Compartir a través de

Configurar autenticación de usuario con Microsoft Entra ID

La adición de autenticación a su agente permite a los usuarios iniciar sesión, lo que le da a su agente acceso a un recurso o información restringidos.

Este artículo cubre cómo configurar Microsoft Entra ID como su proveedor de servicios. Para obtener más información sobre otros proveedores de servicios y la autenticación de usuarios en general, consulte Configurar la autenticación de usuarios en Copilot Studio.

Si tiene derechos de administración de inquilinos, puede configurar los permisos de la API. De lo contrario, es posible que pedir a un administrador de inquilino que lo haga por usted.

Requisitos previos

Más información sobre cómo agregar autenticación de usuario a un tema

Complete los primeros pasos en Azure Portal y complete los dos últimos pasos en Copilot Studio.

Crear un registro de aplicación

  1. Inicie sesión en Azure Portal con una cuenta de administrador en el mismo inquilino que su agente.

  2. Vaya a Registros de aplicaciones.

  3. Seleccione Nuevo registro y escriba un nombre para el registro. No alterar registros de aplicaciones existentes.

    Puede ser útil posteriormente usar el nombre de su agente. Por ejemplo, si su agente se llama "Ayuda de ventas de Contoso", puede llamar al registro de la aplicación "ContosoSalesReg".

  4. En Tipos de cuenta admitidos, seleccione Solo cuentas en este directorio organizativo (Solo Contoso - Inquilino único).

  5. Deje la sección URI de redireccionamiento en blanco por ahora. Introduzca esa información en los siguientes pasos.

  6. Seleccione Registro.

  7. Una vez completado el registro, vaya a Información general.

  8. Copie el ID de la aplicación (cliente) y péguelo en un archivo temporal. Lo necesitará en pasos posteriores.

Agregar la URL de redireccionamiento

  1. En Administrar, seleccione Autenticación.

  2. Debajo de Configuraciones de plataforma, seleccione Agregar una plataforma y luego seleccione Web.

  3. En URI de redirección, escriba https://token.botframework.com/.auth/web/redirect o https://europe.token.botframework.com/.auth/web/redirect para Europa. También puede copiar el URI del cuadro de texto URL de redirección en la página de configuración de Seguridad de Copilot Studio bajo Autenticar manualmente.

    Esta acción le lleva de vuelta a la página de configuraciones de la plataforma.

  4. Seleccione tokens de acceso (usados para flujos implícitos) y tokens de identificador (usados para flujos implícitos e híbridos).

  5. Seleccione Configurar.

Configuración manual de la autenticación

A continuación, configure la autenticación manual. Puede elegir entre varias opciones para el proveedor, pero se recomienda usar Microsoft Entra ID V2 con credenciales federadas. También puede usar secretos de cliente si no puede usar credenciales federadas.

Configuración de la autenticación manual mediante credenciales federadas

  1. En Copilot Studio, vaya a Configuración para su agente y seleccione Seguridad.

  2. Seleccione Autenticación.

  3. Seleccione Autenticar manualmente.

  4. Deje Requerir que los usuarios inicien sesión activado.

  5. Introduzca los valores siguientes para las propiedades:

    • Proveedor de servicios: seleccione Microsoft Entra ID V2 con credenciales federadas.

    • Id. de cliente: introduzca el Id. de la aplicación (cliente) que copió antes desde Azure Portal.

  6. Seleccione Guardar para ver el emisor y el valor de las credenciales federadas.

  7. Copie el emisor de credenciales federadas y el valor de credencial federada y péguelo en un archivo temporal. Lo necesitará en pasos posteriores.

  8. Vaya al portal de Azure y al registro de aplicaciones que anteriormente creó. En Administrar, seleccione Certificados y secretos y, a continuación, Credenciales federadas.

