Udostępnij za pośrednictwem

Konfigurowanie uwierzytelniania użytkownika w usłudze Copilot Studio

  • Artykuł

Uwierzytelnianie umożliwia użytkownikom zalogowanie się i zapewnienie pomocnikowi dostępu do zastrzeżonych zasobów lub informacji. Użytkownicy mogą logować się przy użyciu Tożsamości Microsoft Entra lub dowolnego dostawcy tożsamości OAuth2, takiego jak Google lub Facebook.

Uwaga

W Microsoft Teams można tak skonfigurować pomocnika Copilot Studio, aby umożliwiał użytkownikom zalogowanie się przy użyciu tożsamości Microsoft Entra lub dostawcy tożsamości OAuth2, na przykład firmy Microsoft lub konta Facebook.

Uwierzytelnianie użytkownika końcowego można dodać do tematów podczas edytowania tematu.

Ważne

Zmiany konfiguracji uwierzytelniania zostaną uwzględnione dopiero po opublikowaniu pomocnika. Przed rozpoczęciem zmian uwierzytelniania w pomocniku należy zaplanować je z wyprzedzeniem.

Wybierz opcję uwierzytelniania

Program Copilot Studio obsługuje szereg opcji uwierzytelniania. Wybieranie jednej dopasowanej do potrzeb.

  1. Przejdź do pozycji Ustawienia drugiego pilota i wybierz pozycję Zabezpieczenia.

  2. Wybierz Uwierzytelnianie.

    Dostępne są następujące opcje uwierzytelnienia:

  3. Wybierz pozycję Zapisz.

Bez uwierzytelniania

Brak uwierzytelnienia oznacza, że pomocnik nie będzie wymagał od użytkowników logowania się podczas interakcji z pomocnikiem. Nieuwierzytelniona konfiguracja oznacza, że ​​pomocnik może uzyskać dostęp tylko do publicznych informacji i zasobów. Klasyczne czatboty są domyślnie skonfigurowane tak, aby nie wymagały uwierzytelniania.

Uwaga

Wybranie opcji Brak uwierzytelniania umożliwia każdemu, kto ma połączenie, czatowanie i interakcję z botem lub drugim pilotem.

Zalecamy zastosowanie uwierzytelniania, zwłaszcza jeśli używasz bota lub pomocnika w swojej organizacji lub dla określonych użytkowników, a także innych mechanizmów kontroli bezpieczeństwa i zarządzania.

Uwierzytelnij za pomocą usługi firmy Microsoft

Ważne

Po wybraniu opcji Uwierzytelnij się za pomocą firmy Microsoft wszystkie kanały z wyjątkiem kanału Teams są wyłączone.

Ponadto opcja Uwierzytelnij się za pomocą firmy Microsoft nie jest dostępna dla pilotów zintegrowanych z systemem Dynamics 365 obsługa klienta.

Automatycznie konfiguruje uwierzytelnianie Tożsamości Microsoft Entra dla Teams bez konieczności ręcznej konfiguracji. Ponieważ uwierzytelnianie usługi Teams samo identyfikuje użytkownika, użytkownicy nie są monitowani o zalogowanie się, gdy są w usłudze Teams, chyba że drugi pilot wymaga rozszerzonego zakresu.

Po jej wybraniu ta opcja jest dostępna tylko w kanale Teams. Jeśli chcesz opublikować drugiego pilota w innych kanałach, ale nadal chcesz uwierzytelnić drugiego pilota, wybierz pozycję Uwierzytelnij ręcznie.

W przypadku wybrania opcji Uwierzytelnij za pomocą firmy Microsoft na kanwie tworzenia są dostępne następujące zmienne:

  • User.ID
  • User.DisplayName

Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do tematów.

User.AccessToken a User.IsLoggedIn zmienne nie są dostępne w tej opcji. Jeśli potrzebujesz tokenu uwierzytelniania, użyj opcji Uwierzytelnij ręcznie .

Jeśli zmienisz pozycję Uwierzytelnianie ręczne na Uwierzytelnianie za pomocą firmy Microsoft, a tematy zawierają zmienne User.AccessToken lub User.IsLoggedIn, są one wyświetlane jako Nieznane zmienne po zmianie. Przed opublikowaniem pomocnika należy sprawdzić i poprawić ewentualne błędy w tematach.

