Udostępnij za pośrednictwem


Konfigurowanie jednokrotnego logowania z Tożsamością Microsoft Entra ID

Copilot Studio obsługuje logowanie jednokrotne (SSO). Logowanie jednokrotne umożliwia agentom w witrynie internetowej logowanie klientów, jeśli są już zalogowani na stronie lub w aplikacji, w której wdrożono agent.

Na przykład, składnik agenta jest hostowany na firmowym intranecie lub w aplikacji, do której użytkownik jest już zalogowany.

Aby skonfigurować usługę SSO w programie, należy wykonać 5 podstawowych czynności w Copilot Studio:

  1. Włącz ręczne uwierzytelnianie agenta za pomocą identyfikatora Microsoft Entra ID

  2. Utworzyć rejestracji aplikacji w Microsoft Entra ID dla kanwy niestandardowej.

  3. Zdefiniuj niestandardowy zakres dla agenta w Microsoft Entra ID.

  4. Dodaj zakres niestandardowy do konfiguracji agenta.

  5. Skonfiguruj niestandardowy kod po stronie klienta kanwy, aby włączyć SSO.

Wymagania wstępne

Notatka

Aby konfigurować logowanie jednokrotne przy użyciu innych dostawców OAuth 2.0, zobacz Konfigurowanie logowania jednokrotnego u ogólnych dostawców OAuth.

Obsługiwane kanały

W poniższej tabeli przedstawiono szczegółowe kanały, które obecnie obsługują logowanie jednokrotne. Pomoc techniczną dotyczącą dodatkowych kanałów można zasugerować na forum Copilot Studio z sugestiami.

Kanał Obsługiwane
Kanały usługi Azure Bot Service Nieobsługiwane
Niestandardowa witryna Obsługiwane
Demonstracyjna witryna internetowa Nieobsługiwane
Facebook Nieobsługiwane
Microsoft Teams1 Obsługiwane
Aplikacja mobilna Nieobsługiwane
Obsługa wielokanałowa dla Customer Service2 Obsługiwane
SharePoint1 Obsługiwane

1Jeśli masz również włączony kanał usługi Teams, należy postępować zgodnie z instrukcjami konfiguracji podanymi w dokumentacji Konfigurowanie logowania jednokrotnego z Tożsamością Microsoft Entra dla agentów w Microsoft Teams. Niepowodzenie skonfigurowania ustawień logowania jednokrotnego zespołów zgodnie z instrukcjami na tej stronie powoduje, że użytkownicy zawsze mają niepowodze uwierzytelniania się podczas używania kanału Teams.

2 Obsługiwany jest tylko kanał rozmowy na żywo. Aby uzyskać więcej informacji, zobacz Konfigurowanie przekazania do aplikacji Dynamics 365 Customer Service.

Ważne

Jednokrotne logowanie nie jest obecnie obsługiwane, gdy agent jest albo:

Jednak logowanie jednokrotne jest obsługiwane w przypadku agenta opublikowanego w witrynie SharePoint jako składnika SPFx.

Tworzenie rejestracji aplikacji dla niestandardowej witryny internetowej

Aby włączyć logowanie jednokrotne, potrzeba dwóch osobnych rejestracji aplikacji:

  • Rejestracja aplikacji uwierzytelnianie, która umożliwia uwierzytelnianie użytkownika Microsoft Entra ID dla agenta
  • Rejestracja aplikacji kanwy, która umożliwia jednokrotne logowanie dla niestandardowej strony internetowej

Ze względów bezpieczeństwa nie zalecamy ponownego używania tej samej rejestracji aplikacji zarówno dla agent, jak i niestandardowej witryny internetowej.

  1. Postępuj zgodnie z instrukcjami w konfiguracji uwierzytelniania użytkownika przy użyciu tożsamości Microsoft Entra, aby utworzyć rejestrację aplikacji uwierzytelniania.

  2. Utwórz drugą rejestrację aplikacji, która będzie służyła jako rejestracja aplikacji kanwy.

Dodaj adres URL wymiany tokenów

Aby zaktualizować ustawienia uwierzytelnienia Microsoft Entra ID w Copilot Studio, należy dodać adres URL tokenu wymiany, aby umożliwić aplikacji i Copilot Studio udostępnianie informacji.

  1. W witrynie Azure Portal na stronie rejestracji aplikacji uwierzytelniania przejdź do tematu Uwidacznianie interfejsu API.

  2. W sekcji Zakresy wybierz ikonę Kopiuj do schowka.

  3. W Copilot Studio, w menu nawigacyjnym w obszarze Ustawienia wybierz opcję Zabezpieczenia, a następnie wybierz kafelek Uwierzytelnianie.

