Web- und Kanalsicherheit von Direct Line konfigurieren
Wenn Sie einen Microsoft Copilot Studio-Copiloten erstellen, ist er in den Kanälen Demo-Website und Benutzerdefinierte Website sofort für alle verfügbar, die die Copiloten-ID kennen. Diese Kanäle sind standardmäßig verfügbar und es ist keine Konfiguration erforderlich.
Für die Microsoft Teams-App können Sie erweiterte Sicherheitsoptionen für Webkanäle konfigurieren.
Anmerkung
Wenn Sie nur eine Teams Lizenz haben, können Sie keine Geheimnisse generieren, um einen sicheren Zugriff zu ermöglichen. Sichere Zugriffstoken werden automatisch für Sie erstellt und der sichere Zugriff ist standardmäßig aktiviert.
Benutzende können die Copiloten-ID direkt über Microsoft Copilot Studio finden oder indem Sie sie von jemandem erhalten. Je nach der Fähigkeit des Copiloten und der Sensitivität ist dies jedoch möglicherweise nicht erwünscht.
Mit Direct Line-basierter Sicherheit können Sie den Zugriff nur auf Standorte aktivieren, die Sie steuern, indem Sie den gesicherten Zugriff mit Direct Line-Geheimnissen oder Tokens aktivieren.
Sie können auch Geheimnisse austauschen und neu generieren sowie Tokens aktualisieren und den gesicherten Zugriff einfach deaktivieren, wenn Sie ihn nicht mehr verwenden möchten.
Anmerkung
Microsoft Copilot Studio verwendet den Bot Framework Direct Line-Kanal, um Ihre Webseite oder App mit dem Copiloten zu verbinden.
Sicherheit des Webkanals aktivieren oder deaktivieren
Sie können die Verwendung von Geheimnissen und Tokens für jeden einzelnen Copiloten erzwingen.
Sobald diese Option aktiviert ist, muss der Client für Kanäle seine Anforderungen entweder mit einem Geheimnis oder durch Verwenden eines Tokens, das mithilfe des Geheimnisses generiert wird authentifizieren, das zur Laufzeit abgerufen wird.
Jeder Zugriff auf den Copiloten, der diese Sicherheitsmaßnahme nicht bietet, funktioniert nicht.
Wählen Sie unter Ihrem Copiloten unter Einstellungen die Option Sicherheit aus. Wählen Sie dann die Kachel Webkanalsicherheit aus.
Schalten Sie Gesicherten Zugang erforderlich machen auf Aktiviert.
Warnung
Sobald „Gesicherten Zugriff erforderlich machen“ aktiviert oder deaktiviert ist, kann es bis zu zwei Stunden dauern, bis das System die Einstellungen weitergibt und sie wirksam werden. Bis dahin bleibt die vorherige Einstellung wirksam. Sie brauchen den Copiloten nicht zu veröffentlichen, damit diese Änderung wirksam wird.
Sie sollten vorausplanen, um zu vermeiden, dass Ihr Copilot unbeabsichtigt ausgesetzt wird.
Wenn Sie die Sicherheitsoption für den Webkanal deaktivieren müssen, können Sie dies durch Umschalten von Gesicherten Zugriff erforderlich machen auf Deaktiviert tun. Das Deaktivieren des gesicherten Zugriffs kann bis zu zwei Stunden dauern.
Verwenden von Geheimnissen oder Tokens
Wenn Sie eine Service-to-Service-App erstellen, ist es möglicherweise am einfachsten, das Geheimnis in den Anforderungen des Autorisierungsheaders anzugeben.
Wenn Sie eine App schreiben, in der der Client in einem Webbrowser oder einer mobilen App ausgeführt wird, oder wenn der Code für Kunden sichtbar sein könnte, müssen Sie Ihr Geheimnis gegen ein Token eintauschen. Wenn Sie keinen Token verwenden, kann Ihr Geheimnis beeinträchtigt sein. Geben Sie das Geheimnis im Autorisierungsheader an, wenn Sie die Anforderung zum Erwerb des Tokens in Ihrem Dienst stellen.
Tokens funktionieren nur für eine einzelne Unterhaltung und verfallen, sofern sie nicht aktualisiert werden.
Wählen Sie das Sicherheitsmodell, das für Ihre Situation am besten geeignet ist.
Warnung
Wir raten dringend davon ab, das Geheimnis in Code aufzudecken, der im Browser ausgeführt wird, entweder fest codiert oder über einen Netzwerkanruf übertragen.
