Configurar la autenticación de usuarios en Microsoft Copilot Studio
Importante
Las capacidades y características de Power Virtual Agents son ahora parte de Microsoft Copilot Studio tras importantes inversiones en IA generativa e integraciones mejoradas en Microsoft Copilot.
Algunos artículos y capturas de pantalla pueden hacer referencia a Power Virtual Agents mientras actualizamos la documentación y el contenido de capacitación.
La autenticación permite a los usuarios iniciar sesión, lo que le da a su copiloto acceso a un recurso o información restringidos. Los usuarios pueden iniciar sesión con Microsoft Entra ID o con cualquier proveedor de identidades OAuth2 como Google o Facebook.
Nota
En Microsoft Teams, puede configurar un copiloto de Microsoft Copilot Studio para proporcionar funciones de autenticación, de forma que los usuarios puedan iniciar sesión con Microsoft Entra ID o cualquier Proveedor de identidades OAuth2, como una cuenta Microsoft o una cuenta de Facebook.
Puede agregar autenticación de usuario a su copiloto al editar un tema.
Microsoft Copilot Studio admite los proveedores de autenticación siguientes:
- Azure Active Directory v1
- Id. de Microsoft Entra
- Cualquier proveedor de identidades que cumpla con el estándar OAuth2
Importante
Los cambios en la configuración de autenticación solo tendrán efecto después de que publique su copiloto. Asegúrese de planificar con anticipación antes de realizar cambios de autenticación en su copiloto.
Elegir una opción de autenticación
Microsoft Copilot Studio admite varias opciones de autenticación. Elija la que se adapte a sus necesidades.
Para cambiar la configuración de autenticación de su copiloto, en el menú de navegación Configuración, vaya a la pestaña Seguridad y seleccione la tarjeta Autenticación.
Las siguientes opciones de autenticación están disponibles:
- Sin autenticación
- Solo para Teams y Power Apps
- Manual (para cualquier canal, incluido Teams)
Sin autenticación
Sin autenticación significa que el copiloto no requerirá que los usuarios inicien sesión cuando interactúen con el copiloto. Una configuración no autenticada significa que el copiloto solo podrá acceder a información y recursos públicos.
Precaución
Si selecciona la opción Sin autenticación permitirá a cualquier persona con el enlace chatear e interactuar con el bot o copiloto.
Se recomienda aplicar la autenticación, especialmente si está utilizando el bot o copiloto dentro de su organización o para usuarios específicos, junto con otros controles de seguridad y gobernanza.
Solo para Teams y Power Apps
Importante
Cuando la opción Solo para Teams y Power Apps está seleccionada, se deshabilitarán todos los canales menos el canal de Teams.
Además, la opción Solo para Teams y Power Apps no está disponible si su copiloto está integrado con Dynamics 365 Customer Service.
La autenticación de Teams y Power Apps está habilitada de forma predeterminada para los copilotos y copilotos que cree en Microsoft Copilot Studio.
Esta configuración establece automáticamente la autenticación del Id. de Microsoft Entra para Teams sin necesidad de configuración manual. Dado que la autenticación de Teams en sí misma identifica al usuario, no se solicita a los usuarios que inicien sesión mientras están en Teams, a menos que su copiloto necesite un ámbito ampliado.
Solo el canal de Teams está disponible si selecciona esta opción. Si necesita otros canales pero aún desea la autenticación para su copiloto (como cuando se usan características de IA generativa), debe elegir la opción de autenticación Manual.
Si selecciona la opción Solo para Teams y Power Apps, las siguientes variables están disponibles en el lienzo de creación:
UserIDUserDisplayName
Para obtener más información sobre estas variables y cómo utilizarlas, consulte Agregar autenticación de usuario final a un copiloto de Microsoft Copilot Studio.
Las variables AuthToken y IsLoggedIn no están disponibles con esta opción. Si necesita un token de autenticación, utilice la opción Manual.
Si cambias de la autenticación de Manual a Solo para Teams y Power Apps, y sus temas contienen las variables AuthToken o IsLoggedIn, se muestran como variables de tipo Desconocido después del cambio. Asegúrese de corregir cualquier tema con errores antes de publicar su copiloto.
Manual (para cualquier canal, incluido Teams)
Puede configurar cualquier proveedor de identidades Microsoft Entra ID v1, Microsoft Entra ID u OAuth2 compatible con esta opción. Las siguientes variables están disponibles en el lienzo de creación después de configurar la autenticación manual:
UserIDUserDisplayNameAuthTokenIsLoggedIn
Para obtener más información sobre estas variables y cómo utilizarlas, consulte Agregar autenticación de usuario final a un copiloto de Microsoft Copilot Studio.
Una vez que se guarda la configuración, asegúrese de publicar su copiloto para que los cambios surtan efecto.
Nota
Los cambios de autenticación solo surten efecto después de que se publique el copiloto.
Inicio de sesión de usuario obligatorio y uso compartido de copiloto
Requerir que los usuarios inicien sesión determina si un usuario necesita iniciar sesión antes de hablar con el copiloto. Es muy recomendable que active esta configuración cuando su copiloto necesite acceder a información confidencial o restringida.
Esta opción no está disponible cuando se elige la opción Sin autenticación.