  9. Seleccione Agregar credencial.

  10. En Escenario de credenciales federadas, seleccione Otro emisor.

  11. Introduzca los valores siguientes para las propiedades:

    • Emisor: introduzca el valor del emisor de la credencial federada que copió anteriormente en Copilot Studio.
    • Valor: introduzca el valor de los datos de la credencial federada que copió anteriormente en Copilot Studio.
    • Nombre: proporcione un nombre.

  12. Seleccione Agregar para finalizar la configuración.

Configurar permisos de API

  1. Vaya a Permisos de API.

  2. Seleccione Otorgar consentimiento de administrador para <su nombre de inquilino> y después seleccione . Si el botón no está disponible, es posible que tenga que pedirle a un administrador del inquilino que lo escriba por usted.

    Una captura de pantalla de la ventana Permisos de API, con un permiso de inquilino resaltado.

    Importante

    Para evitar que los usuarios tengan que dar su consentimiento a cada aplicación, alguien asignado con al menos el rol de Administrador de aplicaciones o un Administrador de aplicaciones en la nube puede conceder el consentimiento en todo el inquilino para los registros de aplicaciones.

  3. Seleccione Agregar un permiso y luego elija Microsoft Graph.

    Captura de pantalla de la ventana Permisos de solicitud de API, con Microsoft Graph resaltado.

  4. Seleccione Permisos delegados.

    Captura de pantalla con Permisos delegados resaltado.

  5. Expanda Permisos OpenId y active openid y perfil.

    Captura de pantalla con permisos OpenId, openid y perfil resaltados.

  6. Seleccione Agregar permisos.

Definir un ámbito personalizado para su agente

Los ámbitos le permite determinar los roles de usuario y administrador y los derechos de acceso. Crea un ámbito personalizado para el registro de la aplicación de lienzo que crea en un paso posterior.

  1. Vaya a Exponer una API y seleccione Agregar un ámbito.

    Captura de pantalla con Exponer una API y el botón Agregar un ámbito resaltados.

  2. Configure las siguientes propiedades. También puede dejar otras propiedades en blanco.

    Propiedad valor
    Nombre del ámbito Escriba un nombre que tenga sentido en su entorno, como Test.Read
    ¿Quién puede consentir? Seleccione Administradores y usuarios
    Nombre para mostrar del consentimiento del administrador Escriba un nombre que tenga sentido en su entorno, como Test.Read
    Descripción del consentimiento del administrador Introduzca Allows the app to sign the user in.
    Valor Seleccione Habilitado

  3. Seleccione Agregar ámbito.

Configurar autenticación en Copilot Studio

  1. En Copilot Studio, bajo Configuración, seleccione Seguridad>Autenticación.

  2. Seleccione Autenticar manualmente.

  3. Deje Requerir que los usuarios inicien sesión activado.

  4. Seleccione un proveedor de servicios y proporcione los valores requeridos. Consulte Configurar la autenticación manual en Copilot Studio.

  5. Seleccione Guardar.

Propina

La URL de intercambio de token se utiliza para intercambiar el token de representación (OBO) por el token de acceso solicitado. Para más información, consulte Configurar el inicio de sesión único con Microsoft Entra ID.

Nota

Los ámbitos deben incluir profile openid y lo siguiente, según su caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para conexión de Graph
  • https://[OrgURL]/user_impersonation para datos estructurados de Dataverse

Por ejemplo, los datos de estructura de Dataverse debe tener los siguientes ámbitos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Probar el agente

  1. Publique su agente.

  2. En el panel Probar el agente, envíe un mensaje a su agente.

  3. Cuando el agente responda seleccione Iniciar sesión.

    Se abre una nueva pestaña del navegador que le pedirá que inicie sesión.

  4. Inicie sesión y luego copie el código de validación que se muestra.

  5. Pegue el código en el chat del agente para completar el proceso de inicio de sesión.

    Captura de pantalla de una autenticación de usuario correcta en una conversación del agente, con el código de validación resaltado.