Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwierzytelnianie umożliwia użytkownikom zalogowanie się, zapewniając agentowi dostęp do zastrzeżonych zasobów lub informacji. Użytkownicy mogą logować się przy użyciu Microsoft Entra ID lub dowolnego dostawcy tożsamości OAuth2 takich jak Google lub Facebook.
Notatka
W Microsoft Teams można skonfigurować agenta programu Copilot Studio w celu zapewnienia możliwości uwierzytelniania, aby użytkownicy mogli logować się przy użyciu Microsoft Entra ID lub dowolnego dostawcy tożsamości OAuth2, takiego jak konto Microsoft lub Facebook.
Możesz dodać uwierzytelnianie użytkownika do tematów podczas edytowania tematu.
Ważne
Zmiany w konfiguracji uwierzytelniania wejdą w życie dopiero po opublikowaniu agenta. Przed wprowadzeniem zmian dotyczących uwierzytelniania w agencie należy dokładnie zaplanować te zmiany.
Wybierz opcję uwierzytelniania
program Copilot Studio obsługuje kilka opcji uwierzytelniania. Wybierz i skonfiguruj opcję spełniającą Twoje potrzeby.
Przejdź do Ustawień dla swojego agent i wybierz Zabezpieczenia.
Wybierz Uwierzytelnianie.
Wybierz opcję uwierzytelniania i skonfiguruj je zgodnie z potrzebami. Dostępne są następujące opcje uwierzytelnienia:
Wybierz opcję Zapisz.
Bez uwierzytelniania
Brak uwierzytelniania oznacza, że agent nie wymaga od użytkowników logowania się podczas interakcji z agentem. Niezautoryzowana konfiguracja oznacza, że agent może uzyskiwać dostęp jedynie do informacji i zasobów publicznych. Klasyczne czatboty są domyślnie skonfigurowane tak, aby nie wymagały uwierzytelniania.
Uwaga
Wybranie opcji Bez uwierzytelniania pozwala każdemu, kto ma link, na czatowanie i interakcję z botem lub agentem.
Zalecamy stosowanie uwierzytelniania, zwłaszcza w przypadku korzystania z bota lub agenta w organizacji lub dla określonych użytkowników, wraz z innymi kontrolami bezpieczeństwa i zarządzania.
Notatka
Ta opcja nie jest dostępna, gdy polityka danych w centrum administratora Power Platform jest skonfigurowana tak, aby wymagała uwierzytelnienia. Więcej informacji można znaleźć w artykule Konfiguruj polityki danych dla agentów.
Uwierzytelnij za pomocą usługi firmy Microsoft
Ważne
Po wybraniu opcji Authenticate z firmą Microsoft masz dostęp do kanału Teams + Microsoft 365. Możesz również użyć natywnych aplikacji i niestandardowych kanałów aplikacji.
Ponadto opcja Authenticate z firmą Microsoft nie jest dostępna dla agentów zintegrowanych z Dynamics 365 Customer Service.
Ta konfiguracja automatycznie konfiguruje uwierzytelnianie Microsoft Entra ID dla usługi Teams bez konieczności ręcznej konfiguracji. Ponieważ uwierzytelnianie Teams samo w sobie identyfikuje użytkownika, użytkownicy nie są monitowani o zalogowanie się, gdy są w Teams, chyba że Twój agent wymaga rozszerzonego zakresu.
Jeśli musisz opublikować agenta w kanałach innych niż Teams + Microsoft 365 ale nadal chcesz uwierzytelnić agenta, wybierz opcję Uwierzytelnij ręcznie.
Jeśli wybierzesz opcję Uwierzytelnij z Microsoft, następujące zmienne są dostępne w kanwie tworzenia tematu:
User.IDUser.DisplayName
Aby uzyskać więcej informacji na temat tych zmiennych i sposobu ich używania, zobacz temat Dodawanie uwierzytelniania użytkownika do tematów.
Zmienne User.AccessToken i User.IsLoggedIn są niedostępne w przypadku tej opcji. Jeśli potrzebny jest token uwierzytelniania, należy użyć opcji Uwierzytelnianie ręczne.
Jeśli zmienisz uwierzytelnienie z Ręczne uwierzytelnienie na Uwierzytelnij z Microsoft, a tematy zawierają zmienne User.AccessToken lub User.IsLoggedIn, po zmianie są one wyświetlane jako zmienne Nieznana. Przed opublikowaniem agenta należy poprawić tematy, które zawierają błędy.
