Sdílet prostřednictvím

Konfigurace ověřování uživatele pomocí Microsoft Entra ID

  • Článek

Přidání ověřování do kopilota umožňuje uživatelům přihlásit se a udělit kopilotu přístup k omezenému prostředku nebo informacím.

Tento článek popisuje, jak nakonfigurovat Microsoft Entra ID jako poskytovatele služeb. Chcete-li se dozvědět o dalších poskytovatelích služeb a ověřování uživatelů obecně, přečtěte si článek Konfigurace ověřování uživatele v Copilot Studio.

Pokud máte práva správ klienta, můžete konfigurovat oprávnění API. Jinak budete muset požádat správce klienta, aby to za vás provedl.

Předpoklady

Zjistěte, jak přidat ověření koncového uživatele do tématu

Prvních několik kroků provedete na Azure Portal a poslední dva kroky provedete v Copilot Studio.

Vytvoření registrace aplikace

  1. Přihlaste se na Azure Portal pomocí účtu správce na stejném klientovi jako váš kopilot.

  2. Přejděte na Registrace aplikací.

  3. Zvolte Nová registrace a zadejte název a popis registrace. Neměňte existující registrace aplikací.

    Může být užitečné později použít název vašeho kopilota. Pokud se například váš kopilot jmenuje „Contoso sales help“, můžete registraci aplikace pojmenovat „ContosoSalesReg“.

  4. V části Podporované typy účtů vyberte Účty v libovolném organizačním klientovi (libovolný adresář Microsoft Entra ID – více tenantů) a osobní účty Microsoft (např. Skype, Xbox).

  5. Ponechte část Adresa URI přesměrování zatím prázdnou. Tyto údaje zadáte v dalších krocích.

  6. Vyberte Zaregistrovat.

  7. Po dokončení registrace přejděte na Přehled.

  8. Zkopírujte ID aplikace (klienta) a vložte jej do dočasného souboru. Budete jej potřebovat v dalších krocích.

Přidání adresy URL pro přesměrování

  1. V části Spravovat vyberte Ověřování.

  2. V části Konfigurace platformy vyberte Přidat platformu a poté vyberte Web.

  3. V části Identifikátory URI pro přesměrování zadejte https://token.botframework.com/.auth/web/redirect a vyberte Konfigurovat.

    Tato akce vás vrátí zpět na stránku Konfigurace platformy.

  4. V části Identifikátory URI pro přesměrování pro webovou platformu vyberte Přidat identifikátor URI.

  5. Zadejte https://europe.token.botframework.com/.auth/web/redirect a vyberte Uložit.

    Poznámka:

    V podokně konfigurace ověřování v aplikaci Copilot Studio se může zobrazit následující adresa URL pro přesměrování: https://unitedstates.token.botframework.com/.auth/web/redirect. Při použití této adresy URL se ověření nezdaří; místo toho použijte URI.

  6. V části Implicitní udělení oprávnění a hybridní toky zapněte Přístupové tokeny (používané pro implicitní toky) i Tokeny ID (používané pro implicitní a hybridní toky).

  7. Zvolte Uložit.

Vygenerování tajného klíče klienta

  1. V části Spravovat vyberte Certifikáty a tajné klíče.

  2. V části Tajné klíče klienta vyberte Nový tajný klíč klienta.

  3. (Volitelné) Zadejte popis. Pokud jej nezadáte, vytvoří se automaticky.

  4. Vyberte dobu vypršení. Vyberte nejkratší období, které je relevantní pro životnost vašeho kopilota.

  5. Vyberte Přidat k vytvoření tajného kódu.

  6. Uložte Hodnotu tajného kódu do bezpečného dočasného souboru. Budete ji potřebovat později při ověřování kopilota.

Tip

Neopouštějte stránku, dokud nezkopírujete hodnotu tajného klíče klienta. Pokud tak učiníte, hodnota bude zatemněna a musíte vygenerovat nový tajný klíč klienta.

Konfigurace ručního ověřování

  1. V Copilot Studio přejděte na Nastavení pro kopilota a vyberte Zabezpečení.

  2. Vyberte Ověřování.

  3. Vyberte Ověřit ručně.

  4. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

  5. Pro vlastnosti zadejte následující hodnoty:

    • Poskytovatel služby: Vyberte Azure Active Directory v2.

