Condividi tramite

Configurare l'autenticazione utente con Microsoft Entra ID

L'autenticazione di un agente consente agli utenti di accedere, dando all'agente l'accesso a una risorsa o informazioni limitate.

Questo articolo spiega come configurare Microsoft Entra ID come provider di servizi. Per informazioni su altri provider di servizi e sull'autenticazione utente in generale, vedi Configurare l'autenticazione utente in Copilot Studio.

Se hai i diritti di amministrazione del tenant puoi configurare le autorizzazioni API. Altrimenti, è necessario chiedere a un amministratore del tenant di farlo al posto tuo.

Prerequisiti

Informazioni su come aggiungere l'autenticazione dell'utente a un argormento

Completa i primi passaggi nel portale di Azure e i due passaggi finali in Copilot Studio.

Creare una registrazione app

  1. Accedi al portale Azure usando un account amministratore nello stesso tenant del tuo agente.

  2. Vai a Registrazioni app.

  3. Seleziona Nuova registrazione e immetti un nome per la registrazione. Non modificare le registrazioni delle app esistenti.

    Può essere utile usare il nome dell'agente in un secondo momento. Ad esempio, se il tuo agente si chiama "Contoso Sales Help", potresti denominare la registrazione dell'app "ContosoSalesReg".

  4. In Tipi di account supportati selezionare Account solo in questa directory organizzativa (solo Contoso - Tenant singolo)

  5. Lascia la sezione URI di reindirizzamento vuota per ora. Immetti tali informazioni nei passaggi successivi.

  6. Selezionare Registrazione.

  7. Una volta completata la registrazione, vai a Panoramica.

  8. Copia l'ID applicazione (client) e incollalo in un file temporaneo. Ti servirà in un secondo momento.

Aggiungere l'URL di reindirizzamento

  1. In Gestisci seleziona Autenticazione.

  2. In Configurazioni della piattaforma seleziona Aggiungi una piattaforma, quindi seleziona Web.

  3. In URI di reindirizzamento immettere https://token.botframework.com/.auth/web/redirect o https://europe.token.botframework.com/.auth/web/redirect per Europa. È anche possibile copiare l'URI dalla casella di testo URL di reindirizzamento nella pagina delle impostazioni di Sicurezza di Copilot Studio in Autenticare manualmente.

    Questa azione ti riporta alla pagina Configurazioni piattaforma.

  4. Selezionare entrambi i token di accesso (usati per i flussi impliciti) e i token ID (usati per i flussi impliciti e ibridi).

  5. Seleziona Configura.

Configurare l'autenticazione manuale

Configurare quindi l'autenticazione manuale. È possibile scegliere tra più opzioni per il provider, ma è consigliabile usare Microsoft Entra ID V2 con credenziali federate. È anche possibile usare i segreti client se non è possibile usare le credenziali federate.

Configurare l'autenticazione manuale usando le credenziali federate

  1. In Copilot Studio, vai su Impostazioni per l'agente e seleziona Sicurezza.

  2. Seleziona Autenticazione.

  3. Seleziona Autentica manualmente.

  4. Lascia Richiedi agli utenti di accedere abilitata.

  5. Immetti i seguenti valori per le proprietà:

    • Provider di servizi: selezionare Microsoft Entra ID V2 con credenziali federate.

    • ID client: immetti l'ID applicazione (client) copiato in precedenza dal portale di Azure.

  6. Selezionare Salva per visualizzare l'autorità emittente di credenziali federate e il valore.

  7. Copiare l'emittente di credenziali federate e il valore della credenziale federata e incollarli in un file temporaneo. Ti servirà in un secondo momento.

  8. Passare al portale di Azure e alla registrazione dell'app creata in precedenza. In Gestisci selezionare Certificati e segreti e quindi Credenziali federate.

