Поделиться через

Настройка единого входа с Microsoft Entra ID для помощников в Microsoft Teams

  • Статья

Copilot Studio поддерживает единый вход (SSO) для помощников, опубликованных в приватных чатах Microsoft Teams. Это означает, что помощники позволяют пользователям автоматически входить в систему с помощью их учетных данных Microsoft Teams. Единый вход поддерживается только при использовании Microsoft Entra ID. Другие поставщики услуг, такие как Azure AD v1, не поддерживают единый вход в Microsoft Teams.

Важно

Можно использовать единый вход в чатах Microsoft Teams без ручной проверки подлинности. Чтобы использовать этот метод для ранее опубликованного помощника, перенастройте помощник для использования Проверка подлинности в Microsoft, затем снова опубликуйте его в Microsoft Teams. Прежде чем изменение вступит в силу, может пройти несколько часов. Если пользователь находится в процессе разговора и изменение не вступило в силу, он может ввести в чате «начать заново», чтобы принудительно перезапустить разговор с последней версией помощника. Эти изменения теперь доступны для чатов Teams 1:1 между пользователем и помощником. Они пока недоступны для групповых чатов и сообщений канала.

Система единого входа не поддерживается для помощников, интегрированных с Dynamics 365 Customer Service.

Не изучайте следующий документ без необходимости. Если вам нужна ручная аутентификация для вашего помощника, см. раздел Настройка проверки подлинности пользователей с помощью Microsoft Entra ID.

Заметка

Если вы используете аутентификацию единого входа Teams с возможностью проверки подлинности вручную, а также одновременно используете помощник на пользовательских веб-сайтах, вам необходимо развернуть приложение Teams с помощью манифеста приложения.

Дополнительные сведения см. в разделе Загрузка манифеста приложения Teams для помощника.

Другие конфигурации, такие как параметры проверки подлинности, кроме "Ручная" или через развертывание Teams одним щелчком мыши в Copilot Studio, не будут работать.

Предварительные условия

Настройка регистрации приложения

Перед настройкой единого входа для Teams необходимо настроить проверку подлинности пользователей с помощью Microsoft Entra ID. В ходе этого процесса создается регистрация приложения, необходимая для настройки единого входа.

  1. Создайте регистрацию приложения. См. инструкции в разделе Настройка аутентификации пользователя с помощью Microsoft Entra ID.

  2. Добавьте URL-адрес перенаправления.

  3. Создайте секрет клиента.

  4. Настройте аутентификацию вручную.

Поиск идентификатора приложения канала Microsoft Teams

  1. В Copilot Studio откройте помощник, для которого нужно настроить единый вход.

  2. В настройках для помощника выберите Каналы. Перейдите на плитку Microsoft Teams.

  3. Если канал Microsoft Teams еще не подключен к помощнику, выберите Включить Teams. Дополнительные сведения см. в разделе Подключение помощника к каналу Microsoft Teams.

  4. Выберите Изменить сведения, разверните раздел Еще, а затем нажмите кнопку Копировать рядом с полем Идентификатор приложения.

Добавьте свой идентификатор приложения канала Microsoft Teams в свою регистрацию приложения

  1. Переход на портал Azure. Откройте колонки регистрации приложения для регистрации приложения, созданного вами при настройте аутентификации пользователя для вашего помощника.

  2. Выберите Предоставление API на боковой панели. Для пункта URI-адрес идентификатора приложения выберите Задать.

    Снимок экрана с расположением кнопки «Задать» для URI идентификатора приложения.

  3. Введите api://botid-{teamsbotid} и замените {teamsbotid} вашим идентификатором приложения канала Teams, который вы нашли ранее.

    Снимок экрана с правильно отформатированным URI, введенным в поле URI идентификатора приложения.

  4. Выберите Сохранить.

Приложениям разрешено вызывать API, когда им предоставлены разрешения пользователями или администраторами в рамках процесса получения согласия. Дополнительные сведения о согласии см. в разделе Разрешения и согласие в платформе удостоверений Microsoft.

Если доступен параметр согласия администратора, вы должны предоставить согласие:

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Разрешения API.

  2. Выберите Предоставить согласие администратора для <имя вашего арендатора>, затем Да.

Совет

Чтобы пользователи не давали согласие на каждое приложение, глобальный администратор, администратор приложений или администратор облачного приложения может предоставлять согласие в рамках всего клиента для регистрации вашего приложения.

