Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Аутентификация позволяет пользователям войти, предоставляя агенту доступ к ограниченному ресурсу или информации. Пользователи могут войти, используя Microsoft Entra ID или любой провайдер идентификации OAuth2 например Google или Facebook.
Note
В Microsoft Teams вы можете настроить агент Copilot Studio для предоставления возможностей аутентификации, чтобы пользователи могли войти с помощью Microsoft Entra ID или любого провайдера идентификации OAuth2, например, аккаунта Microsoft или Facebook.
Вы можете добавить аутентификацию пользователя в темы при редактировании темы.
Important
Изменения в конфигурации аутентификации вступают в силу только после публикации вашего агента. Планируйте заранее, прежде чем вносить изменения в аутентификацию вашего агента.
Выберите вариант аутентификации
Copilot Studio поддерживает несколько вариантов аутентификации. Выберите и настройте опцию, которая соответствует вашим потребностям.
Перейдите в раздел Параметры для вашего агента и выберите Безопасность.
Выберите Проверка подлинности.
Выберите опцию аутентификации и настройте её по необходимости. Доступны следующие варианты аутентификации:
Нажмите кнопку "Сохранить".
Без аутентификации
Отсутствие аутентификации означает, что ваш агент не требует от пользователей входа в систему при взаимодействии с агентом. Конфигурация без аутентификации означает, что ваш агент может получить доступ только к общедоступной информации и ресурсам. Классические чат-боты по умолчанию настроены так, чтобы не требовать аутентификации.
Предостережение
Если выбрать параметр Без аутентификации , любой, у кого есть ссылка, сможет общаться и взаимодействовать с вашим ботом или агент.
Рекомендуется применять проверку подлинности, особенно если вы используете бот или агент в организации или для определенных пользователей, наряду с другими механизмами контроля безопасности и управления.
Note
Эта опция недоступна, когда политика данных в административном центре Power Platform настроена на требование аутентификации. Для получения дополнительной информации смотрите раздел Настройка политик данных для агентов.
Проверка подлинности через Майкрософт
Important
Когда вы выбираете опцию Аутентификовать с помощью Microsoft, вы получаете доступ к каналу Teams + Microsoft 365. Вы также можете использовать каналы нативных приложений и пользовательских приложений.
Кроме того, опция Authenticate с Microsoft недоступна для агентов, интегрирующих с Dynamics 365 Customer Service.
В этой конфигурации автоматически настраивается аутентификация Microsoft Entra ID для Teams, без необходимости ручной настройки. Поскольку аутентификация Teams сама идентифицирует пользователя, пользователям не предлагается войти в систему, пока они находятся в Teams, если только вашему агенту не требуется расширенная область.
Если вам нужно публиковать вашего агента на каналах, отличных от Teams + Microsoft 365 но при этом хотите аутентификацию для агента, выберите Аутентификовать вручную.
Если вы выберете Аутентификовать с помощью Microsoft, следующие переменные доступны в холсте для создания темы:
User.IDUser.DisplayName
Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации пользователя в темы.
Переменные User.AccessToken и User.IsLoggedIn недоступны с этим параметром. Если вам нужен токен аутентификации, используйте вариант Аутентификация вручную.
Если вы измените аутентификацию с Аутентификация вручную на Аутентификация с помощью Microsoft, а ваши темы содержат переменные User.AccessToken или User.IsLoggedIn, они отображаются как неизвестные переменные после изменения. Обязательно исправьте все темы с ошибками, прежде чем опубликовать своего агента.
Проверка подлинности вручную
Copilot Studio поддерживает следующих поставщиков услуг аутентификации в режиме Аутентификовать вручную:
- Microsoft Entra ID V2 с федеративными учетными данными
- Microsoft Entra ID V2 с сертификатами
- Microsoft Entra ID V2 с клиентскими секретами
- Майкрософт Ентра айди
- Универсальный OAuth 2 — любой поставщик удостоверений, соответствующий стандарту OAuth2
Если вручную выбрать «Аутентификацию», в холсте для создания темы доступны следующие переменные:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации пользователя в темы.
После сохранения конфигурации обязательно опубликуйте агента, чтобы изменения вступили в силу.
Note
- Изменения аутентификации вступают в силу только после публикации агента.
- Управляйте этой настройкой с помощью соответствующего административного управления в Power Platform. При включении и выключении Аутентификации вручную в пределах Copilot Studio. Управление всегда включено, и опцию Аутентификовать вручную нельзя изменить в Copilot Studio.
Обязательный вход пользователя и совместное использование агента
Требовать от пользователей входа в систему контролирует, нужно ли пользователю войти в систему перед разговором с агентом. Включите эту настановку для агентов, которым нужно получить доступ к конфиденциальной или ограниченной информации.
Этот параметр недоступен для вариантов Без аутентификации и Аутентификация с помощью Microsoft.
Note
Вы не можете отключить эту опцию, если политика данных в административном центре Power Platform настроена на требование аутентификации. Для получения дополнительной информации смотрите раздел Настройка политик данных для агентов.
Если вы отключите этот параметр, ваш агент не просит пользователей войти в систему, пока не встретит тему, требующую от них этого.
Когда вы включаете этот параметр, он создает системную тему с именем Требовать входа для пользователей. Этот тема актуальна только для параметра Аутентификация вручную. Пользователи всегда проходят проверку подлинности в Teams.
