Configurar la autenticación de usuarios en Power Virtual Agents
Seleccione la versión de Power Virtual Agents que está usando aquí:
La autenticación permite a los usuarios iniciar sesión, lo que le da a su bot acceso a un recurso o información restringidos. Los usuarios pueden iniciar sesión con Azure Active Directory (Azure AD), o con cualquier proveedor de identidades OAuth2 como Google o Facebook.
Puede agregar autenticación de usuario a su bot al editar un tema.
Power Virtual Agents admite los proveedores de autenticación siguientes:
- Azure Active Directory v1
- Azure Active Directory v2
- Cualquier proveedor de identidades que cumpla con el estándar OAuth2.
Importante
Los cambios en la configuración de autenticación solo tendrán efecto después de que publique su bot. Asegúrese de planificar con anticipación antes de realizar cambios de autenticación en su bot.
Requisitos previos
Elegir una opción de autenticación
Power Virtual Agents admite varias opciones de autenticación. Elija la que se adapte a sus necesidades.
Para cambiar la configuración de autenticación de su bot, en el menú de navegación en Configuración en el panel lateral y, a continuación, vaya a la pestaña Seguridad y seleccione la tarjeta Autenticación.
Las siguientes opciones de autenticación están disponibles:
- Sin autenticación
- Solo para Teams
- Manual (para cualquier canal, incluido Teams)
Sin autenticación
Sin autenticación es la configuración estándar para bots que no se crean a partir de Teams. Los usuarios no pueden iniciar sesión y su bot solo puede obtener acceso a información y recursos públicos.
Solo para Teams
Importante
Cuando la opción Solo para Teams está seleccionada, se deshabilitarán todos los canales menos el canal Teams.
Además, la opción Solo para Teams no está disponible si su bot está integrado con Dynamics 365 Customer Service.
La autenticación de Teams, optimizada para el canal de Teams, es la configuración estándar para los bots que se crean a partir de Teams. Configura automáticamente la autenticación de Azure AD para Teams sin necesidad de configuración manual. Dado que la autenticación de Teams en sí misma identifica al usuario, no se solicita a los usuarios que inicien sesión mientras están en Teams, a menos que su bot necesite un ámbito ampliado.
Solo el canal de Teams está disponible si selecciona esta opción. Si necesita otros canales pero aún desea la autenticación para su bot, elija la autenticación Manual.
Si selecciona la opción Solo para Teams, las siguientes variables están disponibles en el lienzo de creación:
UserIDUserDisplayName
Para obtener más información acerca de estas variables y cómo usarlas, consulte Agregar autenticación de usuario en un bot de Power Virtual Agents.
Las variables AuthToken y IsLoggedIn no están disponibles con esta opción. Si necesita un token de autenticación, utilice la opción Manual.
Si cambias de la autenticación de Manual a Solo para Teams, y sus temas contienen las variables AuthToken o IsLoggedIn, se muestran como variables de tipo Desconocido después del cambio. Asegúrese de corregir cualquier tema con errores antes de publicar su bot.
Manual (para cualquier canal, incluido Teams)
Puede configurar cualquier proveedor de identidades de Azure AD, Azure AD V2 o OAuth2 con esta opción. Las siguientes variables están disponibles en el lienzo de creación después de configurar la autenticación manual:
UserIDUserDisplayNameAuthTokenIsLoggedIn
Para obtener más información acerca de estas variables y cómo usarlas, consulte Agregar autenticación de usuario en un bot de Power Virtual Agents.
Una vez que se guarda la configuración, asegúrese de publicar su bot para que los cambios surtan efecto.
Nota
Los cambios de autenticación solo surten efecto después de que se publique el bot.
Inicio de sesión de usuario obligatorio y uso compartido de bots
Requerir que los usuarios inicien sesión determina si un usuario necesita iniciar sesión antes de hablar con el bot. Es muy recomendable que active esta configuración cuando su bot necesite acceder a información confidencial o restringida.
Esta opción no está disponible cuando se ha elegido la opción Sin autenticación.
Si desactiva esta opción, su bot no pedirá a los usuarios que inicien sesión hasta que encuentre un tema que requiera que lo hagan.
Cuando activa esta opción, crea un tema del sistema llamado Requerir que los usuarios inicien sesión. Este tema solo es relevante para la configuración de autenticación Manual. Los usuarios siempre se autentican en Teams.
El tema Requerir que los usuarios inicien sesión se desencadena automáticamente para cualquier usuario que hable con el bot sin estar autenticado. Si el usuario no puede iniciar sesión, el tema lo redirige al tema del sistema Escalar.
