Настройка проверки подлинности пользователей с помощью Microsoft Entra ID

Когда вы добавляете аутентификацию своему агенту, пользователи могут войти в систему и предоставить агенту доступ к ограниченному ресурсу или информации.

В этой статье объясняется, как настроить Microsoft Entra ID в качестве провайдера услуг. Для информации о других провайдерах и аутентификации пользователей см. Configure user authentication in Copilot Studio.

Если у вас есть права администратора клиента, вы можете настроить разрешения API. В противном случае попросите администратора арендатора предоставить эти разрешения.

Предварительные требования

Узнайте, как добавить аутентификацию пользователей в тему

Вы выполняете первые несколько шагов на портале Azure, а последние два шага — в Copilot Studio.

Создание регистрации приложения

  1. Войдите в портал Azure используя административный аккаунт в том же арендаторе, что и ваш агент.

  2. Перейдите к разделу Регистрация приложений.

  3. Введите Создать регистрацию и введите имя для регистрации. Не изменяйте существующие регистрации приложений.

    Может быть полезно позднее использовать имя вашего агента. Например, если ваш агент называется «Справка по продажам Contoso», вы можете назвать регистрацию приложения «ContosoSalesReg».

  4. В разделе "Поддерживаемые типы учетных записей" выберите только учетные записи в этом каталоге организации (только Contoso — один клиент).

  5. Пока оставьте раздел URI перенаправления пустым. Введете эту информацию на следующих шагах.

  6. Выберите Зарегистрировать.

  7. После завершения регистрации перейдите в раздел Обзор.

  8. Скопируйте Идентификатор приложения (клиента) и вставьте его во временный файл. Он понадобится вам на более поздних стадиях.

Добавление URL-адреса перенаправления

  1. В разделе Управление выберите Аутентификация.

  2. В Конфигурации платформы выберите Добавить платформу, затем выберите Интернет.

  3. В разделе Redirect URI — вход https://token.botframework.com/.auth/web/redirect или https://europe.token.botframework.com/.auth/web/redirect для Европы. Вы также можете скопировать URI с Redirect URL в странице настроек Copilot Studio Security в Аутентификовать вручную.

    Это действие возвращает вас на страницу Конфигурации платформы.

    Список необходимых сервисов, к которым Copilot Studio соединяется, включая token.botframework.com, см. Обязательные услуги.

  4. Выберите как Access token (используемые для неявных потоков), так и ID-токены (используемые для неявных и гибридных потоков).

  5. Выберите и настройте.

Настройка аутентификации вручную

Далее настройте ручную аутентификацию. Вы можете выбрать из нескольких вариантов для вашего провайдера. Однако используйте Microsoft Entra ID V2 с федеративными учетными данными. Вы также можете использовать клиентские секреты, если не можете использовать федеративные учетные данные.

Настройка ручной аутентификации с использованием федеративных учетных данных

Copilot Studio автоматически создаёт федеративные идентификационные учетные данные (FIC) по умолчанию в Azure App Registration, чтобы обеспечить безопасную, безсекретную аутентификацию с использованием недолговечных токенов OpenID Connect. Этот метод аутентификации удаляет хранящиеся секреты, снижает риск учетных данных и соответствует стандартам безопасности Microsoft Zero Trust.

  1. В Copilot Studio перейдите в раздел Параметры для вашего агента и выберите Безопасность.

  2. Выберите Аутентификация.

  3. Выберите Аутентифицировать вручную.

  4. Оставьте Требовать входа для пользователей включенным.

  5. Введите следующие значения для свойств:

    • провайдер: Выберите Microsoft Entra ID V2 с федеративными учётными данными.

    • Код клиента: введите код приложения (клиента), который вы скопировали ранее с портала Azure.

  6. Выберите «Сохранить », чтобы увидеть эмитента и стоимость федеративных учётных данных.

  7. Скопируйте значение эмитента учетных данных Federated и вставьте их в временный файл. Он понадобится вам на более поздних стадиях.

