กำหนดค่าการรับรองความถูกต้องของผู้ใช้ด้วย Microsoft Entra ID

การเพิ่มการรับรองความถูกต้องให้กับเอเจนต์ของคุณอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ เพื่อให้เอเจนต์ของคุณสามารถเข้าถึงทรัพยากรหรือข้อมูลที่ถูกจำกัด

บทความนี้ครอบคลุมถึงวิธีกำหนดค่า Microsoft Entra ID เป็นผู้ให้บริการของคุณ หากต้องการเรียนรู้เกี่ยวกับผู้ให้บริการรายอื่นและการรับรองความถูกต้องของผู้ใช้โดยทั่วไป ดูที่ กำหนดค่าการรับรองความถูกต้องของผู้ใช้ใน Copilot Studio

หากคุณมีสิทธิ์การดูแลผู้เช่า คุณสามารถ กำหนดค่าสิทธิ์ของ API ไม่เช่นนั้น คุณต้องขอให้ผู้ดูแลระบบของคุณเป็นผู้ดำเนินการให้

ข้อกำหนดเบื้องต้น

เรียนรู้วิธีเพิ่มการรับรองความถูกต้องของผู้ใช้ในหัวข้อ

คุณดำเนินการสองสามขั้นตอนแรกในพอร์ทัล Azure และดำเนินการสองขั้นตอนสุดท้ายใน Copilot Studio

สร้างการลงทะเบียนแอป

1. ลงชื่อเข้าใช้ พอร์ทัล Azure โดยใช้บัญชีผู้ดูแลระบบในผู้เช่าเดียวกันกับเอเจนต์ของคุณ

2. ไปที่ การลงทะเบียนแอป

3. เลือก การลงทะเบียนใหม่ และป้อนชื่อสำหรับการลงทะเบียน อย่า เปลี่ยนแปลงการลงทะเบียนแอปที่มีอยู่

   การใช้ชื่อเอเจนต์ของคุณอาจเป็นประโยชน์ในภายหลัง ตัวอย่างเช่น ถ้าเอเจนต์ของคุณชื่อว่า "ความช่วยเหลือด้านการขายของ Contoso" คุณอาจตั้งชื่อการลงทะเบียนแอปว่า "ContosoSalesReg"

4. ใน ชนิดบัญชีที่รองรับ ให้เลือก บัญชีในผู้เช่าขององค์กร (ไดเรกทอรี Microsoft Entra ID - ผู้เช่าหลายราย) และบัญชี Microsoft ส่วนบุคคล (เช่น Skype, Xbox)

5. เว้นว่างส่วน URI การเปลี่ยนเส้นทาง สำหรับตอนนี้ ป้อนข้อมูลนั้นในขั้นตอนต่อไป

6. เลือก ลงทะเบียน

7. หลังจากลงทะเบียนเสร็จแล้ว ไปที่ ภาพรวม

8. คัดลอก รหัสแอปพลิเคชัน (ไคลเอ็นต์) และวางในไฟล์ชั่วคราว คุณต้องการข้อมูลนี้ในขั้นตอนต่อไป

เพิ่ม URL การเปลี่ยนเส้นทาง

1. ภายใต้ จัดการ ให้เลือก การรับรองความถูกต้อง

2. ภายใต้ การกำหนดค่าแพลตฟอร์ม ให้เลือก เพิ่มแพลตฟอร์ม จากนั้นเลือก เว็บ

3. ภายใต้ URI เปลี่ยนเส้นทาง ให้ป้อน https://token.botframework.com/.auth/web/redirect และเลือก กำหนดค่า

   การดำเนินการนี้จะนำคุณกลับไปยังหน้า การกำหนดค่าแพลตฟอร์ม

4. ภายใต้ URI เปลี่ยนเส้นทาง สำหรับแพลตฟอร์ม เว็บ ให้เลือก เพิ่ม URI

5. ป้อน https://europe.token.botframework.com/.auth/web/redirect แล้วเลือก บันทึก