  9. Seleziona Aggiungi credenziali.

  10. In Scenario di credenziali federate selezionare Altro emittente.

  11. Immetti i seguenti valori per le proprietà:

    • Emittente: Immettere il valore dell'emittente della credenziale federativa copiato in precedenza da Copilot Studio.
    • Valore: immettere i dati del valore delle credenziali federati copiati in precedenza da Copilot Studio.
    • Nome: fornisci un nome.

  12. Selezionare Aggiungi per completare la configurazione.

Configurare autorizzazioni API

  1. Vai ad Autorizzazioni API.

  2. Seleziona Concedi consenso amministratore per <nome del tenant> e quindi . Se il pulsante non è disponibile, potrebbe essere necessario chiedere a un amministratore del tenant di inserirlo per te.

    Screenshot della finestra delle autorizzazioni API con un'autorizzazione del tenant evidenziata.

    Importante

    Per evitare che gli utenti debbano fornire il consenso per ciascuna applicazione, qualcuno con il ruolo di amministratore dell'applicazione o amministratore dell'applicazione cloud può concedere il consenso a livello di tenant alle registrazioni dell'applicazione.

  3. Seleziona Aggiungi un'autorizzazione, quindi seleziona Microsoft Graph.

    Screenshot della finestra Richiedi autorizzazioni API con Microsoft Graph evidenziato.

  4. Seleziona Autorizzazioni delegate.

    Screenshot con le autorizzazioni delegate evidenziate.

  5. Espandi Autorizzazioni OpenId e attiva openid e profilo.

    Screenshot con autorizzazioni OpenId, openid e profilo evidenziati.

  6. Selezionare Aggiungi autorizzazioni.

Definire l'ambito personalizzato per l'agente

Gli ambiti ti consentono di determinare i ruoli utente e amministratore e i diritti di accesso. Crea un ambito personalizzato per la registrazione dell'app canvas creata in un passaggio successivo.

  1. Vai a Esponi un'API e seleziona Aggiungi un ambito.

    Screenshot con Esponi un'API e il pulsante Aggiungi un ambito evidenziato.

  2. Imposta le proprietà seguenti. Puoi lasciare vuote le altre proprietà.

    Proprietà valore
    Nome ambito Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Chi può concedere il consenso? Seleziona Amministratori e utenti
    Nome visualizzato consenso dell'amministratore Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Descrizione consenso dell'amministratore Immetti Allows the app to sign the user in.
    Provincia Seleziona Abilitato

  3. Seleziona Aggiungi ambito.

Configurare l'autenticazione in Copilot Studio

  1. In Copilot Studio, in Impostazioni, seleziona Sicurezza>Autenticazione.

  2. Seleziona Autentica manualmente.

  3. Lascia Richiedi agli utenti di accedere abilitata.

  4. Seleziona un Fornitore di servizi e fornisci i valori richiesti. Vedi Configurazione dell'autenticazione manuale in Copilot Studio.

  5. Seleziona Salva.

Suggerimento

L'URL di scambio del token viene utilizzato per scambiare il token On-Behalf-Of (OBO) con il token di accesso richiesto. Per ulteriori informazioni, vedi Configura Single Sign-on con Microsoft Entra ID.

Nota

Gli ambiti dovrebbero includere profile openid e quanto segue, a seconda del caso d'uso:

  • Sites.Read.All Files.Read.All per SharePoint
  • ExternalItem.Read.All per il grafico delle connessioni
  • https://[OrgURL]/user_impersonation per dati strutturati Dataverse

Ad esempio, i dati strutturati Dataverse dovrebbero avere gli ambiti seguenti: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testare l'agente

  1. Pubblicare l'agente.

  2. Nel pannello Testa il tuo agente invia un messaggio al tuo agente.

  3. Quando l'agente risponde, seleziona Accedi.

    Si apre una nuova scheda nel browser che ti chiede di accedere.

  4. Accedi, quindi copia il codice di convalida visualizzato.

  5. Incolla il codice nella chat agente per completare il processo di accesso.

    Screenshot di un'autenticazione utente riuscita in una conversazione agente, con il codice di convalida evidenziato.