Konfigurace ověřování uživatelů v Copilot Studio
Ověřování umožňuje uživatelům přihlásit se a dát kopilotovi přístup k omezenému zdroji nebo informacím. Uživatelé se mohou přihlásit pomocí Microsoft Entra ID nebo s jakýmkoliv poskytovatelem identity OAuth2, jako je Google nebo Facebook.
Poznámka:
V Microsoft Teams můžete nakonfigurovat kopilota Copilot Studio, aby poskytoval možnosti ověřování, takže se uživatelé mohou přihlásit pomocí Microsoft Entra ID nebo jakéhokoli jiného poskytovatele identity OAuth2, jako je například účet Microsoft nebo Facebook.
Při úpravě téma můžete přidat k tématům ověřování koncového uživatele .
Důležité
Změny v konfiguraci ověřování se projeví až poté, co kopilota publikujete. Než provedete změny ověřování u svého kopilota, naplánujte si to dopředu.
Zvolte možnost ověřování
Copilot Studio podporuje několik možností ověřování. Vyberte takovou, která splňuje vaše potřeby.
Přejděte do Nastavení pro druhého pilota a vyberte Zabezpečení.
Vyberte Ověřování.
K dispozici jsou následující možnosti ověřování:
Zvolte Uložit.
Bez ověřování
Absence ověřování znamená, že váš kopilot nebude vyžadovat přihlášení uživatelů při interakci s kopilotem. Neověřená konfigurace znamená, že váš kopilot má přístup pouze k veřejným informacím a zdrojům. Klasičtí chatboti jsou ve výchozím nastavení nakonfigurováni tak, aby nevyžadovali ověření.
Upozornění
Výběr možnosti Bez ověřování umožňuje komukoli, kdo má odkaz, chatovat a komunikovat s vaším robot nebo druhým pilotem.
Ověřování doporučujeme použít, zejména pokud používáte robota nebo kopilota v rámci organizace nebo pro konkrétní uživatele, spolu s dalšími ovládacími prvky zabezpečení a zásad správného řízení.
Ověřit přes Microsoft
Důležité
Když je vybrána možnost Ověřit pomocí Microsoft , všechny kanály kromě kanálu Teams jsou zakázány.
Navíc možnost Authenticate with Microsoft není k dispozici pro kopiloty, kteří jsou integrováni s Dynamics 365 služby zákazníkům.
Tato konfigurace automaticky nastaví ověřování Microsoft Entra ID pro Teams bez nutnosti jakékoli ruční konfigurace. Protože samotné ověřování Teams identifikuje uživatele, uživatelé nejsou vyzváni k přihlášení, když jsou v Teams, pokud váš druhý pilot nevyžaduje rozšířený rozsah.
S touto možností je k dispozici pouze kanál Teams. Pokud potřebujete publikovat svého druhého pilota na jiných kanálech, ale přesto chcete ověření pro druhého pilota, zvolte Ověřit ručně.
Pokud vyberete Autentizovat pomocí Microsoftu, budou na redakčním plátně k dispozici následující proměnné:
User.IDUser.DisplayName
Další informace o těchto proměnných a jejich použití naleznete v části Přidání ověření koncového uživatele do témat.
User.AccessToken a User.IsLoggedIn proměnné nejsou u této možnosti dostupné. Pokud potřebujete ověřovací token, použijte možnost Ověřit ručně .
Pokud změníte z Ověřit ručně na Ověřit pomocí Microsoft a vaše témata obsahují proměnné User.AccessToken nebo User.IsLoggedIn, zobrazí se jako Neznámé proměnné po změně. Před publikováním kopilota nezapomeňte opravit všechna témata s chybami.
Ověřit ručně
Copilot Studio podporuje následující poskytovatele ověřování pod možností Ověřit ručně :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 s certifikáty
- Obecný OAuth 2 – Jakýkoli poskytovatel identity, který splňuje standard OAuth2
Po nakonfigurování ručního ověřování jsou na plátně pro vytváření obsahu k dispozici následující proměnné:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Další informace o těchto proměnných a jejich použití naleznete v části Přidání ověření koncového uživatele do témat.
Jakmile je konfigurace uložena, nezapomeňte publikovat svého kopilota, aby se změny projevily.
Poznámka:
- Změny ověřování se projeví až po zveřejnění kopilota.
- Toto nastavení lze ovládat pomocí odpovídajícího ovládacího prvku správce v Power Platform. Když je ovládací prvek povolen, zabrání tomu, aby byla povolena nebo zakázána možnost Ověřit ručně v rámci Copilot Studio. Ovládací prvek je vždy povolen a možnost Ověřit ručně nelze upravit v Copilot Studio.
Požadované přihlášení uživatele a sdílení kopilota
Vyžadovat přihlášení uživatelů určuje, zda se uživatel musí přihlásit, než bude mluvit s druhým pilotem. Důrazně doporučujeme zapnout toto nastavení pro druhé piloty, kteří potřebují přístup k citlivým nebo omezeným informacím.
Tato možnost není k dispozici pro možnosti Žádné ověření a Ověřit pomocí Microsoft .
Poznámka:
Tato možnost také není konfigurovatelná, když je zásada DLP v centru pro správu Power Platform je nakonfigurováno tak, aby vyžadovalo ověření. Další informace najdete v části Příklad ochrany před únikem informací – Vyžadování ověření koncového uživatele v kopilotech.
Pokud tuto možnost vypnete, kopilot nežádá uživatele, aby se přihlásili, dokud nenarazí na téma, který to vyžaduje.
Když tuto volbu zapnete, vytvoří se systém s názvem tématu Vyžadovat přihlášení uživatelů. Toto téma je relevantní pouze pro nastavení ověřování Ověřit ručně. Uživatelé jsou v Teams vždy ověřováni.