Si desactiva esta opción, su copiloto no pedirá a los usuarios que inicien sesión hasta que encuentre un tema que requiera que lo hagan.
Cuando activa esta opción, crea un tema del sistema llamado Requerir que los usuarios inicien sesión. Este tema solo es relevante para la configuración de autenticación Manual. Los usuarios siempre se autentican en Teams.
El tema Requerir que los usuarios inicien sesión se desencadena automáticamente para cualquier usuario que hable con el copiloto sin estar autenticado. Si el usuario no puede iniciar sesión, el tema lo redirige al tema del sistema Escalar.
El tema es de solo lectura y no se puede personalizar. Para verlo, seleccione Ir al lienzo de creación.
Controlar quién puede charlar con el copiloto en la organización
La opción Requerir que el usuario inicie sesión de la autenticación del copiloto en combinación determina si puede compartir el copiloto para controlar quién en su organización puede charlar con él. La configuración de autenticación no afecta al uso compartido de un copiloto para la colaboración.
Sin autenticación: cualquier usuario que tenga un vínculo al copiloto (o pueda encontrarlo, por ejemplo, en su sitio web) puede chatear con él. No puede controlar qué usuarios de su organización pueden chatear con el copiloto.
Solo para Teams: el copiloto solo funciona en el canal de Teams. Dado que el usuario siempre estará conectado, la configuración Requerir que los usuarios inicien sesión está activada y no se puede desactivar. Puede usar el uso compartido de copiloto para controlar quién de su organización puede chatear con el copiloto.
Manual (para cualquier canal, incluido Teams):
Si el proveedor de servicios es Azure Active Directory o Microsoft Entra ID, puede activar Requerir que los usuarios inicien sesión para controlar quién de su organización puede chatear con el copiloto mediante el uso compartido de copiloto.
Si el proveedor de servicios es OAuth2 genérica, puede activar o desactivar Requerir que los usuarios inicien sesión. Cuando está activada, un usuario que inicia sesión puede charlar con el copiloto. No puede controlar qué usuarios específicos de su organización pueden chatear con el copiloto mediante el uso compartido de copiloto.
Cuando la configuración de autenticación de un copiloto no puede controlar quién puede chatear con él, si selecciona Compartir en la página de resumen del copiloto, un mensaje le informará de que cualquiera puede chatear con su copiloto.
Campos de autenticación manual
Los siguientes son todos los campos que puede ver cuando configura la autenticación manual. Los campos que verá dependen de su elección para proveedor de servicios.
| Nombre de campo | Descripción |
|---|---|
| Plantilla de la dirección URL de autorización | La plantilla de URL para autorización, definida por el proveedor de identidades. Por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Plantilla de la cadena de consulta de la dirección URL de autorización | La plantilla de consulta para autorización, tal como la proporciona su proveedor de identidades. Las claves de la plantilla de cadena de consulta variarán según el proveedor de identidades. |
| Id. de cliente | Su id. de cliente, obtenido del proveedor de identidades. |
| Client secret | Su secreto de cliente, obtenido cuando creó el registro de la aplicación del proveedor de identidades. |
| Plantilla del cuerpo de actualización | La plantilla para el cuerpo de actualización. |
| Plantilla de la cadena de consulta de la dirección URL de actualización | El separador de cadena de consulta de URL de actualización para la URL del token, generalmente un signo de interrogación (?). |
| Plantilla de la dirección URL de actualización | La plantilla de URL para actualizar; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitador de la lista de ámbitos | El carácter separador de la lista de ámbitos. No se admiten los espacios vacíos en este campo.1 |
| Ámbitos | La lista de ámbitos que desea que los usuarios tengan después de iniciar sesión. Utilice el Delimitador de lista de ámbito para separar varios ámbitos.1 Solo establezca únicamente los ámbitos necesarios y siga el principio de control de acceso de privilegios mínimos. |
| Proveedor de servicios | El proveedor de servicios que desea utilizar para autenticación. Para obtener más información, consulte Proveedores genéricos de OAuth. |
| Id. de inquilino | Su id. de inquilino de Microsoft Entra ID. Consulte Usar un inquilino de Microsoft Entra ID existente para saber cómo encontrar su id. de inquilino. |
| Plantilla del cuerpo del token | La plantilla para el cuerpo de token. |
| Dirección URL de intercambio de tokens (necesaria para SSO) | Este es un campo opcional que se usa al configurar el inicio de sesión único. |
| Plantilla de URL de token | La plantilla de URL para tokens, tal como la proporciona su proveedor de identidades; por ejemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Plantilla de la cadena de consulta de la dirección URL de token | El separador de cadena de consulta para la URL del token, generalmente un signo de interrogación (?). |
1 Puede usar espacios en el campo Ámbitos si el proveedor de identidades lo requiere. En ese caso, escriba una coma (,) en Delimitador de la lista de ámbitos y escriba espacios en el campo Ámbitos.
Quitar la configuración de autenticación
- En el menú de navegación, en Configuración, seleccione Seguridad. A continuación, seleccione la tarjeta Autenticación.
- Seleccione Sin autenticación.
- Publicar el copiloto.
Si se utilizan variables de autenticación en un tema, se convertirán en variables de tipo Desconocido. Vaya a la página Temas para ver qué temas tienen errores y corregirlos antes de publicarlos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de