Бөлісу құралы:

Настройка проверки подлинности пользователя в Copilot Studio

  • Мақала

Внимание

Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.

Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.

Аутентификация позволяет пользователям входить в систему, предоставляя вашему помощнику доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с любым поставщиком удостоверений OAuth2, например Google или Facebook.

Заметка

В Microsoft Teams вы можете настроить помощника Copilot Studio, чтобы обеспечить возможности аутентификации, так что пользователи могут войти в систему с Microsoft Entra ID или любым поставщиком удостоверений OAuth2, таким как учетная запись Microsoft или Facebook.

Вы можете добавить аутентификацию пользователя в помощник при редактировании темы.

Copilot Studio поддерживает следующих поставщиков аутентификации:

  • Azure Active Directory v1
  • ИД Microsoft Entra
  • Любой поставщик удостоверений, соответствующий стандарту OAuth2

Важно

Изменения в конфигурации аутентификации вступают в силу только после того, как вы опубликуете свой помощник. Обязательно спланируйте заранее, прежде чем вносить изменения в аутентификацию своего помощника.

Выберите вариант аутентификации

Copilot Studio поддерживает несколько вариантов аутентификации. Выберите, который подходит под ваши требования.

Чтобы изменить настройки аутентификации помощника, перейдите в меню навигации к пункту Параметры на боковой панели навигации, а затем перейдите на вкладку Безопасность и выберите карточку Аутентификация.

Снимок экрана страницы quot;Безопасностьquot; в меню quot;Параметрыquot; с выделенной карточкой quot;Аутентификацияquot;.

Доступны следующие варианты аутентификации:

  • Без аутентификации
  • Проверка подлинности через Майкрософт
  • Проверка подлинности вручную

Снимок экрана панели аутентификации с тремя вариантами аутентификации.

Без аутентификации

Отсутствие аутентификации означает, что ваш помощник не требует от пользователей входа в систему при взаимодействии с помощником. Конфигурация без аутентификации означает, что ваш помощник может осуществлять доступ только к общедоступной информации и ресурсам.

Внимание

При выборе варианта Без проверки подлинности любой, у кого есть ссылка на вашего бота или помощника, сможет общаться с ним в чате и взаимодействовать с ним.

Мы рекомендуем использовать аутентификацию, в особенности если ваш бот или помощник используется внутри вашей организации или для определенного круга пользователей, наряду с другими механизмами управления и обеспечения безопасности.

Проверка подлинности через Майкрософт

Важно

Когда выбран параметр Аутентификация с помощью Microsoft, все каналы, кроме канала Teams, будут отключены.

Кроме того, параметр Аутентификация с помощью Microsoft недоступен, если ваш помощник интегрирован с Dynamics 365 Customer Service.

Аутентификация для Teams и Power Apps включается по умолчанию для помощников, которых вы создаете в Copilot Studio.

В этой конфигурации автоматически настраивается аутентификация Microsoft Entra ID для Teams, без необходимости ручной настройки. Поскольку аутентификация Teams сама идентифицирует пользователя, пользователям не предлагается войти в систему, пока они находятся в Teams, если только вашему помощнику не требуется расширенная область.

С этим параметром доступен только канал Teams. Если вам нужны другие каналы, но вы все равно хотите пройти аутентификацию для помощника (например, при использовании генеративных функций искусственного интеллекта), выберите Аутентифицировать вручную.

Если вы выберете параметр Аутентификация с помощью Microsoft, на холсте разработки доступны следующие переменные:

  • UserID
  • UserDisplayName

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. раздел Добавление аутентификации конечного пользователя в помощника.

Переменные AuthToken и IsLoggedIn недоступны с этим параметром. Если вам нужен токен аутентификации, используйте вариант Вручную.

Если вы измените аутентификацию с Аутентифицировать вручную на Аутентификация с помощью Microsoft, а ваши темы содержат переменные AuthToken или IsLoggedIn, они отображаются как неизвестные переменные после изменения. Обязательно исправьте все темы с ошибками, прежде чем опубликовать своего помощника.

Проверка подлинности вручную

С этим параметром вы можете настроить любого поставщика удостоверений, совместимого с Microsoft Entra ID v1, Microsoft Entra ID или OAuth2. Если настроить аутентификацию вручную на холсте разработки доступны следующие переменные:

  • UserID
  • UserDisplayName
  • AuthToken
  • IsLoggedIn

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. раздел Добавление аутентификации конечного пользователя в помощника.

После сохранения конфигурации обязательно опубликуйте своего помощника, чтобы изменения вступили в силу.

Заметка

  • Изменения аутентификации вступают в силу только после публикации помощника.
  • Этим параметром можно управлять с помощью соответствующего административного элемента управления в Power Platform. Когда элемент управления включен, он предотвращает включение или выключение настройки Вручную в Copilot Studio. Этот элемент управления всегда включен, и настройку Вручную нельзя изменить в Copilot Studio.

Обязательный вход пользователя и совместное использование помощника

Требовать от пользователей входа в систему контролирует, нужно ли пользователю войти в систему перед разговором с помощником. Мы настоятельно рекомендуем вам включить этот параметр, когда вашему помощнику требуется доступ к конфиденциальной или ограниченной информации.

Снимок экрана панели Аутентификация, на которой показан параметр требования входа пользователя в систему.

Этот параметр недоступен, если выбран вариант Без аутентификации.