Добавление разрешений API-интерфейса

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Разрешения API.

  2. Выберите Добавить разрешение и выберите Microsoft Graph.

  3. Выберите Делегированные разрешения. Появится список разрешений.

  4. Разверните элемент Разрешения OpenID.

  5. Выберите openid и profile.

  6. Выберите Добавить разрешения.

    Снимок экрана с включенными разрешениями openid и профиля.

Определите настраиваемую область действия для вашего помощника

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Предоставление API.

  2. Выберите Добавить область.

    Снимок экрана с выделенной кнопкой добавления области действия.

  3. Задайте следующие свойства:

    Свойство Стоимость
    Имя области Введите Test.Read
    Кто может дать согласие? Выберите Администраторы и пользователи
    Отображаемое имя согласия администратора Введите Test.Read
    Описание согласия администратора Введите Allows the app to sign the user in.
    State Выберите Включено

    Заметка

    Имя области Test.Read является заполнителем и должно быть заменено именем, которое имеет смысл в вашей среде.

  4. Выберите Добавить область.

Добавьте идентификаторы клиента Microsoft Teams

Внимание

На следующих шагах значения, предоставленные для идентификаторов клиентов Microsoft Teams, следует использовать буквально, поскольку они одинаковы для всех клиентов.

  1. На портале Azure в колонке регистрации вашего приложения перейдите в раздел Предоставление API и выберите Добавить клиентское приложение.

    Снимок экрана с выделенной кнопкой добавления клиентского приложения.

  2. В поле ИД клиента введите идентификатор клиента для мобильной/классической версии Microsoft Teams, который равен 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Установите флажок для области, которую вы создали ранее.

    Снимок экрана с идентификатором клиента, введенным в область добавления клиентского приложения.

  3. Выберите Добавить приложение.

  4. Повторите предыдущие шаги, но в поле Идентификатор клиента введите идентификатор клиента для Microsoft Teams в Интернете — 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Проверьте, что на странице Предоставление API перечислены идентификаторы клиентских приложений Microsoft Teams.

Подводя итог, два идентификатора клиента Microsoft Teams добавлены на страницу Предоставление API:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Добавление URL-адреса обмена токенами в настройках аутентификации вашего помощника

Чтобы обновить настройки аутентификации Microsoft Entra ID в Copilot Studio, вам необходимо добавить URL-адрес обмена токенами, чтобы разрешить Microsoft Teams и Copilot Studio обмениваться информацией.

  1. На портале Azure в колонке регистрации приложения перейдите в раздел Предоставление API.

  2. В разделе Области выберите значок Копировать в буфер обмена.

  3. В Copilot Studio в разделе параметров помощника выберите Безопасность, а затем выберите плитку Проверка подлинности.

  4. Для URL-адреса обмена токенами (требуется для SSO) вставьте область, которую вы скопировали ранее.

  5. Выберите Сохранить.

    Снимок экрана, показывающий, куда вставить URL-адрес обмена токенами в Copilot Studio.

Добавьте единый вход в канал Microsoft Teams вашего помощника

  1. В Copilot Studio в настройках для помощника выберите Каналы.

  2. Перейдите на плитку Microsoft Teams.

  3. Выберите Изменить сведения и разверните Дополнительно.

  4. Для ИД клиента приложения AAD введите ИД приложения (клиента) из вашей регистрации приложения.

    Чтобы получить это значение, откройте портал Azure. Затем в колонке регистрации приложения перейдите в раздел Обзор. Скопируйте значение в поле Идентификатор приложения (клиент).

  5. Для URI ресурса введите URI идентификатора приложения из регистрации вашего приложения.

    Чтобы получить это значение, откройте портал Azure. Затем в колонке регистрации приложения перейдите в раздел Предоставление API. Скопируйте значение в поле URI идентификатора приложения.

    Снимок экрана, показывающий, куда вставить универсальный код ресурса идентификатора приложения в канале Teams в Copilot Studio.

  6. Выберите Сохранить, затем Закрыть.

  7. Опубликуйте помощника повторно, чтобы сделать последние изменения доступными для ваших клиентов.

  8. Выберите Открыть помощник в Teams, чтобы начать новый разговор с помощником в Microsoft Teams и проверить, выполняет ли он вам автоматический вход за пользователя.

Известные проблемы

Если вы впервые опубликовали помощника с помощью проверки подлинности вручную без единого входа в Teams, помощник в Teams будет постоянно предлагать пользователям войти в систему.