    • ID klienta: Zadejte ID aplikace (klienta), které jste zkopírovali z Azure Portal.

    • Tajný klíč klienta: Zadejte tajný klíč klienta, který jste dříve vygenerovali z Azure Portal.

    • Obory: Zadejte profile openid.

  6. Výběrem tlačítka Uložit konfiguraci dokončete.

Konfigurace oprávnění API

  1. Přejděte na Oprávnění API.

  2. Vyberte Udělit souhlas správce pro <název vašeho klienta> a pak vyberte Ano. Pokud tlačítko není k dispozici, možná budete muset požádat správce tenanta, aby ho zadal za vás.

    Screenshot okna s oprávněním API se zvýrazněným oprávněním klienta.

    Poznámka:

    Aby uživatelé nemuseli udělovat souhlas s každou aplikací, musí globální správce, správce aplikací nebo správce cloudových aplikací udělit souhlas celého klienta k registracím vaší aplikace.

  3. Vyberte Přidat oprávnění a poté vyberte Microsoft Graph.

    Screenshot okna s žádostí o oprávnění API se zvýrazněným nástrojem Microsoft Graph.

  4. Vyberte Delegovaná oprávnění.

    Screenshot se zvýrazněnými delegovanými oprávněními.

  5. Rozbalte Oprávnění OpenId a zapněte openid a profile.

    Screenshot se zvýrazněnými oprávněními OpenId, openid a profilem.

  6. Vyberte Přidat oprávnění.

Definice vlastního rozsahu kopilota

Rozsahy umožňují určit uživatelské a administrátorské role a přístupová práva. Můžete vytvořit vlastní rozsah pro registraci aplikace plátna, kterou vytvoříte v pozdějším kroku.

  1. Přejděte do Vystavit rozhraní API a vyberte Přidat rozsah.

    Screenshot se zvýrazněnými tlačítky Vystavit rozhraní API a Přidat rozsah.

  2. Nastavte následující vlastnosti. Ostatní vlastnosti můžete nechat prázdné.

    Vlastnost Hodnota
    Název oboru Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
    Kdo může souhlasit? Vyberte Správci a uživatelé
    Zobrazovaný název souhlasu správce Zadejte název, který dává smysl ve vašem prostředí, např. Test.Read
    Popis souhlasu správce Zadejte Allows the app to sign the user in.
    State Vyberte Zapnuto

  3. Vyberte Přidat rozsah.

Konfigurace ověřování v Microsoft Copilot Studio

  1. V Copilot Studio v části Nastavení vyberte Zabezpečení>Ověřování.

  2. Vyberte Ověřit ručně.

  3. Ponechte Vyžadovat přihlášení uživatelů zapnuté.

  4. Vyberte Poskytovatel služeb a zadejte požadované hodnoty. Viz Konfigurace ručního ověřování v Copilot Studio.

  5. Zvolte Uložit.

Tip

Adresa URL pro výměnu tokenů se používá k výměně tokenu On-Behalf-Of (OBO) za požadovaný přístupový token. Další informace najdete v tématu Konfigurace jednotného přihlašování s Microsoft Entra ID.

Poznámka:

Obory by měly zahrnovat profile openid a následující v závislosti na vašem případu použití:

  • Sites.Read.All Files.Read.All pro SharePoint
  • ExternalItem.Read.All pro připojení grafu
  • https://[OrgURL]/user_impersonation pro uzly zadání a strukturovaná data Dataverse
  • Například strukturovaná data Dataverse nebo uzel zadání by měly mít následující obory: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testování vašeho kopilota

  1. Publikujte kopilota.

  2. V podokně Testování kopilota odešlete kopilotovi zprávu.

  3. Když kopilot odpoví, vyberte Přihlášení.

    Otevře se nová karta prohlížeče s výzvou k přihlášení.

  4. Přihlaste se a poté zkopírujte zobrazený ověřovací kód.

  5. K dokončení procesu přihlášení vložte kód do chatu kopilota.

    Screenshot úspěšného ověření uživatele v konverzaci kopilota se zvýrazněným ověřovacím kódem.