Заметка

Этот параметр также невозможно настроить, если политика DLP в центре администрирования Power Platform настроена на требование аутентификации. Дополнительную информацию см. в разделе Настройка DLP для запроса аутентификации в центре администрирования Power Platform.

Если вы отключите этот параметр, ваш помощник не просит пользователей войти в систему, пока не встретит тему, требующую от них этого.

Когда вы включаете этот параметр, он создает системную тему с именем Требовать входа для пользователей. Этот тема актуальна только для параметра Аутентификация вручную. Пользователи всегда проходят проверку подлинности в Teams.

Тема Требовать входа для пользователей автоматически запускается для любого пользователя, который разговаривает с помощником без аутентификации. Если пользователю не удается войти в систему, тема перенаправляет в системную тему Эскалация.

Тема доступна только для чтения и не может быть изменена. Чтобы увидеть, выберите Перейти к холсту разработки.

Управляйте тем, кто может общаться с помощником в организации

Комбинация аутентификации помощника и параметра Требовать входа для пользователей определяет, можете ли вы предоставить доступ к помощнику, чтобы контролировать, кто в вашей организации может общаться с вашим помощником, а кто нет. Параметр аутентификации не влияет на общий доступ к помощнику для совместной работы.

  • Без аутентификации: любой пользователь, у которого есть ссылка на помощника (или он может найти ее, например, на вашем сайте), может общаться с ним. Вы не можете контролировать, какие пользователи в вашей организации могут общаться с помощником.

  • Аутентификация с помощью Microsoft: помощник работает только на канале Teams. Поскольку пользователь всегда входит в систему, параметр Требовать входа для пользователей включен и не может быть отключен. Вы можете использовать общий доступ к помощнику, чтобы контролировать, кто может общаться с помощником в вашей организации.

  • Проверка подлинности вручную:

    • Если поставщик услуг либо Azure Active Directory, либо Microsoft Entra ID, вы можете включить Требовать входа для пользователей, чтобы контролировать, кто в вашей организации может общаться с помощником, используя общий доступ к помощнику.

    • Если поставщик услуг — Универсальный OAuth2, вы можете включить или выключить Требовать входа для пользователей. Когда включено, пользователь, вошедший в систему, может общаться с помощником. Вы не можете контролировать, какие конкретные пользователи в вашей организации могут общаться с помощником, используя общий доступ к помощникам.

Когда параметр аутентификации помощника не может контролировать, кто может общаться с помощником, то при выборе Предоставить доступ на странице обзора помощника, сообщение информирует, что с помощником может общаться любой желающий.

Снимок экрана с сообщением о том, что все в организации могут общаться с помощником из-за его настроек аутентификации.

Поля аутентификации вручную

Ниже приведены все поля, которые вы можете увидеть при настройке аутентификации вручную. Какие поля вы увидите, зависит от вашего выбора для поставщика услуг.

Имя поля Описание
Шаблон URL-адреса авторизации Шаблон URL-адреса для авторизации, как он определен вашим поставщиком удостоверений. Например: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Шаблон строки запроса URL-адреса авторизации Шаблон запроса для авторизации, определенный вашим поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений.
Идентификатор клиента Ваш идентификатор клиента, полученный от поставщика удостоверений.
Client secret Ваш секрет клиента, полученный при создании регистрации приложения поставщика удостоверений.
Обновить шаблон основного текста Шаблон для текста обновления.
Обновить шаблон строки запроса URL-адреса Разделитель строки запроса URL-адреса обновления для URL-адреса маркера, обычно знак вопроса (?).
Обновить шаблон URL-адреса Шаблон URL для обновления; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Разделитель списка областей Символ разделителя для списка областей. Пустые места в этом поле не поддерживаются.1
Области Список областей, которые должны быть у пользователей после входа в систему. Используйте Разделитель списка областей для разделения нескольких областей.1 Устанавливайте только необходимые области и следуйте принципу управления доступом с наименьшими привилегиями.
Поставщик услуг Поставщик услуг, которого вы хотите использовать для аутентификации. Для получения дополнительной информации см. общие поставщики OAuth.
Идентификатор клиента Ваш идентификатор клиента Microsoft Entra ID. Прочтите Использование существующего клиента Microsoft Entra ID, чтобы узнать, как найти свой идентификатор клиента.
Шаблон текста маркера Шаблон для текста маркера.
URL-адрес обмена токенами (обязательно для единого входа) Это необязательное поле, которое используется, когда вы настраиваете единый вход.
Шаблон URL-адреса токена Шаблон URL для маркеров, как предоставляется вашим поставщиком удостоверений; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Шаблон строки запроса URL-адреса токена Разделитель строки запроса для URL-адреса маркера, обычно знак вопроса (?).

1 Вы можете использовать пробелы в поле Области, если того требует поставщик удостоверений. В этом случае введите запятую (,) в Разделитель списка областей и введите пробелы в поле Области.

Удаление конфигурации проверки подлинности

  1. В меню навигации в разделе Параметры выберите Безопасность. Затем выберите карточку Аутентификация.
  2. Выберите Без аутентификации.
  3. Опубликуйте помощника.

Если в теме используются переменные аутентификации, они станут неизвестными переменными. Перейдите на страницу тем, чтобы увидеть, в каких темах есть ошибки, и исправьте их перед публикацией.