Konfigurera användarautentisering i Copilot Studio
Med autentisering kan användare logga in, vilket ger agentåtkomst till begränsade resurser eller information. Användare kan logga in med Microsoft Entra ID eller med någon OAuth2-identitetsleverantör som Google eller Facebook.
Obs
I Microsoft Teams kan du konfigurera en Copilot Studio-agent för att tillhandahålla autentisering så att användare kan logga in med Microsoft Entra ID eller någon OAuth2 identitetsprovider till exempel Microsoft- eller Facebook-kontot.
Du kan lägga till användarautentisering till ämnen när du redigerar ett ämne.
Viktigt
Ändringar i autentiseringskonfigurationen gäller först när du har publicerat din agent. Se till att planera i förväg innan du gör autentiseringsändringar för din agent.
Välj ett autentiseringsalternativ
Copilot Studio har stöd för flera autentiseringsalternativ. Välj den som uppfyller dina behov.
Gå till Inställningar för din agent och välj Säkerhet.
Välj Autentisering.
Följande autentiseringsalternativ är tillgängliga:
Välj Spara.
Ingen autentisering
Ingen autentisering innebär att din agent inte kräver att dina användare loggar in när de interagerar med agenten. En oautentiserad konfiguration innebär att din agent bara kan komma åt offentlig information och resurser. Klassiska chattrobotar är konfigurerade som standard så att de inte kräver autentisering.
Varning
Om du väljer alternativet Ingen autentisering kan alla som har länken chatta och interagera med din robot eller agent.
Vi rekommenderar att du använder autentisering, särskilt om du använder din robot eller agent inom din organisation eller för specifika användare, tillsammans med andra säkerhets- och styrningskontroller.
Autentisera med Microsoft
Viktigt
När alternativet Autentisera med Microsoft har markerats inaktiveras alla kanaler utom Teams-kanalen.
Alternativet Autentisera med Microsoft är heller inte tillgängligt för agenter som är integrerade med Dynamics 365 Customer Service.
Denna konfiguration ställer automatiskt in Microsoft Entra ID-autentisering för Teams utan att någon manuell konfiguration krävs. Eftersom Teams-autentisering i sig identifierar användaren uppmanas inte användarna att logga in när de är i Teams, såvida inte agenten behöver en utökad omfattning.
Endast Teams-kanalen är tillgänglig med det här alternativet. Om du behöver publicera agenten till andra kanaler, men vill ha autentisering för din agent, måste du välja alternativet Autentisera manuellt.
Om du väljer alternativet Autentisera med Microsoft är följande variabler tillgängliga i designytan:
User.IDUser.DisplayName
Mer information om dessa variabler och hur du använder dem finns i Lägga till användarautentisering till ämnen.
User.AccessToken och User.IsLoggedIn variabler är inte tillgängliga med det här alternativet. Om du behöver en autentiseringstoken använder du alternativet Autentisera manuellt.
Om du ändrar från Autentisera manuellt till Autentisera med Microsoft autentisering, och dina ämnen innehåller variablerna User.AccessToken eller User.IsLoggedIn, de visas som okänd variabler efter ändringen. Se till att korrigera alla ämnen med fel innan du publicerar din agent.
Autentisera manuellt
Copilot Studio har stöd för följande autentiseringsproviders under alternativet Autentisera manuellt :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 med certifikat
- Generiska OAuth 2 – Alla identitetsleverantörer som överensstämmer med OAuth2-standarden
Följande variabler är tillgängliga i designyta efter att du har konfigurerat manuell autentisering:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Mer information om dessa variabler och hur du använder dem finns i Lägga till användarautentisering till ämnen.
När konfigurationen har sparats måste du publicera din agent för att ändringarna ska börja gälla.
Obs
- Ändringar av autentisering börjar gälla först när agenten har publicerats.
- Den här inställningen kan styras av motsvarande administratörskontroll i Power Platform. När kontrollen är aktiverad förhindrar den alternativet Autentisera manuellt inställningen från att aktiveras eller inaktiveras i Copilot Studio. Kontrollen är alltid aktiverad och alternativet Autentisera manuellt kan inte ändras i Copilot Studio.
Obligatorisk användarlogg och agentdelning
Kräva att användare loggar in bestämmer om en användare måste logga in innan den talar med agenten. Vi rekommenderar starkt att du aktiverar denna inställning för agenter som behöver åtkomst till känslig eller begränsad information.
Det här alternativet är inte tillgängligt för alternativen Ingen autentisering och Autentisera med Microsoft .
Obs
Det här alternativet är inte heller konfigurerbart när DLP-policyn finns i Power Platform administrationscenter har konfigurerats för att kräva autentisering. Mer information finns i Exempel på dataförlustskydd – Kräv användarautentisering i agent.
Om du inaktiverar det här alternativet uppmanar inte agenten användarna att logga in förrän de har ett ämne som kräver det.
När du aktiverar det här alternativet skapas ett system ämne kallas Kräv användare för att logga in. Detta ämne endast relevant för inställningen för Autentisera manuellt autentisering. Användare autentiseras alltid i Teams.