Der Erwerb des Tokens mithilfe des Geheimnisses in Ihrem Servicecode ist der sicherste Weg, um Ihren Microsoft Copilot Studio-Copiloten zu schützen.
Geheimnisse abrufen
Sie benötigen das Geheimnis, damit Sie es in den Autorisierungsheaderanforderungen Ihrer App oder ähnlichem angeben können.
Wählen Sie im Navigationsmenü unter Einstellungen die Option Sicherheit. Wählen Sie dann die Kachel Webkanalsicherheit aus.
Wählen Sie Kopieren entweder für Geheimnis 1 oder Geheimnis 2, um es in die Zwischenablage zu kopieren. Wählen Sie das Sichtbarkeitssymbol , um das Geheimnis enthüllen. Eine Warnmeldung erscheint, bevor Sie es aufdecken können.
Geheimnisse austauschen
Wenn Sie das von Ihrem Copiloten verwendete Geheimnis ändern müssen, können Sie dies ohne Ausfallzeiten oder Unterbrechungen tun.
Microsoft Copilot Studio bietet Ihnen zwei Geheimnisse, die gleichzeitig funktionieren. Sie können das verwendete Geheimnis gegen das andere austauschen. Sobald die Geheimnisse ausgetauscht wurden und alle Benutzer über das neue Geheimnis verbunden sind, können Sie das Geheimnis sicher neu generieren.
Geheimnis erneut generieren
Um ein Geheimnis erneut zu generieren, wählen Sie Erneut generieren neben dem Geheimnis aus.
Warnung
Alle Benutzenden, die mit dem ursprünglichen Geheimnis oder einem von diesem Geheimnis erhaltenen Token verbunden sind, werden getrennt.
Ein Token generieren
Sie können ein Token generieren, das beim Starten einer einzelnen Copiloten-Unterhaltung verwendet werden kann. Weitere Informationen finden Sie im Abschnitt Direct Line-Token erhalten im Artikel Einen Copiloten an mobile oder benutzerdefinierte Apps veröffentlichen.
Stellen Sie die folgende Anforderung in Ihrem Servicecode, um das Geheimnis gegen ein Token auszutauschen. Ersetzen Sie
<SECRET>
mit dem Wert des Geheimnisses, das Sie in Schritt 1 erhalten haben.POST https://directline.botframework.com/v3/directline/tokens/generate Authorization: Bearer <SECRET>
Die folgenden Snippets enthalten Beispiele der generierten Tokenanforderung und der Antwort.
Beispielerstellung für eine Token-Anforderung
POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0
Beispielerstellung für eine Token-Antwort
HTTP/1.1 200 OK
[other headers]
{
"conversationId": "abc123",
"token": "RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn",
"expires_in": 1800
}
Wenn die Anforderung erfolgreich ist, enthält die Antwort ein Token, das für eine Unterhaltung gültig ist, und einen expires_in
-Wert, der die Anzahl der Sekunden angibt, bis das Token abläuft.
Damit das Token nützlich bleibt, müssen Sie das Token aktualisieren, bevor es abläuft.
Token aktualisieren
Ein Token kann beliebig oft aktualisiert werden, solange es nicht abgelaufen ist.
Ein abgelaufenes Token kann nicht aktualisiert werden.
Geben Sie zum Aktualisieren eines Tokens die folgende Anforderung aus und ersetzen Sie <TOKEN TO BE REFRESHED>
mit dem Token, das Sie aktualisieren möchten.
POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer <TOKEN TO BE REFRESHED>
Die folgenden Snippets enthalten Beispiele für die Anforderung zum Aktualsieren von Token und dessen Antwort.
Beispiel für eine Aktualisierungsanforderung
POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer CurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn
Beispiel für eine Aktualisierungsantwort
Wenn die Anforderung erfolgreich ist, enthält die Antwort ein neues Token, das für dieselbe Unterhaltung gültig ist, wie das vorherige Token, und einen expires_in
-Wert, der die Anzahl der Sekunden angibt, bis das neue Token abläuft.
Damit das neue Token nützlich bleibt, müssen Sie das Token erneut aktualisieren, bevor es abläuft.
HTTP/1.1 200 OK
[other headers]
{
"conversationId": "abc123",
"token": "RCurR_XV9ZA.cwA.BKA.y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xniaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0",
"expires_in": 1800
}
Weitere Informationen zum Aktualisieren eines Tokens finden Sie im Abschnitt Direct Line-Token aktualisieren im Thema Direct Line-API – Authentifizierung.