  8. Перейдите на портал Azure и выберите регистрацию приложения, которое вы создали ранее. В разделе «Управление» выберите «Сертификаты и секреты », а затем «Федеративные учетные данные».

  9. Выберите Добавить учетные данные.

  10. В разделе Сценарий федеративных учетных данных выберите Другой издатель.

  11. Введите следующие значения для свойств:

    • Эмитент: Введите значение федеративного эмитента, которое вы скопировали ранее из Copilot Studio.
    • Value: Введите данные о значениях федеративных учетных данных, которые вы ранее скопировали из Copilot Studio.
    • Имя: Назовите имя.

  12. Выберите «Добавить », чтобы завершить конфигурацию.

Конфигурация разрешений API

  1. Перейти к пункту Разрешения API.

  2. Выберите Предоставить согласие администратора для <имя вашего клиента>, затем выберите Да. Если кнопка недоступна, возможно, придётся попросить администратора арендатора ввести её за вас.

    Снимок экрана: окно «Разрешения API» с выделенным разрешением клиента.

    Внимание!

    Чтобы пользователям не требовалось давать согласие на каждое приложение, кто-то с ролью не менее администратора приложений или администратора облачных приложений может предоставлять согласие в рамках всего клиента для регистраций ваших приложений.

  3. Выберите Добавить разрешение, затем выберите Microsoft Graph.

    Снимок экрана: окно «Запросить разрешения API» с выделенным Microsoft Graph.

  4. Выберите Делегированные разрешения.

    Выделен скриншот делегированных разрешений.

  5. Разверните Разрешения OpenId и включите openid и профиль.

    Скриншот с выделенными правами OpenId, openID и профилем.

  6. Выберите Добавить разрешения.

Определение пользовательской области для своего агента

Сферы объёмов определяют роли пользователей и администраторов, а также права доступа. Создайте пользовательскую область для регистрации приложения Canvas.

  1. Перейдите к пункту Предоставление API и выберите Добавить область.

    Скриншот Expose an API и выделена кнопка Add a scope.

  2. Задайте следующие свойства. Остальные свойства можно оставить пустыми.

    Свойство Стоимость
    Имя области Введите имя, которое имеет смысл в вашей среде, например Test.Read
    Кто может дать согласие? Выберите Администраторы и пользователи
    Отображаемое имя согласия администратора Введите имя, которое имеет смысл в вашей среде, например Test.Read
    Описание согласия администратора Введите Allows the app to sign the user in.
    State Выберите Включено

  3. Выберите Добавить область.

Настройка проверки подлинности в Copilot Studio

  1. В Copilot Studio в разделе Параметры выберите Безопасность>Аутентификация.

  2. Выберите Аутентифицировать вручную.

  3. Оставьте Требовать входа для пользователей включенным.

  4. Выберите Поставщик услуг и укажите необходимые значения. См. раздел Настройка аутентификации вручную в Copilot Studio.

  5. Выберите Сохранить.

Совет

Используйте URL обмена токенами для обмена токена On-Behalf-Of (OBO) на запрошенный токен доступа. Для получения дополнительной информации см. раздел Настройка параметров единого входа с Microsoft Entra ID.

Заметка

Прицелы должны включать profile openid следующие диапазоны, в зависимости от вашего случая использования:

  • Sites.Read.All Files.Read.All для SharePoint
  • ExternalItem.Read.All для подключения Graph
  • https://[OrgURL]/user_impersonation для структурированных данных Dataverse

Например, данные структуры Dataverse должны иметь следующие области: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Тестирование агента

  1. Опубликуйте агент.

  2. На панели Тестирование агента отправьте сообщение своему агенту.

  3. Когда агент ответит, выберите Войти.

    Открывается новая вкладка браузера, предлагающая войти.

  4. Войдите в систему, а затем скопируйте отображаемый код проверки.

  5. Чтобы завершить процесс входа, вставьте код в чат агента.

    Снимок экрана успешной проверки подлинности пользователя в разговоре с агентом с выделенным кодом проверки.

  • Last updated on