次の方法で共有


Microsoft Entra ID を使用してシングル サインオンを構成する

Copilot Studio は、シングル サインオン (SSO) をサポートしています。 SSO は、Web サイトのエージェントが、エージェントが展開されているページやアプリにすでにサインインしている場合に、顧客がサインインできるようになります。

たとえば、エージェントは社内のイントラネットまたはユーザーが既にサインインしているアプリでホストされます。

Copilot Studio の SSO を構成する、5 つの主な手順があります:

  1. Microsoft Entra ID によるエージェントの手動認証を有効にします

  2. Microsoft Entra ID でカスタム キャンバスにアプリ登録を作成します。

  3. Microsoft Entra ID でエージェントのカスタム スコープを定義します。

  4. エージェント構成にカスタム スコープを追加します。

  5. カスタム キャンバスのクライアント側コードを構成して、SSO を有効にします。

前提条件

ヒント

他の OAuth 2.0 プロバイダーを使用して SSO を構成するには、 汎用 OAuth プロバイダーを使用したシングル サインオンの構成を参照してください。

サポート対象のチャネル

次の表は、現在 SSO をサポートしているチャネルの詳細です。 追加のチャネルのサポートは Copilot Studio アイデア フォーラム で提案できます。

チャネル サポート対象
Azure ボット サービス チャネル サポートしていません
カスタム Web サイト サポート対象
デモ Web サイト サポートしていません
フェイスブック サポートしていません
Microsoft Teams1 サポート対象
モバイル アプリ サポートしていません
顧客サービス用のオムニチャネル2 サポート対象
SharePoint1 サポート対象

1 Teams チャンネルも有効にしている場合は、Microsoft Teams のエージェント用に Microsoft Entra ID でシングルサインオンを構成するドキュメントの構成手順に従う必要があります。 そのページの指示に従って Teams SSO 設定を構成しないと、ユーザーは Teams チャネルを使用するときに常に認証に失敗します。

2 ライブ チャット チャネルのみがサポートされています。 詳細については、Dynamics 365 Customer Service へのハンドオフを構成する を参照してください。

重要

エージェントが次のいずれかの場合、SSO は現在サポートされていません。

ただし、SSO は、 SPFx コンポーネントとして SharePoint Web サイトに発行されたエージェントでサポートされています。

カスタム Web サイト用のアプリ登録を作成する

SSO を有効にするには、2 つの個別のアプリ登録を作成する必要です。

  • エージェントの Microsoft Entra ID ユーザー認証を可能にする 認証アプリ登録
  • カスタム Web ページの SSO を有効にするキャンバス アプリの登録

セキュリティ上の理由から、エージェントとカスタム Web サイトの両方で同じアプリ登録を再利用することはお勧めしません。

  1. Microsoft Entra ID を使用してユーザー認証を構成するの手順に従って、認証アプリ登録を作成します。

  2. キャンバス アプリの登録として機能する 2 つ目のアプリ登録を作成します。

トークンの交換 URL の追加

Copilot Studio の Microsoft Entra ID認証設定を更新するには、トークン エクスチェンジ URL を追加して、アプリと Copilot Studio が情報を共有できるようにする必要があります。

  1. 認証アプリの登録ページの Azure portal で、[ API の公開] に移動します。

  2. スコープの下で、クリップボードにコピー アイコンを選択します。

  3. Copilot Studio の ナビゲーション メニューの 設定 で、セキュリティ を選択して 認証 タイルを選択します。

  4. トークンの交換 URL (SSO に必要)に、先ほどコピーしたスコープを貼り付けます。

  5. 保存 を選びます。

API メニューを公開するようにキャンバス アプリ クライアント ID を構成する

  1. 認証アプリの登録ページの Azure portal で、[ 概要] に移動します。

  2. [要点] の下の [アプリケーション (クライアント) ID] の値をコピーします。

  3. ナビゲーション バーで、[管理>API をExpose] を選択します。

  4. [ 承認されたクライアント アプリケーション] で 、[ + クライアント アプリケーションの追加] を選択し、コピーしたクライアント ID を貼り付けます。

  5. 保存 を選びます。

キャンバス アプリの登録を構成する

  1. キャンバス アプリの登録を作成した後は、認証にアクセスし、プラットフォームの追加を選択します。

  2. プラットフォームの構成プラットフォームの追加、次に SPA を選択します。

  3. リダイレクト URI の下で、http://contoso.com/index.html などの Web ページの URL を入力します。

    Web の構成ページのスクリーンショット。

  4. 暗黙的な許可とハイブリッド フロー セクションで、アクセス トークン (暗黙的なフローに使用)ID トークン (暗黙的およびハイブリッド フローに使用) の両方をオンにします。

  5. 構成を選択します。

エージェントのトークン エンドポイント URL を見つける

  1. Copilot Studio で、エージェントを開いた状態で、チャネル を選択します。

  2. モバイル アプリを選択します。

  3. トークン エンドポイントの下で、コピーを選択します。

    Copilot Studio でトークン エンドポイント URL をコピーするスクリーンショット。

Web ページで SSO を構成する

Copilot Studio GitHub リポジトリで提供されるコードを使用して、リダイレクト URL の Web ページを作成します。 GitHub リポジトリからコードをコピーし、次の手順に従ってそれを変更してください。

  1. Azure ポータルの概要ページに移動し、キャンバス アプリ登録からアプリケーション (クライアント) IDディレクトリ (テナント) ID をコピーします。

    概要、アプリケーション ID、およびディレクトリ ID が強調表示された、Azure portal のアプリ登録の概要ページのスクリーンショット。

  2. Microsoft Authentication Library (MSAL) を構成する方法:

    • clientIdアプリケーション (クライアント) ID に割り当てます。
    • authorityhttps://login.microsoftonline.com/ に割り当て、最後に ディレクトリ (テナント) ID を追加します。

    例:

    var clientApplication;
        (function (){
        var msalConfig = {
            auth: {
                clientId: '00001111-aaaa-2222-bbbb-3333cccc4444',
                authority: 'https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'     
            },
    
  3. theURL 変数を、すでにコピーしたトークン エンドポイント URL に設定します。 例:

    (async function main() {
    
        var theURL = "https://<token endpoint URL>"
    
  4. userId の値を編集して、カスタム接頭辞を含めます。 例:

    var userId = clientApplication.account?.accountIdentifier != null ? 
            ("My-custom-prefix" + clientApplication.account.accountIdentifier).substr(0, 64) 
            : (Math.random().toString() + Date.now().toString()).substr(0,64);
    
  5. 変更を保存。

  6. SSO が正常に構成されたことを確認します。

    エージェントをテストするときに、SSO が正常に構成 されていない 場合は、サインインするように求められます。これによって、チャット ウィンドウにコピーする必要がある検証コードが表示されます。

    サインイン プロンプトが表示されたら、この手順のステップ 1 から 5 を正しく完了したか確認します。 SSO が正常に構成されている場合、サインインのプロンプトは表示されません。

    ヒント

    GitHub リポジトリのコードでは、ユーザーがサインイン ボタンを選択する必要があります。 運用環境では、ボタンの機能を、ページへの移動など、より適切なイベントに置き換えることができます。