Konfigurace ověřování uživatele pomocí služby Microsoft Entra ID

Přidání ověřování k agentům umožňuje uživatelům přihlásit se a dát agentovi přístup k omezenému zdroji nebo informacím.

Tento článek popisuje, jak nakonfigurovat Microsoft Entra ID jako poskytovatele služeb. Chcete-li se dozvědět o dalších poskytovatelích služeb a ověřování uživatelů obecně, přečtěte si článek Konfigurace ověřování uživatele v Copilot Studio.

Pokud máte práva správ klienta, můžete konfigurovat oprávnění API. Jinak budete muset požádat správce klienta, aby to za vás provedl.

Předpoklady

Přečtěte si, jak přidat ověřování uživatelů k tématu

Prvních několik kroků provedete na Azure Portal a poslední dva kroky provedete v Copilot Studio.

Vytvoření registrace aplikace

1. Přihlaste se k portálu Azure pomocí účtu správce ve stejném tenantovi, jako je váš agent.

2. Přejděte na Registrace aplikace.

3. Zvolte Nová registrace a zadejte název a popis registrace. Neměňte existující registrace aplikací.

   Může být později užitečné použít jméno vašeho agenta. Pokud se například váš agent jmenuje „Contoso sales help“, můžete registraci aplikace pojmenovat „ContosoSalesReg“.

4. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři (pouze Contoso – Jeden tenant).

5. Ponechte část Adresa URI přesměrování zatím prázdnou. Tyto údaje zadáte v dalších krocích.

6. Vyberte Zaregistrovat.

7. Po dokončení registrace přejděte na Přehled.

8. Zkopírujte ID aplikace (klienta) a vložte jej do dočasného souboru. Budete jej potřebovat v dalších krocích.

Přidání adresy URL pro přesměrování

1. V části Spravovat vyberte Ověřování.

2. V části Konfigurace platformy vyberte Přidat platformu a poté vyberte Web.

3. V části Identifikátory URI pro přesměrování zadejte https://token.botframework.com/.auth/web/redirect nebo https://europe.token.botframework.com/.auth/web/redirect pro Evropu. Identifikátor URI můžete také zkopírovat z textového pole Adresa URL pro přesměrování v části Nastavení zabezpečení Copilot Studio v části Ověření ručně.

   Tato akce vás vrátí zpět na stránku Konfigurace platformy.

4. Vyberte oba přístupové tokeny (používané pro implicitní toky) a tokeny ID (používané pro implicitní a hybridní toky).

5. Vyberte a nakonfigurujte.

Konfigurace ručního ověřování

Dále nakonfigurujte ruční ověřování. Pro svého poskytovatele si můžete vybrat z několika možností, ale doporučujeme použít Microsoft Entra ID V2 s federovanými přihlašovacími údaji. Tajné kódy klienta můžete použít také v případě, že nemůžete použít federované přihlašovací údaje.

Konfigurace federovaných přihlašovacích údajů (doporučeno)

Konfigurace ručního ověřování pomocí federovaných přihlašovacích údajů

1. V aplikaci Copilot Studio přejděte na Nastavení pro agenta a vyberte Zabezpečení.

2. Vyberte Ověřování.

3. Vyberte Ověřit ručně.

4. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

5. Pro vlastnosti zadejte následující hodnoty:

   • Poskytovatel služeb: Vyberte Microsoft Entra ID V2 s federovanými přihlašovacími údaji.

   • ID klienta: Zadejte ID aplikace (klienta), které jste zkopírovali z Azure Portal.

6. Vyberte Uložit a zobrazte vystavitele a hodnotu federovaných přihlašovacích údajů.

7. Zkopírujte vystavitele federovaných přihlašovacích údajů a hodnotu federovaných přihlašovacích údajů a vložte je do dočasného souboru. Budete jej potřebovat v dalších krocích.

8. Přejděte na web Azure Portal a na registraci aplikace, kterou jste vytvořili dříve. V části Spravovat vyberte Certifikáty a tajné kódy a pak federované přihlašovací údaje.

9. Vyberte Přidat přihlašovací údaje.

10. V části Scénář federovaných přihlašovacích údajů vyberte Jiný vystavitel.

11. Pro vlastnosti zadejte následující hodnoty:

    • Vystavitel: Zadejte hodnotu federovaného vystavitele přihlašovacích údajů, kterou jste zkopírovali z Copilot Studio.
    • Hodnota: Zadejte hodnotu federovaných dat přihlašovacích údajů, kterou jste zkopírovali z Copilot Studio.
    • Název: Zadejte název.

