Konfigurowanie zabezpieczeń sieci Web i kanału Direct Line

Po utworzeniu agenta Copilot Studio każdy, kto zna identyfikator agenta, może natychmiast uzyskać dostęp do agenta za pośrednictwem witryny internetowej Demo i Dostosowana witryna internetowa. Te kanały są dostępne domyślnie i nie jest wymagana żadna konfiguracja.

W przypadku aplikacji Microsoft Teams można skonfigurować zaawansowane opcje zabezpieczeń kanału internetowego.

Note

W przypadku posiadania licencji tylko Teams, nie możesz tworzyć wpisów tajnych, aby umożliwić dostęp bezpieczny. Tokeny bezpiecznego dostępu są tworzone automatycznie dla użytkownika, a bezpieczny dostęp jest domyślnie włączony.

Użytkownicy mogą znaleźć identyfikator agenta bezpośrednio z poziomu programu Copilot Studio lub odbierając go od kogoś. Jednak w zależności od możliwości i poufności agenta dostęp ten może nie być pożądany.

Korzystając z zabezpieczeń opartych na Direct Line, można umożliwić dostęp tylko do lokalizacji, które kontrolujesz, udostępniając bezpieczny dostęp za pomocą tajemnic lub tokenów Direct Line.

Możesz także wymieniać i regenerować wpisy tajne i odświeżać tokeny, a także łatwo wyłączyć bezpieczny dostęp, jeśli nie chcesz już go używać.

Note

Program Copilot Studio używa kanału Bot Framework Direct Line, aby połączyć stronę internetową lub aplikację z agentem.

Włączanie lub wyłączanie zabezpieczeń kanału internetowego

Istnieje możliwość wymuszania korzystania z wpisów tajnych i tokenów w poszczególnych agentach.

Gdy włączysz tę opcję, kanały będą wymagać, aby klient uwierzytelniał swoje żądania albo używając wpisu tajnego, albo za pomocą tokenu wygenerowanego przy użyciu wpisu tajnego uzyskanego w środowisku uruchomieniowym.

Próby uzyskania dostępu do agenta, który nie zapewnia tej miary zabezpieczeń, nie działają.

  1. Przejdź do strony Ustawienia agenta, wybierz pozycję Zabezpieczenia, a następnie wybierz pozycję Zabezpieczenia kanału internetowego.

Zrzut ekranu przedstawiający zabezpieczenia kanału internetowego podświetlone w menu wysuwanym Ustawienia.

  1. Włącz opcję Wymagaj zabezpieczonego dostępu.

Ostrzeżenie

Po włączeniu lub wyłączeniu opcji Wymagaj bezpiecznego dostępu może upłynąć do dwóch godzin, aby system propagował ustawienia i zaczęły obowiązywać. Do tego czasu poprzednie ustawienie jest w mocy. Nie musisz publikować agenta, aby ta zmiana weszła w życie.

Zaplanuj z wyprzedzeniem, aby uniknąć przypadkowego ujawnienia agenta.

Jeśli musisz wyłączyć opcję zabezpieczeń kanału internetowego, możesz to zrobić, usuwając przełącznik Wymagaj bezpiecznego dostępu . Wyłączanie bezpiecznego dostępu może potrwać maksymalnie dwie godziny do propagowania.

Zrzut ekranu przedstawiający komunikat potwierdzający wyłączenie zabezpieczonego dostępu, co oznacza, że ta akcja udostępnia witrynę demo i dowolny kanał Direct Line, który nie korzysta z sekretu ani tokenu. Proces ten może zająć do dwóch godzin, zanim zacznie obowiązywać.

Korzystanie z wpisów tajnych i tokenów

Tworząc aplikację typu usługa-usługa, najprostszym rozwiązaniem może być określenie wpisu tajnego w żądaniach nagłówka autoryzacji.

Jeśli piszesz aplikację, w której klient działa w przeglądarce internetowej lub aplikacji mobilnej, albo w innym przypadku kod może być widoczny dla klientów, musisz wymienić swój tajny wpis na token. Jeśli nie użyjesz tokena, Twój tajny wpis może zostać naruszony. Po otrzymaniu przez użytkownika żądania pobrania tokenu usługi należy określić wpis tajny w nagłówku autoryzacji.

Tokeny działają tylko dla pojedynczej konwersacji i wygasną, o ile nie zostaną odświeżone.