Uwierzytelnij ręcznie

Copilot Studio obsługuje następujących dostawców uwierzytelniania w opcji Uwierzytelnij ręcznie :

  • Azure Active Directory
  • Azure Active Directory w wersji 2
  • Azure Active Directory v2 z certyfikatami
  • Generic OAuth 2 — dowolny dostawca tożsamości zgodny ze standardem OAuth2

Następujące zmienne są dostępne w kanwach tworzenia po skonfigurowaniu uwierzytelnienia ręcznego:

  • User.Id
  • User.DisplayName
  • User.AccessToken
  • User.IsLoggedIn

Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do tematów.

Po zapisaniu konfiguracji należy upewnić się, że po opublikowaniu pomocnika wprowadzone zmiany zostały efektywnie wprowadzone.

Uwaga

  • Zmiany uwierzytelniania zostaną wprowadzone dopiero po opublikowaniu pomocnika.
  • To ustawienie może być kontrolowane przez odpowiednią kontrolkę administratora w Power Platform. Gdy kontrolka jest włączona, uniemożliwia włączenie lub wyłączenie opcji Uwierzytelnij ręcznie Copilot Studio. Kontrolka jest zawsze włączona, a opcji Uwierzytelnij ręcznie nie można zmodyfikować Copilot Studio.

Wymagane logowanie użytkownika i udostępnianie pomocnika

Wymagaj od użytkowników zalogowania określa, czy użytkownik musi się zalogować przed rozmową z drugim pilotem. Zdecydowanie zalecamy włączenie tego ustawienia dla drugiego pilota, który musi uzyskać dostęp do poufnych lub ograniczonych informacji.

Ta opcja nie jest dostępna dla opcji Brak uwierzytelniania i Uwierzytelnij się za pomocą firmy Microsoft .

Uwaga

Tej opcji nie można konfigurować również wtedy, gdy skonfigurowano zasady DLP w centrum administracyjnym Power Platform jako wymagane uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Przykład zapobiegania utracie danych — wymaga uwierzytelniania użytkownika końcowego w pomocnikach.

Jeśli ta opcja zostanie wyłączona, pomocnik nie będzie mógł logować się do momentu napotkania tematu, który tego wymaga.

Po włączeniu tej opcji tworzony jest temat o tytule Wymagaj logowania użytkownika. To temat ma znaczenie tylko w przypadku ustawienia Uwierzytelniania ręcznego. Użytkownicy są zawsze uwierzytelniani w zespołach.

W przypadku każdego użytkownika, który rozmawia z pomocnikiem bez uwierzytelniania, jest automatycznie wyzwalany temat Wymagaj logowania użytkowników. Jeśli użytkownik się nie zaloguje, temat przekieruje do tematu systemowego Eskalacja.

Temat jest tylko do odczytu i nie można go dostosować. Aby go wyświetlić, wybierz opcję Przejdź do kanwy tworzenia.

Kontrola, kto może czatować z pomocnikiem w organizacji

Uwierzytelnianie pomocnika i ustawienie Wymagaj logowania użytkowników pozwalają razem określić, czy można udostępnić pomocnika, aby kontrolować, kto w organizacji może czatować z nim. Ustawienie uwierzytelniania nie ma wpływu na udostępnianie pomocnika do współpracy.

  • Brak uwierzytelniania: każdy użytkownik, który ma połączenie z drugim pilotem (lub może go znaleźć, na przykład na Twojej stronie internetowej), może z nim rozmawiać. Nie można kontrolować, którzy użytkownicy w organizacji mogą czatować z tym pomocnikiem.

  • Uwierzytelnianie za pomocą firmy Microsoft: drugi pilot działa tylko w kanale usługi Teams. Ponieważ użytkownik jest zawsze zalogowany, ustawienie Wymagaj logowania użytkowników jest włączone i nie można go wyłączyć. Do kontrolowania, którzy użytkownicy w organizacji mogą czatować z pomocnikiem można użyć funkcji udostępniania pomocnika.

  • Uwierzytelnianie ręczne:

    • Jeśli dostawcą usługi jest albo Azure Active Directory, albo Tożsamość Microsoft Entra można włączyć opcję Wymagaj logowania użytkowników w celu kontrolowania, kto w organizacji może czatować z pomocnikiem, korzystając z udostępniania pomocnika.

