تكوين مصادقة المستخدم باستخدام Microsoft Entra ID

عند إضافة مصادقة إلى وكيلك، يمكن للمستخدمين تسجيل الدخول ومنح الوكيل حق الوصول إلى مورد أو معلومات مقيدة.

تشرح هذه المقالة كيفية تكوين Microsoft Entra ID كموفر الخدمة. للحصول على معلومات حول موفري الخدمات الآخرين ومصادقة المستخدم، راجع تكوين مصادقة المستخدم في Copilot Studio.

إذا كان لديك حقوق إدارة المستأجر، يمكنك تكوين أذونات API. وإلا، اطلب من مسؤول المستأجر منح هذه الأذونات.

المتطلبات

اعرف كيفية إضافة مصادقة مستخدم إلى موضوع

أكمل الخطوات العديدة الأولى في مدخل Microsoft Azure، وأكمل الخطوتين الأخيرتين في Copilot Studio.

إنشاء تسجيل تطبيق

  1. سجل الدخول إلى مدخل Azure باستخدام حساب مسؤول في نفس المستأجر مثل الوكيل.

  2. انتقل إلى تسجيلات التطبيق.

  3. حدد تسجيل جديد وأدخل اسما للتسجيل. لا تغير تسجيلات التطبيقات الموجودة.

    قد يكون من المفيد لاحقا استخدام اسم عاملك. على سبيل المثال، إذا كان وكيلك يسمى "مساعد مبيعات Contoso"، فقد تسمي تسجيل التطبيق "تسجيل ContosoSalesReg".

  4. ضمن أنواع الحسابات المدعومة، حدد الحسابات الموجودة في هذا الدليل التنظيمي فقط (Contoso فقط - مستأجر واحد).

  5. اترك قسم عنوان URI لإعادة التوجيه فارغًا الآن. أدخل هذه المعلومات في الخطوات التالية.

  6. حدد تسجيل.

  7. بعد انتهاء التسجيل، انتقل إلى نظرة عامة.

  8. انسخ معرف التطبيق (العميل) والصقه في ملف مؤقت. تحتاج إليها في خطوات لاحقة.

قم بإضافة عنوان URL لإعادة التوجيه

  1. ضمن إدارة، حدد مصادقة.

  2. ضمن تكوينات النظام الأساسي، حدد إضافة نظام أساسي، ثم حدد ويب.

  3. ضمن عناوين URI لإعادة التوجيه، أدخل https://token.botframework.com/.auth/web/redirect أو https://europe.token.botframework.com/.auth/web/redirect لأوروبا. يمكنك أيضًا نسخ URI من Redirect URL ضمن صفحة إعدادات الأمان في Copilot Studio تحت خيار المصادقة يدويًا.

    يعيدك هذا الإجراء إلى صفحة تكوينات النظام الأساسي.

    للحصول على قائمة بالخدمات المطلوبة التي يتصل بها Copilot Studio، بما في ذلك token.botframework.com، راجع الخدمات المطلوبة.

  4. حدد كلا من رموز الوصول المميزة (المستخدمة للتدفقات الضمنية) والرموز المميزة للمعرف (المستخدمة للتدفقات الضمنية والمختلطة).

  5. حدد تكوين.

تكوين المصادقة اليدوية

في الخطو التالية، قم بتكوِين المصادقة اليدوية. يمكنك الاختيار من بين خيارات متعددة لموفر الخدمة. ومع ذلك، استخدم Microsoft Entra ID V2 مع بيانات الاعتماد الموحدة. يمكنك أيضًا استخدام أسرار العميل إذا كنت غير قادر على استخدام بيانات الاعتماد الموحدة.

تكوين المصادقة اليدوية باستخدام بيانات الاعتماد الموحدة

يقوم Copilot Studio تلقائيا بإنشاء بيانات اعتماد الهوية الموحدة (FIC) بشكل افتراضي في Azure App Registration لتمكين المصادقة الآمنة غير السرية باستخدام رموز OpenID Connect المميزة قصيرة الأجل. يزيل أسلوب المصادقة هذا الأسرار المخزنة، ويقلل من مخاطر بيانات الاعتماد، ويتوافق مع معايير الأمان ثقة معدومة Microsoft.

  1. في Copilot Studio، انتقل إلى الإعدادات لعاملك، وحدد الأمان.

  2. حدد المصادقة.

  3. حدد المصادقة يدويًا.

  4. اترك مطالبة المستخدمين بتسجيل الدخول.

  5. أدخل القيم التالية للخصائص:

    • موفر الخدمة: حدد Microsoft Entra ID V2 مع بيانات الاعتماد الموحدة.

    • معرف العميل: أدخل معرف التطبيق (العميل) الذي نسخته سابقا من مدخل Azure.

  6. حدد حفظ لمشاهدة مصدر بيانات الاعتماد الموحدة والقيمة.

  7. انسخ جهة إصدار بيانات الاعتماد الموحدة وقيمة بيانات الاعتماد الموحدة والصقها في ملف مؤقت. تحتاج إليها في خطوات لاحقة.

