Настройка безопасности веб- и каналов Direct Line

Когда вы создаёте Copilot Studio-агента, любой, кто знает ID агента, может сразу получить доступ к агенту через Demo сайт и Custom website. Эти каналы доступны по умолчанию, и их настройка не требуется.

Для приложения Microsoft Teams вы можете настроить расширенные параметры безопасности веб-канала.

Note

Если у вас есть только лицензия Teams, вы не можете создавать секреты для обеспечения безопасного доступа. Токены безопасного доступа создаются автоматически, а безопасный доступ включен по умолчанию.

Пользователи могут найти идентификатор агента прямо в Copilot Studio или получив его от кого-то. Однако, в зависимости от возможностей и чувствительности агента, такой доступ может быть нежелательным.

Используя систему безопасности на базе Direct Line, вы можете обеспечить доступ только к контролируемым вами точкам, обеспечив защищённый доступ с помощью секретов или токенов Direct Line.

Вы также можете менять и повторно создавать секреты и обновлять токены, а также легко отключать защищенный доступ, если вы больше не хотите его использовать.

Note

Copilot Studio использует канал Bot Framework Direct Line для подключения вашей веб-страницы или приложения к агенту.

Включение или отключение безопасности веб-канала

Вы можете принудительно использовать секреты и токены для каждого отдельного агента.

При включении этой опции каналы требуют аутентификации клиентов либо с помощью секрета , либо с помощью токена, который генерируется с помощью секрета, полученного во время выполнения.

Попытки получить доступ к агенту, не предоставляющие эту меру безопасности, не работают.

  1. Перейдите на страницу настроек вашего агента, выберите «Безопасность», а затем «Безопасность веб-канала».

Скриншот безопасности веб-канала, выделенный на флауте Настройки.

  1. Включите «Требуется защищённый доступ».

Предупреждение

Когда вы включаете или выключаете «Требуется защищённый доступ», система может воспользоваться до двух часов, чтобы распространить настройки и сработать. До тех пор действует предыдущая настройка. Вам не нужно публиковать агента, чтобы это изменение вступило в силу.

Планируйте заранее, чтобы не подвергать агента случайной угрозе.

Если вам нужно отключить опцию безопасности веб-канала, вы можете сделать это, очистив переключатель «Потребовать защищённого доступа ». Отключение защищенного доступа может занять до двух часов для распространения.

скриншот подтверждающего сообщения при отключении защищённого доступа, в котором говорится, что это действие делает демо-сайт и любой Direct Line канал неиспользующими секрет или токен. Действие может действовать до двух часов.

Использование секретов или токенов

Если вы создаете приложение для работы между службами, указание секрета в запросах заголовка авторизации может быть самым простым подходом.

Если вы создаете приложение, в котором клиент работает в веб-браузере или мобильном приложении, или его код как-то иначе может быть виден клиентам, вы должны изменить свой секрет на токен. Если вы не используете токен, ваш секрет может быть скомпрометирован. Когда вы делаете запрос на получение токена в своей службе, укажите секрет в заголовке авторизации.

Токены работают только для одного разговора, и их срок действия истечет, если они не будут обновлены.

Выберите модель безопасности, которая лучше всего подходит для вашей ситуации.

Предупреждение

Не раскрывайте секрет в коде, который работает в браузере, будь то жёстко закодированный или переданный через сетевой вызов.

Получение токена с помощью секрета в вашем сервисном коде — самый безопасный способ защитить вашего агента Copilot Studio.

Получение секретов

Вам требуется секрет, чтобы вы могли указать его в запросах заголовка авторизации вашего приложения или аналогичных.

  1. В меню навигации в разделе Параметры выберите Безопасность. Затем выберите плитку Безопасность веб-канала.

  2. Выберите Копировать для Секрет 1 или Секрет 2, чтобы скопировать его в буфер обмена. Выберите значок видимости, чтобы раскрыть секрет. Перед тем, как вы сможете ее показать, появляется предупреждение.

Обмен секретов

Если вам нужно изменить секрет, который использует ваш агент, вы можете изменить его без перерыва и перерывов.

Copilot Studio предоставляет вам два секрета, которые работают одновременно. Вы можете обменять секрет, который использует ваш агент, с другим. После того как секреты обмениваются местами и все ваши пользователи будут связаны с помощью нового секрета, вы можете восстановить его.

Повторно создать секрет

Чтобы повторно создать секрет, выберите Повторно создать рядом с секретом.

Предупреждение

Профиль пользователя, который подключается с использованием оригинального секрета или токена, полученного из этого секрета, отключается.

Генерация токена

Вы можете сгенерировать токен, который используете при начале разговора с одним агентом. Для получения дополнительной информации см. раздел Получение токена Direct Line в теме Публикация агента в мобильных или пользовательских приложениях.

  1. Получите секрет.

  2. В вашем сервисном коде отправьте следующий запрос на обмен секрета на токен. Замените <SECRET> значением секрета, полученным на шаге 1.

    POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer <SECRET>

Следующие фрагменты кода содержат примеры сгенерированного запроса токена и его ответа.

Пример запроса на создание токена

POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0

Пример ответа на запрос на создание токена

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn",
  "expires_in": 1800
}

Если запрос успешен, ответ содержит токен, действительный для одного разговора, и значение expires_in, указывающее количество секунд до истечения срока действия токена.

Чтобы токен оставался полезным, нужно обновить его до истечения срока действия.

Обновление токена

Вы можете обновлять токен неограниченное количество раз, если он не истёк.

Вы не можете обновить просроченный токен.

Чтобы обновить токен, отправьте следующий запрос и замените <TOKEN TO BE REFRESHED> на токен, который хотите обновить.

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer <TOKEN TO BE REFRESHED>

Следующие фрагменты кода содержат примеры запроса на обновление токена и его ответа.

Пример запроса на обновление

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer CurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn

Пример ответа на запрос обновления

Если запрос успешен, ответ содержит новый токен, действительный для того же разговора, что и предыдущий токен, и значение expires_in, указывающее количество секунд до истечения срока действия нового токена.

Чтобы новый токен оставался полезным, обновите его до истечения срока действия.

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xniaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0",
  "expires_in": 1800
}

Подробнее об обновлении токена см. в разделе Обновление токена Direct Line в статье Direct Line API — Аутентификация.

Связанный контент

  • Last updated on