, куда вставить универсальный код ресурса идентификатора приложения в канале Teams в Copilot Studio.

  6. Выберите Сохранить, затем Закрыть.

  7. Опубликуйте агент повторно, чтобы сделать последние изменения доступными для ваших клиентов.

  8. Выберите Открыть агент в Teams, чтобы начать новый разговор с агентом в Microsoft Teams и проверить, выполняет ли он вам автоматический вход за пользователя.

Известные проблемы

Если вы впервые опубликовали агент с помощью проверки подлинности вручную без единого входа Teams, агент в Teams будет постоянно предлагать пользователям войти в систему.