    • Jeśli dostawcą usługi jest Ogólny OAuth2, można włączyć lub wyłączyć Wymagaj logowania użytkownika. Po włączeniu tej aplikacji użytkownik, który się loguje, może czatować z pomocnikiem. Nie można kontrolować, którzy użytkownicy w organizacji mogą czatować z tym pomocnikiem, korzystając z udostępniania pomocnika.

Jeśli ustawienie uwierzytelniania pomocnika nie może kontrolować, kto może z nim czatować, po wybraniu opcji Udostępnij na stronie przeglądowej pomocnika zostanie wyświetlony komunikat, że wszyscy mogą czatować z tym pomocnikiem.

Pola ręcznego uwierzytelniania

Poniższe pola są dostępne podczas konfigurowania uwierzytelniania ręcznego. Zakres wyświetlonych pól zależy od wyboru dostawcy usługi.

Nazwa pola opis
Szablon adresu URL autoryzacji Szablon adresu URL na potrzeby autoryzacji, który jest definiowany przez dostawcę tożsamości. Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Szablon ciągu zapytania dotyczącego adresu URL autoryzacji Szablon adresu zapytania autoryzacji podany przez dostawcę tożsamości. Klucze w szablonie ciągu zapytania różnią się w zależności od dostawcy tożsamości (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}).
Client ID Identyfikator klienta uzyskany od dostawcy tożsamości.
Client secret Klucz tajny klienta uzyskany podczas tworzenia rejestracji aplikacji dla dostawcy tożsamości.
Szablon odświeżania treści Szablon treści odświeżenia (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}).
Szablon ciągu zapytania dotyczącego adresu URL odświeżania Separator ciągów zapytania odświeżenia adresu URL dla adresu URL tokenu, zwykle znak zapytania (?).
Szablon adresu URL odświeżania Szablon adresu URL do odświeżenia; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token.
Ogranicznik listy zakresów Znak separatora listy zakresów. W tym polu nie są obsługiwane puste spacje.1
Zakresy Lista zakresów, które użytkownicy mają mieć po zalogowaniu. Użyj ogranicznika listy zakresów do oddzielenia wielu zakresów.1 Ustaw tylko niezbędne zakresy i postępuj zgodnie z zasadą kontroli dostępu z najmniejszymi uprawnieniami.
Dostawca usług Dostawca usługi, którego chcesz użyć do uwierzytelniania. Aby uzyskać więcej informacji, zobacz OAuth Dostawcy ogólni.
Identyfikator dzierżawy Identyfikator dzierżawy Tożsamości Microsoft Entra. Zapoznaj się z tematem Korzystanie z istniejącej dzierżawy Tożsamości Microsoft Entra w celu dowiedzieć się, jak znaleźć identyfikator dzierżawcy.
Szablon treści tokenu Szablon treści tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
Adres URL wymiany tokenów (wymagany w przypadku logowania jednokrotnego) To opcjonalne pole jest używane podczas konfigurowania logowania jednokrotnego.
Szablon adresu URL tokenu Szablon adresu URL tokenu podany przez dostawcę tożsamości; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token.
Szablon ciągu zapytania dotyczącego adresu URL tokenu Separator ciągów zapytania dla adresu URL tokenu, zwykle znak zapytania (?).

1 Spacji w polu Zakresy można używać, jeśli wymaga tego dostawca tożsamości. W tym przypadku wprowadź przecinek (,) w Ograniczniku listy zakresów i wprowadź spacje w polu Zakresy.

Wyłączanie uwierzytelniania

  1. Po otwarciu pomocnika wybierz Ustawienia na górnym pasku menu.

  2. Wybierz pozycję Zabezpieczenia, a następnie wybierz pozycję Uwierzytelnianie.

  3. Wybierz Brak uwierzytelnienia.

    Jeśli zmienne uwierzytelniania są używane w temacie, stają się zmiennymi nieznanymi . Przejdź do strony Tematy , aby zobaczyć, które tematy zawierają błędy, i naprawić je przed opublikowaniem.

  4. Opublikuj pomocnika.

Ważne

Jeśli drugi pilot ma akcje skonfigurowane do używania poświadczeń użytkownika końcowego, nie wyłączaj uwierzytelniania na poziomie drugiego pilota, ponieważ uniemożliwiłoby to działanie tych akcji.