El tema es de solo lectura y no se puede personalizar. Para verlo, seleccione Ir al lienzo de creación.
Controlar quién puede charlar con el bot en la organización
La opción Requerir que el usuario inicie sesión de la autenticación del bot en combinación determina si puede compartir el bot para controlar quién en su organización puede charlar con él. La configuración de autenticación no afecta al uso compartido de un bot para la colaboración.
Sin autenticación: cualquier usuario que tenga un vínculo al bot (o pueda encontrarlo, por ejemplo, en su sitio web) puede chatear con él. No puede controlar qué usuarios de su organización pueden chatear con el bot.
Solo para Teams: el bot solo funciona en el canal de Teams. Dado que el usuario siempre estará conectado, la configuración Requerir que los usuarios inicien sesión está activada y no se puede desactivar. Puede usar el uso compartido de bots para controlar quién de su organización puede chatear con el bot.
Manual (para cualquier canal, incluido Teams):
Si el proveedor de servicios es Azure Active Directory o Azure Active Directory V2, puede activar Requerir que los usuarios inicien sesión para controlar quién de su organización puede chatear con el bot mediante el uso compartido de bots.
Si el proveedor de servicios es OAuth2 genérica, puede activar o desactivar Requerir que los usuarios inicien sesión. Cuando está activada, un usuario que inicia sesión puede chatear con el bot. No puede controlar qué usuarios específicos de su organización pueden chatear con el bot mediante el uso compartido de bots.
Cuando la configuración de autenticación de un bot no puede controlar quién puede chatear con él, si selecciona Compartir en la página de información general del bot, un mensaje le informará de que cualquiera puede chatear con su bot.
Campos de autenticación manual
Los siguientes son todos los campos que puede ver cuando configura la autenticación manual. Los campos que verá dependen de su elección para proveedor de servicios.
| Nombre de campo | Description |
|---|---|
| Plantilla de la dirección URL de autorización | La plantilla de URL para autorización, definida por el proveedor de identidades. Por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Plantilla de la cadena de consulta de la dirección URL de autorización | La plantilla de consulta para autorización, tal como la proporciona su proveedor de identidades. Las claves de la plantilla de cadena de consulta variarán según el proveedor de identidades. |
| Client ID | Su id. de cliente, obtenido del proveedor de identidades. |
| Client secret | Su secreto de cliente, obtenido cuando creó el registro de la aplicación del proveedor de identidades. |
| Plantilla del cuerpo de actualización | La plantilla para el cuerpo de actualización. |
| Plantilla de la cadena de consulta de la dirección URL de actualización | El separador de cadena de consulta de URL de actualización para la URL del token, generalmente un signo de interrogación (?). |
| Plantilla de la dirección URL de actualización | La plantilla de URL para actualizar; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitador de la lista de ámbitos | El carácter separador de la lista de ámbitos. No se admiten los espacios vacíos en este campo.1 |
| Ámbitos | La lista de ámbitos que desea que los usuarios tengan después de iniciar sesión. Utilice el Delimitador de lista de ámbito para separar varios ámbitos.1 Solo establezca únicamente los ámbitos necesarios y siga el principio de control de acceso de privilegios mínimos. |
| Proveedor de servicios | El proveedor de servicios que desea utilizar para autenticación. Para obtener más información, consulte Proveedores genéricos de OAuth. |
| Id. de inquilino | Su id. de inquilino de Azure AD. Consulte Usar un inquilino de Azure AD existente para saber cómo encontrar su id. de inquilino. |
| Plantilla del cuerpo del token | La plantilla para el cuerpo de token. |
| Dirección URL de intercambio de tokens (necesaria para SSO) | Este es un campo opcional que se usa al configurar el inicio de sesión único. |
| Plantilla de URL de token | La plantilla de URL para tokens, tal como la proporciona su proveedor de identidades; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Plantilla de la cadena de consulta de la dirección URL de token | El separador de cadena de consulta para la URL del token, generalmente un signo de interrogación (?). |
1 Puede usar espacios en el campo Ámbitos si el proveedor de identidades lo requiere. En ese caso, escriba una coma (,) en Delimitador de la lista de ámbitos y escriba espacios en el campo Ámbitos.
Quitar la configuración de autenticación
- En el menú de navegación, en Configuración, seleccione Seguridad. A continuación, seleccione la tarjeta Autenticación.
- Seleccione Sin autenticación.
- Publique el bot.
Si se utilizan variables de autenticación en un tema, se convertirán en variables de tipo Desconocido. Vaya a la página Temas para ver qué temas tienen errores y corregirlos antes de publicarlos.