  4. W przypadku Token wymiany URL (wymagany w przypadku logowania jednokrotnego) wklej skopiowany wcześniej zakres.

  5. Wybierz pozycję Zapisz.

Skonfiguruj identyfikator klienta aplikacji Canvas, aby wyświetlić menu API

  1. W witrynie Azure Portal na stronie rejestracji aplikacji uwierzytelniania przejdź do obszaru Przegląd.

  2. Skopiuj wartość Identyfikator aplikacji (klienta) w obszarze Podstawy.

  3. Na pasku nawigacyjnym wybierz pozycję Zarządzaj>uwidaczniaj interfejs API.

  4. W obszarze Autoryzowane aplikacje klienckie wybierz pozycję + Dodaj aplikację kliencką, a następnie wklej skopiowany identyfikator klienta.

  5. Wybierz pozycję Zapisz.

Konfigurowanie rejestracji aplikacji kanwy

  1. Po utworzeniu rejestracji aplikacji kanwy przejdź do pozycji Uwierzytelnianie, a następnie wybierz opcję Dodaj platformę.

  2. W obszarze Konfiguracje platformy wybierz opcję Dodaj platformę, a następnie wybierz opcję sieć SPA.

  3. W obszarze Identyfikatory URI przekierowania wprowadź adres URL strony internetowej, na przykład http://contoso.com/index.html.

    Zrzut ekranu konfigurowania strony sieci Web.

  4. W sekcji Niejawne udzielenie i przepływy hybrydowe włącz opcje Tokeny dostępu (używane do przepływów jawnych) i Tokeny identyfikacyjne (używane do przepływów jawnych i hybrydowych).

  5. Wybierz Skonfiguruj.

Znajdź adres URL punktu końcowego tokenu agenta

  1. Otwórz agent Copilot Studio, a następnie wybierz Kanały.

  2. Wybierz opcję Aplikacja mobilna.

  3. W obszarze Punkt końcowy tokenu wybierz opcję Kopiuj.

    Zrzut ekranu przedstawiający kopiowanie Adresu URL punktu końcowego tokenu w programie Copilot Studio.

Konfigurowanie jednokrotnego logowania na stronie sieci Web

Użyj kodu podanego w repozytorium GitHub usługi Copilot Studio, aby utworzyć stronę internetową dla adresu URL przekierowywania. Skopiuj kod z repozytorium GitHub i zmodyfikuj go, korzystając z poniższych instrukcji.

  1. Przejdź do strony Omówienie w witrynie Azure Portal i skopiuj identyfikator aplikacji (klienta) oraz identyfikator katalogu (dzierżawcy) z rejestracji aplikacji kanwy.

    Zrzut ekranu przedstawiający stronę Przegląd rejestracji aplikacji w portalu Azure z wyróżnieniami Omówienie, Identyfikator aplikacji i Identyfikator katalogu.

  2. Aby skonfigurować bibliotekę uwierzytelniania Microsoft (MSAL):

    • Przypisz clientId do Identyfikatora aplikacji (klient).
    • Przypisz authority do https://login.microsoftonline.com/ i dodaj Identyfikator katalogu (dzierżawca) do końca.

    Na przykład:

    var clientApplication;
        (function (){
        var msalConfig = {
            auth: {
                clientId: '00001111-aaaa-2222-bbbb-3333cccc4444',
                authority: 'https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'     
            },
    
  3. Ustaw zmienną theURL na adres URL punktu końcowego tokenu, który został wcześniej skopiowany. Na przykład:

    (async function main() {
    
        var theURL = "https://<token endpoint URL>"
    
  4. Edytuj wartość userId, aby zawierała prefiks niestandardowy. Na przykład:

    var userId = clientApplication.account?.accountIdentifier != null ? 
            ("My-custom-prefix" + clientApplication.account.accountIdentifier).substr(0, 64) 
            : (Math.random().toString() + Date.now().toString()).substr(0,64);
    
  5. Zapisz zmiany.

  6. Sprawdź, czy pomyślnie skonfigurowano logowanie jednokrotne.

    Podczas testowania agenta, jeśli logowanie jednokrotne nie zostało pomyślnie skonfigurowane, zostanie wyświetlony monit o zalogowanie się, co daje kod weryfikacyjny, który należy skopiować do okna czatu.

    Jeśli zostanie wyświetlony monit logowania, sprawdź, czy kroki od 1 do 5 tej procedury zostały poprawnie wykonane. Jeśli logowanie jednokrotne zostanie pomyślnie skonfigurowane, monit o zalogowanie się nie zostanie wyświetlony.

    Notatka

    Kod w repozytorium GitHub wymaga od użytkowników wybrania przycisku logowania. W środowisku produkcyjnym możesz zastąpić funkcjonalność przycisku bardziej odpowiednim zdarzeniem, na przykład przejściem do strony.