Uwierzytelnij ręcznie
program Copilot Studio obsługuje następujących usługodawców autoryzacji w ramach Uwierzytelnianie ręczne:
- Microsoft Entra ID w wersji 2 z poświadczeniami federacyjnymi
- Microsoft Entra ID v2 z certyfikatami
- Microsoft Entra ID w wersji 2 z sekretami klienckimi
- Microsoft Entra ID
- Generyczne OAuth 2 — każdy dostawca tożsamości, który spełnia standard OAuth2
Jeśli wybierzesz opcję Uwierzytelnij ręcznie, następujące zmienne są dostępne w kanwie tworzenia tematu:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Aby uzyskać więcej informacji na temat tych zmiennych i sposobu ich używania, zobacz temat Dodawanie uwierzytelniania użytkownika do tematów.
Po zapisaniu konfiguracji opublikuj agenta, aby zmiany zaczęły obowiązywać.
Notatka
- Zmiany uwierzytelniania wchodzą w życie tylko po opublikowaniu agenta.
- Kontroluj to ustawienie przez odpowiednią kontrolkę administratora na platformie Power Platform. Gdy kontrolka jest włączona, zapobiega włączaniu lub wyłączaniu opcji Authenticate manually w Copilot Studio. Kontrolka jest zawsze włączona, a opcja Authenticate ręcznie nie można modyfikować w programie Copilot Studio.
Wymagane logowanie użytkownika i udostępnianie agentów
Opcja Wymagaj logowania użytkowników określa, czy użytkownik musi się zalogować przed rozpoczęciem rozmowy z agentem. Zdecydowanie zalecamy włączenie tego ustawienia, kiedy agent ma uzyskać dostęp do poufnych lub zastrzeżonych informacji.
Ta opcja nie jest dostępna dla opcji Brak uwierzytelniania i Uwierzytelnij za pomocą Microsoft.
Notatka
Tej opcji nie można wyłączyć, gdy polityka danych w centrum administratora Power Platform jest ustawiona tak, by wymagała uwierzytelnienia. Więcej informacji można znaleźć w artykule Konfiguruj polityki danych dla agentów.
Jeśli wyłączysz tę opcję, agent nie będzie prosić użytkowników o zalogowanie się, dopóki nie napotka tematu, który tego wymaga.
Po włączeniu tej opcji tworzony jest temat systemowy o nazwie Wymagaj logowania użytkownika. To temat ma znaczenie tylko w przypadku ustawienia Uwierzytelniania ręcznego. Użytkownicy są zawsze uwierzytelniani w aplikacji Teams.
Temat Wymaga logowania użytkownika jest automatycznie wyzwalany dla każdego użytkownika, który rozmawia z agentem bez uwierzytelnienia. Jeśli użytkownik się nie zaloguje, temat przekieruje do tematu systemowego Eskalacja.
Temat jest tylko do odczytu i nie można go dostosować. Aby go wyświetlić, wybierz Przejdź do płótna autorskiego.
Kontroluj, kto może czatować z agentem w organizacji
Kombinacja typu uwierzytelniania agenta i ustawienie Wymagaj zalogowania się użytkownika określa, czy możesz udostępnić agenta, aby kontrolować, kto w organizacji może z nim rozmawiać. Ustawienie uwierzytelniania nie ma wpływu na udostępnianie agenta do współpracy.
Brak uwierzytelniania: każdy użytkownik, który ma łącze do tego agenta (lub może go znaleźć; na przykład w witrynie internetowej), może z nim czatować. Nie można kontrolować, którzy użytkownicy w organizacji mogą czatować z agentem.
Uwierzytelnianie przy użyciu Microsoft: agent działa tylko w kanale Teams. Ponieważ użytkownik jest zawsze zalogowany, ustawienie Wymagaj logowania użytkowników jest włączone i nie można go wyłączyć. Możesz używać udostępniania agenta do kontrolowania, kto w organizacji może z agentem czatować.
Uwierzytelnij ręcznie:
Jeśli dostawcą usług jest Microsoft Entra ID, możesz włączyć opcję Wymagaj logowania użytkowników, aby kontrolować, kto w Twojej organizacji może rozmawiać z agentem przy użyciu udostępniania agenta.
Jeśli dostawcą usługi jest Ogólny OAuth2, można włączyć lub wyłączyć opcję Wymagaj logowanie użytkowników. Po włączeniu tej aplikacji użytkownik, który się loguje, może czatować z agentem. Nie można kontrolować, którzy konkretni użytkownicy w organizacji mogą czatować z agentem poprzez funkcję współdzielenia agenta.