   หมายเหตุ

   บานหน้าต่างการกำหนดค่าการรับรองความถูกต้องใน Copilot Studio อาจแสดง URL การเปลี่ยนเส้นทางต่อไปนี้: https://unitedstates.token.botframework.com/.auth/web/redirect การใช้ URL นั้นทำให้การรับรองความถูกต้องล้มเหลว ให้ใช้ URI แทน

6. ในส่วน โฟลว์โดยนัยและไฮบริด ให้เลือกทั้ง โทเค็นการเข้าใช้ (ใช้โฟลว์โดยนัย) และ โทเค็นการเข้าใช้ (ใช้สำหรับโฟลว์โดยนัย)

7. เลือก บันทึก

สร้างข้อมูลลับของไคลเอ็นต์

1. ภายใต้ จัดการ ให้เลือก ใบรับรองและข้อมูลลับ

2. ในส่วน ข้อมูลลับของไคลเอ็นต์ ให้เลือก ข้อมูลลับของไคลเอ็นต์ใหม่

3. (ไม่บังคับ) ป้อนคําอธิบาย มีการระบุไว้หนึ่งรายการ หากเว้นว่างไว้

4. เลือกระยะเวลาการหมดอายุ เลือกช่วงเวลาที่สั้นที่สุดที่เกี่ยวข้องกับอายุเอเจนต์ของคุณ

5. เลือก เพิ่ม เพื่อสร้างข้อมูลลับ

6. เก็บ ค่า ของข้อมูลลับไว้ในไฟล์ชั่วคราวที่ปลอดภัย คุณจะต้องใช้เมื่อกำหนดค่าการรับรองความถูกต้องของเอเจนต์ในภายหลัง

เคล็ดลับ

อย่าออกจากหน้านี้ก่อนที่คุณจะคัดลอกค่าของข้อมูลลับของไคลเอ็นต์ หากคุณทำเช่นนั้น ค่าจะถูกทำให้สับสน และคุณต้องสร้างข้อมูลลับของไคลเอ็นต์ใหม่

กำหนดค่าการรับรองความถูกต้องด้วยตนเอง

1. ใน Copilot Studio ไปที่ การตั้งค่า สำหรับเอเจนต์ของคุณ แล้วเลือก ความปลอดภัย

2. เลือก การรับรองความถูกต้อง

3. เลือก รับรองความถูกต้องด้วยตนเอง

4. เปิด ผู้ใช้ต้องลงชื่อเข้าใช้ ไว้

5. ป้อนค่าต่อไปนี้เป็นคุณสมบัติ:

   • ผู้ให้บริการ: เลือก Azure Active Directory v2

   • รหัสไคลเอ็นต์: ป้อนรหัสแอปพลิเคชัน (ไคลเอ็นต์) ทีคุณคัดลอกไว้ก่อนหน้านี้จากพอร์ทัล Azure

   • ข้อมูลลับของไคลเอ็นต์: ป้อนข้อมูลลับของไคลเอ็นต์ที่คุณสร้างไว้ก่อนหน้านี้จากพอร์ทัล Azure

   • ขอบเขต: ป้อน profile openid

6. เลือก บันทึก เพื่อเสร็จสิ้นการกำหนดค่า

กำหนดค่าสิทธิ์ API

1. ไปที่ สิทธิ์ API

2. เลือก ให้คำยินยอมของผู้ดูแลระบบสำหรับ <ชื่อผู้เช่าของคุณ> แล้วเลือก ใช่ ถ้าปุ่มใช้งานไม่ได้ คุณอาจต้องขอให้ผู้ดูแลระบบผู้เช่าป้อนให้คุณ

   

   สำคัญ

   เพื่อหลีกเลี่ยงไม่ให้ผู้ใช้ต้องยินยอมให้แต่ละแอปพลิเคชัน ผู้ที่ได้รับการกำหนดบทบาทผู้ดูแลระบบแอปพลิเคชันหรือผู้ดูแลแอปพลิเคชันระบบคลาวด์เป็นอย่างน้อยสามารถให้ความยินยอมผู้เช่าทั้งหมดในการลงทะเบียนแอปของคุณ