Téma Vyžadovat přihlášení uživatelů se automaticky spustí pro každého uživatele, který mluví s kopilotem, aniž by byl ověřen. Pokud se uživateli nepodaří přihlásit, téma přesměruje na téma systému Eskalovat.
Téma je pouze pro čtení a nelze ho přizpůsobit. Chcete-li to zobrazit, vyberte Přejít na plátno pro vytváření obsahu.
Kontrolujte, kdo může chatovat s kopilotem v organizaci
Ověření kopilota a nastavení Vyžadovat přihlášení uživatele společně určuje, zda můžete sdílet kopilota k určení, kdo ve vaší organizaci s ním může chatovat. Nastavení ověřování neovlivňuje sdílení kopilota pro spolupráci.
Bez ověřování: Chatovat s ním může každý uživatel, který má odkaz na druhého pilota (nebo jej může najít; například na vašem webu). Nemůžete určit, kteří uživatelé ve vaší organizaci mohou chatovat s kopilotem.
Ověření pomocí Microsoft: Kopilot funguje pouze na kanálu Teams. Protože uživatel je vždy přihlášen, nastavení Vyžadovat přihlášení uživatelů je zapnuto a nelze jej vypnout. Sdílení kopilota můžete použít k určení, kteří uživatelé ve vaší organizaci mohou chatovat s kopilotem.
Ověřit ručně:
Pokud je poskytovatel služeb buď Azure Active Directory, nebo Microsoft Entra ID, můžete zapnout Vyžadovat přihlášení uživatelů k ovládání, kdo ve vaší organizaci může chatovat s kopilotem pomocí sdílení kopilota.
Pokud je poskytovatel služeb Obecný protokol OAuth2, můžete zapnout nebo vypnout možnost Vyžadovat přihlášení uživatelů. Když je tato funkce zapnutá, uživatel, který se přihlásí, může s kopilotem chatovat. Nemůžete ovládat, kteří konkrétní uživatelé ve vaší organizaci mohou chatovat s kopilotem pomocí sdílení kopilota.
Když nastavení ověřování kopilota nemůže určit, kdo s ním může chatovat, pokud vyberete Sdílet na stránce s přehledem kopilota, informuje vás zpráva, že s vaším kopilotem může chatovat kdokoli.
Pole ručního ověřování
Následují všechna pole, která se mohou zobrazit při konfiguraci ručního ověřování. Která pole uvidíte, závisí na vaší volbě zprostředkovatele služeb.
| Název pole | Description |
|---|---|
| Šablona autorizační adresy URL | Šablona adresy URL pro autorizaci, jak ji definuje váš poskytovatel identity. Například https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Šablona řetězce dotazu na autorizační adresu URL | Šablona řetězce pro autorizaci, jak ji poskytuje váš poskytovatel identity. Klíče v šabloně řetězce dotazu se budou lišit v závislosti na zprostředkovateli identity (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Vaše ID klienta, získané od poskytovatele identity. |
| Tajný klíč klienta | Tajný klíč klienta získaný při vytvoření registrace aplikace poskytovatele identity. |
| Šablona textu aktualizace | Šablona pro tělo aktualizace (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Šablona řetězce dotazu na aktualizační adresu URL | Oddělovač řetězce dotazu adresy URL aktualizace pro adresu URL tokenu, obvykle otazník (?). |
| Šablona aktualizační adresy URL | Šablona adresy URL aktualizace, například https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Oddělovač seznamu rozsahů | Oddělovací znak pro seznam oborů. Prázdné mezery nejsou v tomto poli podporována.1 |
| Rozsahy | Seznam rozsahů, které chcete, aby uživatelé měli po přihlášení. K oddělení více rozsahů použijte Oddělovač seznamu oboru.1. Nastavte pouze nezbytné rozsahy a postupujte podle principu řízení přístupu s nejmenšími oprávněními. |
| Poskytovatel služby | Poskytovatel služeb, kterého chcete použít k ověření. Další informace naleznete v části OAuth obecní poskytovatelé. |
| ID tenanta | ID tenanta Microsoft Entra ID. Jak najít ID tenanta naleznete v tématu Použít existujícího tenanta Microsoft Entra ID. |
| Šablona textu tokenu | Šablona pro tělo tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Adresa URL pro výměnu tokenů (vyžadováno pro jednotné přihlašování) | Toto volitelné pole se používá, když konfigurujete jednotné přihlášení. |
| Šablona adresy URL tokenu | Šablona adresy URL pro tokeny, jak ji poskytuje váš poskytovatel identity, například https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Šablona řetězce dotazu na adresu URL tokenu | Oddělovač řetězce dotazu pro adresu URL tokenu, obvykle otazník (?). |
1 Můžete použít mezery v poli Rozsahy , pokud to poskytovatel identity vyžaduje. V takovém případě zadejte čárku (,) do pole Oddělovač seznamu rozsahů a do pole Rozsahy zadejte mezery.
Vypněte ověřování
S otevřeným kopilotem vyberte v horní liště nabídky Nastavení.
Vyberte Zabezpečení a poté vyberte Ověření.
Vyberte Žádné ověřování.
Pokud jsou v téma použity ověřovací proměnné, stanou se Neznámými proměnnými. Přejděte na stránku Témata , kde uvidíte, která témata obsahují chyby, a před publikováním je opravte.
Publikujte kopilota.
Důležité
Pokud má váš druhý pilot akce nakonfigurovány tak, aby používal přihlašovací údaje koncového uživatele, nevypínejte ověřování u druhého pilota úrovni, protože by to bránilo fungování těchto akcí.