Gdy ustawienie uwierzytelniania agenta nie dozwala kontrolowania, kto może czatować z nim, po wybraniu opcji Udostępnij na stronie głównej agenta pojawi się informacja, że dowolna osoba może czatować z agentem.
Pola ręcznego uwierzytelniania
W poniższej tabeli opisano pola, które można napotkać podczas konfigurowania uwierzytelniania ręcznego. To, jakie pola są widoczne, zależy od wybranego dostawcy usługi.
| Nazwa pola | opis |
|---|---|
| Szablon adresu URL autoryzacji | Szablon adresu URL na potrzeby autoryzacji, który jest definiowany przez dostawcę tożsamości. Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Szablon ciągu zapytania dotyczącego adresu URL autoryzacji | Szablon zapytania dotyczącego autoryzacji, podany przez dostawcę tożsamości. Klucze w szablonie ciągu zapytania różnią się w zależności od dostawcy tożsamości (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Identyfikator klienta | Identyfikator klienta, uzyskany od dostawcy tożsamości. |
| Sekret klienta | Tajny klucz klienta uzyskany podczas rejestrowania aplikacji dostawcy tożsamości. |
| Adres URL KeyVault dla certyfikatu klienta | Adres URL usługi KeyVault, pod którym jest przechowywany certyfikat klienta. Wymagane dla Microsoft Entra ID z uwierzytelnianiem certyfikatowego. |
| Typ udzielania | Typ udzielania OAuth2, którego chcesz użyć. |
| Czy wymagane jest oświadczenie x5c | Określ, czy atrybut x5c jest wymagany w żądaniu tokenu. Wymagane dla Microsoft Entra ID z uwierzytelnianiem certyfikatowego. |
| Adres URL logowania | Adres URL, pod który użytkownicy są kierowani do logowania się. |
| Szablon odświeżania treści | Szablon treści odświeżenia (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Szablon URL ciągu zapytania do odświeżania | Separator ciągów zapytania odświeżenia adresu URL dla adresu URL tokenu, zwykle znak zapytania (?). |
| Szablon URL do odświeżania | Szablon adresu URL do odświeżenia; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| URL zasobu | Adres URL zasobu, dla którego żądany jest token. |
| Ogranicznik listy zakresów | Znak separatora listy zakresów. W tym polu nie są obsługiwane puste spacje.1 |
| Zakresy | Lista zakresów, które użytkownicy mają mieć po zalogowaniu. Użyj ogranicznika listy zakresów do oddzielenia wielu zakresów.1 Ustaw tylko niezbędne zakresy i postępuj zgodnie z zasadą kontroli dostępu z najmniejszymi uprawnieniami. |
| Dostawca usług | Dostawca usługi, którego chcesz użyć do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Ogólni dostawcy usługi OAuth. |
| Identyfikator dzierżawy | Identyfikator dzierżawcy Microsoft Entra ID. Zapoznaj się z Użyj istniejącą dzierżawę Microsoft Entra ID aby dowiedzieć się, jak znaleźć identyfikator dzierżawy. |
| Szablon treści tokenu | Szablon treści tokenu. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Adres URL wymiany tokenu (wymagany podczas logowania jednokrotnego (SSO)) | Jest to opcjonalne pole używane podczas konfigurowania logowania jednokrotnego. |
| Szablon adresu URL tokenu | Szablon adresu URL dla tokenów, podany przez dostawcę tożsamości; na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Szablon ciągu zapytania dotyczącego adresu URL tokenu | Separator ciągów zapytania dla adresu URL tokenu, zwykle znak zapytania (?). |
1 Możesz użyć spacji w polu Zakresy, jeśli wymaga tego dostawca tożsamości. W tym przypadku wprowadź przecinek (,) w Ograniczniku listy zakresów i wprowadź spacje w polu Zakresy.
Wyłącz uwierzytelnianie
Po otwarciu Agenta wybierz Ustawienia w górnym pasku menu.
Wybierz Bezpieczeństwo, a następnie wybierz Uwierzytelnianie.
Wybierz Brak uwierzytelnienia.
Jeśli zmienne uwierzytelniania są używane w temacie, staną się Nieznanymi zmiennymi. Przejdź na stronę Tematy, aby sprawdzić, które tematy zawierają błędy, i poprawić je przed opublikowaniem.
Opublikuj agenta.
Ważne
Jeśli agent ma skonfigurowane narzędziawymagające poświadczeń użytkownika, nie wyłączaj uwierzytelniania na poziomie agenta, ponieważ uniemożliwiłoby to działanie tych narzędzi.