3. เลือก เพิ่มสิทธิ์ แล้วเลือก Microsoft Graph

   

4. เลือก สิทธิ์ที่ได้รับมอบสิทธิ์

   

5. ขยาย สิทธิ์ OpenId และเปิด openid และ โปรไฟล์

   

6. เลือก เพิ่มสิทธิ์

กำหนดขอบเขตที่กำหนดเองสำหรับเอเจนต์ของคุณ

ขอบเขต อนุญาตให้คุณกำหนดบทบาทของผู้ใช้และผู้ดูแลระบบและสิทธิ์การเข้าถึง คุณสร้างขอบเขตที่กำหนดเองสำหรับการลงทะเบียนแอปพื้นที่ทำงานที่คุณสร้างในขั้นตอนต่อไป

1. ไปที่ เปิดเผย API และเลือก เพิ่มขอบเขต

   

2. ตั้งค่าคุณสมบัติดังต่อไปนี้ คุณสามารถปล่อยคุณสมบัติอื่นๆ ว่างไว้ได้

   คุณสมบัติ	มูลค่า
   ชื่อขอบเขต	ป้อนชื่อที่เหมาะสมในสภาพแวดล้อมของคุณ เช่น Test.Read
   ใครสามารถยินยอม	เลือก ผู้ดูแลระบบและผู้ใช้
   ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ	ป้อนชื่อที่เหมาะสมในสภาพแวดล้อมของคุณ เช่น Test.Read
   คำอธิบายความยินยอมของผู้ดูแลระบบ	ป้อน Allows the app to sign the user in.
   State	เลือก เปิดใช้งาน

3. เลือก เพิ่มขอบเขต

กำหนดค่าการรับรองความถูกต้องใน Copilot Studio

1. ใน Copilot Studio ภายใต้ การตั้งค่า ให้เลือก ความปลอดภัย>การรับรองความถูกต้อง

2. เลือก รับรองความถูกต้องด้วยตนเอง

3. เปิด ผู้ใช้ต้องลงชื่อเข้าใช้ ไว้

4. เลือก ผู้ให้บริการ และระบุค่าที่ต้องการ ดูที่ กำหนดค่าการรับรองความถูกต้องด้วยตนเองใน Copilot Studio

5. เลือก บันทึก

เคล็ดลับ

URL การแลกเปลี่ยนโทเค็นใช้เพื่อแลกเปลี่ยนโทเค็นในนามของ (OBO) สำหรับโทเค็นการเข้าใช้ที่ร้องขอ สำหรับข้อมูลเพิ่มเติม โปรดดู กำหนดค่าข้อมูลการลงชื่อเข้าระบบครั้งเดียวด้วย Microsoft Entra ID

หมายเหตุ

ขอบเขตควรรวมถึง profile openid และสิ่งต่อไปนี้ ขึ้นอยู่กับกรณีการใช้งานของคุณ:

• Sites.Read.All Files.Read.All สำหรับ SharePoint
• ExternalItem.Read.All สำหรับการเชื่อมต่อกราฟ
• https://[OrgURL]/user_impersonation สำหรับโหนดพร้อมท์และข้อมูลที่มีโครงสร้างของ Dataverse
• ตัวอย่างเช่น ข้อมูลโครงสร้างหรือโหนดพร้อมท์ของ Dataverse ควรมีขอบเขตต่อไปนี้: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

ทดสอบเอเจนต์ของคุณ

1. เผยแพร่เอเจนต์ของคุณ

2. ในบานหน้าต่าง ทดสอบเอเจนต์ ให้ส่งข้อความไปยังเอเจนต์ของคุณ

3. เมื่อ ตัวแทน ตอบกลับ ให้เลือก เข้าสู่ระบบ

   แท็บเบราว์เซอร์ใหม่จะเปิดขึ้นเพื่อขอให้คุณลงชื่อเข้าใช้

4. ลงชื่อเข้าใช้ จากนั้นคัดลอกรหัสการตรวจสอบที่แสดง

5. วางรหัสในแชท ตัวแทน เพื่อดำเนินการลงชื่อเข้าใช้ให้เสร็จสิ้น