  8. انتقل إلى مدخل Microsoft Azure وتسجيل التطبيق الذي أنشأته مسبقا. ضمن إدارة، حدد الشهادات والأسرار ثم بيانات الاعتماد الموحدة.

  9. حدد إضافة بيانات اعتماد.

  10. ضمن سيناريو بيانات الاعتماد الموحدة، حدد جهة إصدار أخرى.

  11. أدخل القيم التالية للخصائص:

    • جهة الإصدار: أدخل قيمة جهة إصدار بيانات الاعتماد الموحدة التي نسختها سابقا من Copilot Studio.
    • القيمة: أدخل بيانات قيمة بيانات الاعتماد الموحدة التي نسختها سابقا من Copilot Studio.
    • الاسم:قدم اسمًا.
  12. حدد إضافة لإنهاء التكوين.

تكوين أذونات API

  1. انتقل إلى أذونات API.

  2. حددمنح موافقة المسؤول <لاسم المستأجر الخاص بك> وحدد نعم. إذا لم يكن الزر متوفرا، فقد تحتاج إلى مطالبة مسؤول مستأجر بإدخاله نيابة عنك.

    لقطة شاشة لنافذة أذونات واجهة برمجة التطبيقات مع تمييز إذن المستأجر.

    مهم

    لتجنب اضطرار الْمُسْتَخْدِمين إلى الموافقة على كل تطبيق، يمكن لشخص معين على الأقل دور مسؤول التطبيق أو مسؤول تطبيق السحابة منح موافقة على مستوى المستأجر لتسجيلات التطبيق الخاص بك.

  3. حدد إضافة إذن، ثم حدد Microsoft Graph.

    لقطة شاشة لنافذة طلب الأذونات لـ API مع تمييز Microsoft Graph.

  4. حدد الأذونات المفوضة.

    لقطة شاشة توضح الأذونات المفوضة.

  5. قم بتوسيع أذونات OpenId وقم بتشغيل openid وملف التعريف.

    لقطة شاشة لأذونات OpenId وopenid وملف التعريف المميز.

  6. حدد إضافة أذونات.

تعريف نطاق مخصص لوكيلك

النطاقات تحدد أدوار الْمُسْتَخْدِم والمسؤول وحقوق الوصول. إنشاء نطاق مخصص لتسجيل تطبيق اللوحة.

  1. انتقل إلى كشف واجهة برمجة التطبيقات وحدد إضافة نطاق.

    لقطة شاشة لكشف واجهة برمجة التطبيقات وتمييز زر إضافة نطاق.

  2. عيِّن الخصائص الآتية. يمكنك ترك الخصائص الأخرى فارغة.

    الخاصية القيمة
    اسم النطاق أدخل اسما منطقيا في بيئتك، مثل Test.Read
    من يمكنه الموافقة؟ حدد المسؤولين والمستخدمين
    اسم عرض موافقة المسؤول أدخل اسما منطقيا في بيئتك، مثل Test.Read
    وصف موافقة المسؤول أدخل Allows the app to sign the user in.
    اَلْمنطقة حدد ‏‫مُمَكّن‬.
  3. حدد إضافة مجال.

قم بتكوين المصادقة في Copilot Studio

  1. في Copilot Studio، ضمن الإعدادات، حدد الأمان>المصادقة.

  2. حدد المصادقة يدويًا.

  3. اترك مطالبة المستخدمين بتسجيل الدخول.

  4. حدد موفر الخدمة وقدم القيم المطلوبة. راجع تكوين المصادقة اليدوية في Copilot Studio.

  5. حدد حفظ..

تلميح

استخدم عنوان URL لتبادل الرموز المميزة لتبادل رمز On-Behalf-Of (OBO) برمز الوصول المطلوب. لمزيد من المعلومات، راجع تكوين تسجيل الدخول الأحادي باستخدام Microsoft Entra ID.

إشعار

يجب أن تتضمن النطاقات profile openid والنطاقات التالية، حسب حالة الاستخدام لديك.

  • Sites.Read.All Files.Read.All لـ SharePoint
  • ExternalItem.Read.All للاتصال بالرسم البياني
  • https://[OrgURL]/user_impersonation للبيانات المنظمة في Dataverse

على سبيل المثال، يجب أن تحتوي البيانات المنظمة في Dataverse على النطاقات التالية: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

اختبار عاملك

  1. انشر الوكيل الخاص بك.

  2. في لوحة اختبار عاملك، أرسل رسالة إلى عاملك.

  3. عندما يستجيب العامل، حدد تسجيل دخول.

    يتم فتح علامة تبويب مستعرض جديدة، تطالبك بتسجيل الدخول.

  4. سجل الدخول، ثم انسخ رمز التحقق من الصحة المعروض.

  5. لإكمال عملية تسجيل الدخول، الصق التعليمات البرمجية في دردشة العامل.

    لقطة شاشة لمصادقة مستخدم ناجحة في محادثة مع تطبيق، مع تمييز رمز التحقق.