12. Konfiguraci dokončíte výběrem Přidat.

Konfigurace tajných klíčů klienta

Vygenerování tajného klíče klienta

1. V části Správa vyberte Certifikáty & tajné klíče.

2. V části Tajné klíče klienta vyberte Nový tajný klíč klienta.

3. (Volitelné) Zadejte popis. Pokud jej nezadáte, vytvoří se automaticky.

4. Vyberte dobu vypršení. Vyberte nejkratší období, které je relevantní pro životnost vašeho agenta.

5. Vyberte Přidat k vytvoření tajného kódu.

6. Uložte Hodnotu tajného kódu do bezpečného dočasného souboru. Budete ho potřebovat při konfiguraci ověřování agent později.

Návod

Neopouštějte stránku, dokud nezkopírujete hodnotu tajného klíče klienta. Pokud tak učiníte, hodnota bude zatemněna a musíte vygenerovat nový tajný klíč klienta.

Konfigurace ručního ověřování pomocí tajných kódů klienta

1. V aplikaci Copilot Studio přejděte na Nastavení pro agenta a vyberte Zabezpečení.

2. Vyberte Ověřování.

3. Vyberte Ověřit ručně.

4. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

5. Pro vlastnosti zadejte následující hodnoty:

   • Poskytovatel služeb: Vyberte Microsoft Entra ID V2 s tajnými klíči klienta.

   • ID klienta: Zadejte ID aplikace (klienta), které jste zkopírovali z Azure Portal.

   • Tajný klíč klienta: Zadejte tajný klíč klienta, který jste dříve vygenerovali z Azure Portal.

   • Obory: Zadejte profile openid.

6. Výběrem tlačítka Uložit konfiguraci dokončete.

Konfigurace oprávnění API

1. Přejděte na Oprávnění API.

2. Vyberte Udělit souhlas správce pro <název vašeho klienta> a pak vyberte Ano. Pokud tlačítko není k dispozici, možná budete muset požádat správce tenanta, aby ho zadal za vás.

   

   Důležité

   Aby uživatelé nemuseli udělovat souhlas s každou aplikací, může někdo s rolí alespoň správce aplikací nebo správce cloudových aplikací udělit souhlas pro celého tenanta k registracím vaší aplikace.

3. Vyberte Přidat oprávnění a poté vyberte Microsoft Graph.

   

4. Vyberte Delegovaná oprávnění.

   

5. Rozbalte Oprávnění OpenId a zapněte openid a profile.

   

6. Vyberte Přidat oprávnění.

Definování vlastního rozsah pro agenta

Rozsahy umožňují určit uživatelské a administrátorské role a přístupová práva. Můžete vytvořit vlastní rozsah pro registraci aplikace plátna, kterou vytvoříte v pozdějším kroku.

1. Přejděte do Vystavit rozhraní API a vyberte Přidat rozsah.

   

2. Nastavte následující vlastnosti. Ostatní vlastnosti můžete nechat prázdné.

   Vlastnost	Hodnota
   Název oboru	Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
   Kdo může souhlasit?	Vyberte Správci a uživatelé
   Zobrazovaný název souhlasu správce	Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
   Popis souhlasu správce	Zadejte Allows the app to sign the user in.
   Stát	Vyberte Zapnuto

3. Vyberte Přidat rozsah.

Konfigurace ověřování v Copilot Studio

1. V Copilot Studio v části Nastavení vyberte Zabezpečení>Ověřování.

2. Vyberte Ověřit ručně.

3. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

4. Vyberte Poskytovatel služeb a zadejte požadované hodnoty. Viz Konfigurace ručního ověřování v Copilot Studio.

5. Zvolte Uložit.

Návod

Adresa URL pro výměnu tokenů se používá k výměně tokenu On-Behalf-Of (OBO) za požadovaný přístupový token. Další informace najdete v tématu Konfigurace jednotného přihlašování s Microsoft Entra ID.

Poznámka:

Obory by měly zahrnovat profile openid a následující v závislosti na vašem případu použití:

• Sites.Read.All Files.Read.All pro SharePoint
• ExternalItem.Read.All pro připojení aplikace Graph
• https://[OrgURL]/user_impersonation pro strukturovaná data Dataverse

Strukturovaná data Dataverse by například měla mít následující rozsahy: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Otestujte svého agenta

1. Publikujte agenta.

2. Na panelu Otestujte svého agenta odešlete zprávu svému agentovi.

3. Až agent odpoví, vyberte Přihlásit.

   Otevře se nová karta prohlížeče s výzvou k přihlášení.

4. Přihlaste se a poté zkopírujte zobrazený ověřovací kód.

5. Vložte kód do chatu agent a dokončete proces přihlášení.