Ämnet Kräv att användare loggar in utlöses automatiskt för alla användare som pratar med agenten utan att vara autentiserade. Om användaren inte kan logga in dirigeras ämne till Eskalera-systemet ämne.
Ämne är skrivskyddade och kan inte anpassas. Om du vill visa den väljer Gå till redigeringsarbetsytan.
Styr vem som kan chatta med agenten i organisationen
Din agents autentisering och Kräver att användare loggar in kombinationen avgör om du kan dela roboten för att kontrollera vem i din organisation som kan dela med din agent eller inte. Autentiseringsinställningen påverkar inte delning av en agent för samarbete.
Ingen autentisering: Alla användare som har en länk till agenten (eller kan hitta den, till exempel på din webbplats) kan chatta med den. Du kan inte styra vilka användare som kan chatta med roboten i din agent.
Autentisera med Microsoft: agent fungerar bara på Teams-kanalen. Eftersom användaren alltid är inloggad är inställningen Kräv användare att logga in aktiverad och kan inte inaktiveras. Du kan använda agentdelning för att styra vem i din organisation som kan chatta med agenten.
Autentisera manuellt:
Om tjänsteleverantören är Azure Active Directory eller Microsoft Entra ID, kan du aktivera Kräv att användare loggar in för att styra vem i din organisation som kan chatta med agenten med hjälp av agentdelning.
Om tjänstleverantören är Allmän OAuth2 kan du aktivera eller inaktivera Kräv att användare loggar in. När den är aktiverad kan en användare som loggar in chatta med agenten. Du kan inte kontrollera vilka specifika användare i din organisation som får chatta med agent med hjälp av agentdelning.
När en agents autentiseringsinställning inte kan kontrollera vem som kan chatta med den, visas ett meddelande på agentens översiktssida när du väljer Dela, som informerar om att vem som helst kan chatta med din agent.
Manuell autentiseringsfält
Följande fält visas eventuellt när du konfigurerar manuell autentisering. Vilka fält som visas beror på ditt val av tjänstleverantör.
| Fältnamn | Beskrivning |
|---|---|
| Mall för auktoriserings-URL | URL-mall för auktorisering som definieras av din identitetsprovider. Till exempel: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Frågesträngsmall för auktoriserings-URL | Frågemallen för auktorisering, som tillhandahålls av din identitetsleverantör. Nycklarna i mallen för frågesträng varierar beroende på identitetsprovidern (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Ditt klient-ID som hämtades från identitetsprovidern. |
| Client secret | Klienten skapades när du skapade appregistreringen av identitetsleverantören. |
| Uppdatera textmall | Mallen för uppdateringsbrödtexten (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Uppdatera frågesträngsmall för URL | Uppdatera URL-frågesträngsavgränsaren för token-URL:en, vanligtvis ett frågetecken (?). |
| Uppdatera URL-mall | URL-mallen för uppdatering till exempel https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Avgränsare för omfattningslista | Avgränsningstecken för omfattningslistan. Tomma blanksteg stöds inte i det här fältet.1 |
| Omfattningar | Den lista med omfattningar som du vill att användarna ska ha när de har loggat in. Använd Avgränsare för omfattningslista för att separera flera omfattningar.1 Ange endast nödvändiga omfattningar och följ principen om åtkomstkontroll för minst privilegier. |
| Tjänstleverantör | Den tjänstleverantör du vill använda för autentisering. Mer information finns i OAuth generiska leverantörer. |
| Klientorganisations-ID | Din Microsoft Entra ID klientorganisations-ID. Mer information Använd befintlig Microsoft Entra ID klientorganisation för att lära dig hur du hittar ditt klientorganisation-ID. |
| Textmall för token | Mallen för tokentexten. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Utbytes-URL för token (krävs för enkel inloggning) | Det här är ett valfritt fält som används när du konfigurerar enkel inloggning. |
| Mall för token-URL | URL-mallen för token enligt din identitetsleverantörs definition. Exempelvis kan https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Frågesträngsmall för token-URL | URL-frågesträngsavgränsaren för token-URL:en, vanligtvis ett frågetecken (?). |
1 Du kan använda blanksteg i fältet Omfattningar om identitetsprovidern kräver det. I så fall anger du ett komma (,) i Avgränsare för omfattningslista och anger blanksteg i fältet Omfattningar.
Stänga av autentisering
Välj Inställningar på menyraden högst upp när agenten är öppen.
Välj Säkerhet och välj sedan Autentisering.
Välj Ingen autentisering.
Om autentiseringsvariabler används i en ämne, blir de Okända variabler. Gå till sidan Ämnen om du vill se vilka ämnen som innehåller fel och åtgärda dem innan du publicerar.
Publicera inte agenten.
Viktigt
Om din agent har åtgärder konfigurerade för att använda autentiseringsuppgifter, stäng inte av autentisering på agentnivå, eftersom detta skulle förhindra att dessa åtgärder fungerar.