Wybierz model zabezpieczeń, który najlepiej pasuje do danej sytuacji.

Ostrzeżenie

Nie ujawniaj tajemnicy w żadnym kodzie, który działa w przeglądarce, niezależnie od tego, czy jest zakodowany, czy przesyłany przez wywołanie sieciowe.

Uzyskiwanie tokenu przy użyciu tajnego klucza w kodzie usługi jest najbezpieczniejszym sposobem zapewnienia bezpieczeństwa agenta Copilot Studio.

Uzyskiwanie tajnych wpisów

Jeśli wpis tajny jest potrzebny, można określić go w żądaniach nagłówka autoryzacji aplikacji lub w podobny sposób.

  1. W menu nawigacji, w sekcji Ustawienia wybierz Zabezpieczenia. Następnie wybierz kafelek Zabezpieczenia kanału sieci Web.

  2. Wybierz Kopiuj dla Tajny wpis 1 lub Tajny wpis 2, aby skopiować do schowka. Wybierz ikonę widoczności , aby odkryć sekret. Zanim będzie można go ujawnić, pojawi się ostrzeżenie.

Zamiana tajnych wpisów

Jeśli musisz zmienić sekret używany przez agenta, możesz to zrobić bez przerw w działaniu.

Program Copilot Studio dostarcza dwie tajemnice, które działają jednocześnie. Możesz wymienić sekret używany przez agenta na inny. Po zamianie wpisów tajnych i połączeniu wszystkich użytkowników przy użyciu nowego wpisu tajnego można ponownie wygenerować wpis tajny.

Wygeneruj ponownie wpis tajny

Aby ponownie wygenerować wygenerowanie danych, należy wybrać opcjęRegenerowanie obok wpisu tajnego.

Ostrzeżenie

Profil użytkownika, który nawiązuje połączenie przy użyciu oryginalnej tajemnicy lub tokenu uzyskanego z tej tajemnicy, jest odłączony.

Generowanie tokenu

Możesz wygenerować token używany podczas uruchamiania pojedynczej konwersacji agenta. Aby uzyskać więcej informacji, zobacz sekcję Pozyskanie tokena Direct Line w Publikowanie agenta do aplikacji mobilnych lub niestandardowych.

  1. Uzyskiwanie wpisu tajnego.

  2. W kodzie usługi wyślij następujące żądanie, aby wymienić tajny na token. Zamień <SECRET> na wartość wpisu tajnego uzyskanego w Kroku 1.

    POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer <SECRET>

Poniższe fragmenty kodu zawierają przykłady wygenerowanego żądania tokenu i jego odpowiedzi.

Przykłady generowania żądania tokenu

POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0

Przykłady generowania odpowiedzi tokenu

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn",
  "expires_in": 1800
}

Jeśli żądanie zakończy się pomyślnie, odpowiedź zawiera token ważny dla jednej konwersacji, a wartość expires_in wskazuje liczbę sekund do wygaśnięcia tokenu.

Aby token był przydatny, należy odświeżyć token przed jego wygaśnięciem.

Odświeżanie tokenu

Token można odświeżyć nieograniczoną liczbę razy, o ile nie wygasł.

Nie można odświeżyć wygasłego tokenu.

Aby odświeżyć token, wyślij następujące żądanie i zastąp <TOKEN TO BE REFRESHED> element tokenem, który chcesz odświeżyć.

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer <TOKEN TO BE REFRESHED>

Poniższe fragmenty zawierają przykłady żądania odświeżanie tokenu i odpowiedzi.

Przykładowe żądanie odświeżania

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer CurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn

Przykładowa odpowiedź odświeżania

Jeśli żądanie zakończy się pomyślnie, odpowiedź zawiera token ważny dla tej samej konwersacji co poprzedni token, a wartość expires_in wskazuje liczbę sekund do wygaśnięcia nowego tokenu.

Aby zachować przydatny nowy token, odśwież token ponownie przed jego wygaśnięciem.

HTTP/1.1 200 OK
[other headers]

{
  "conversationId": "abc123",
  "token": "RCurR_XV9ZA.cwA.BKA.y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xniaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0",
  "expires_in": 1800
}

Aby uzyskać więcej informacji na temat odświeżania tokenu, zobacz sekcję Odświeżanie tokenu Direct Line w Direct Line API — Uwierzytelnianie.

Treści powiązane

  • Last updated on