Тема «Требует, чтобы пользователи входили » автоматически срабатывает для любого пользователя, который общается с агентом без аутентификации. Если пользователю не удается войти в систему, тема перенаправляет в системную тему Эскалация.
Тема доступна только для чтения и не может быть изменена. Чтобы увидеть, выберите Перейти к холсту разработки.
Управление тем, кто может общаться с агентом в организации
Сочетание типа аутентификации вашего агента и настройки «Требовать входа пользователя » определяет, сможете ли вы делиться агентом для контроля, кто в вашей организации может с ним общаться. Параметр аутентификации не влияет на общий доступ к агенту для совместной работы.
Отсутствие аутентификации: любой пользователь, у которого есть ссылка на агента (или может найти, например, на вашем сайте), может общаться с ним. Вы не можете контролировать, какие пользователи в вашей организации могут общаться с агентом.
Аутентификация с помощью Microsoft: агент работает только в канале Teams. Поскольку пользователь всегда входит в систему, параметр Требовать входа для пользователей включен и не может быть отключен. Вы можете использовать общий доступ к агенту, чтобы контролировать, кто может общаться с агентом в вашей организации.
Аутентификация вручную:
Если провайдер сервиса — Microsoft Entra ID, вы можете включить Требуйте от пользователей входа чтобы контролировать, кто в вашей организации может общаться с агентом через обмен агентами.
Если поставщик услуг — Универсальный OAuth2, вы можете включить или выключить Требовать входа для пользователей. Когда он включен, пользователь, вошедший в систему, может общаться с агентом. Вы не можете контролировать, какие конкретные пользователи в вашей организации могут общаться с агентом, используя общий доступ к агентам.
Когда настройка аутентификации агента не позволяет контролировать, кто может с ним общаться, и вы выбираете «Поделиться » на странице обзора агента, появляется сообщение, что любой может общаться с вашим агентом.
Поля аутентификации вручную
В следующей таблице описаны поля, с которыми вы можете столкнуться при настройке ручной аутентификации. Конкретные поля, которые вы увидите, зависят от вашего выбора поставщика услуг.
| Имя поля | Описание |
|---|---|
| Шаблон URL-адреса авторизации | Шаблон URL-адреса для авторизации, как он определен вашим поставщиком удостоверений. Например: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Шаблон строки запроса URL-адреса авторизации | Шаблон запроса для авторизации, определенный вашим поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Код клиента | Ваш идентификатор клиента, полученный от поставщика удостоверений. |
| Секрет клиента | Ваш секрет клиента, полученный при создании регистрации приложения поставщика удостоверений. |
| Client Certificate KeyVault URL | URL KeyVault, где хранится ваш клиентский сертификат. Требуется для аутентификации Microsoft Entra ID с сертификатами. |
| Тип предоставления | Тип гранта OAuth2, который вы хотите использовать. |
| Требуется ли претензия x5c | Укажите, требуется ли требование x5c в запросе токена. Требуется для аутентификации Microsoft Entra ID с сертификатами. |
| URL-адрес входа | URL, куда пользователям направляют войти в систему. |
| Обновить шаблон основного текста | Шаблон для текста обновления (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Обновить шаблон строки запроса URL-адреса | Разделитель строки запроса URL-адреса обновления для URL-адреса маркера, обычно знак вопроса (?). |
| Обновить шаблон URL-адреса | Шаблон URL для обновления; например, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| URL-адрес ресурса | URL ресурса, для которого запрашивается токен. |
| Разделитель списка областей | Символ разделителя для списка областей. Пустые места в этом поле не поддерживаются.1 |
| Scopes | Список областей, которые должны быть у пользователей после входа в систему. Используйте Разделитель списка областей для разделения нескольких областей.1 Устанавливайте только необходимые области и следуйте принципу управления доступом с наименьшими привилегиями. |
| Поставщик услуг | Поставщик услуг, которого вы хотите использовать для аутентификации. Для получения дополнительной информации см. раздел Универсальные поставщики OAuth. |
| Идентификатор арендатора | Ваш идентификатор клиента Microsoft Entra ID. Прочтите Использование существующего клиента Microsoft Entra ID, чтобы узнать, как найти свой идентификатор клиента. |
| Шаблон текста маркера | Шаблон для текста маркера. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL обмена токенами (требуется для единого входа (SSO)) | Это необязательное поле используется, когда вы настраиваете единый вход. |
| Шаблон URL-адреса токена | Шаблон URL для маркеров, как предоставляется вашим поставщиком удостоверений; например, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Шаблон строки запроса URL-адреса токена | Разделитель строки запроса для URL-адреса маркера, обычно знак вопроса (?). |
1 Вы можете использовать области в поле Области, если это требуется поставщику удостоверений. В этом случае введите запятую (,) в Разделитель списка областей и введите пробелы в поле Области.
Отключение аутентификации
Открыв агент, выберите Настройки в верхней строке меню.
Выберите «Безопасность», затем «Аутентификацию».
Выберите Без аутентификации.
Если тема использует переменные аутентификации, они становятся неизвестными переменными. Перейдите на страницу Темы, чтобы увидеть, в каких темах есть ошибки, и исправьте их перед публикацией.
Опубликуйте агент.
Important
Если у вашего агента настроены инструменты, требующие учетные данные пользователя, не отключайте аутентификацию на уровне агента. Это действие мешает этим инструментам работать.