กำหนดค่าการรับรองความถูกต้องของผู้ใช้ด้วย Microsoft Entra ID

การเพิ่มการรับรองความถูกต้องให้กับเอเจนต์ของคุณอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ เพื่อให้เอเจนต์ของคุณสามารถเข้าถึงทรัพยากรหรือข้อมูลที่ถูกจำกัด

บทความนี้ครอบคลุมถึงวิธีกำหนดค่า Microsoft Entra ID เป็นผู้ให้บริการของคุณ หากต้องการเรียนรู้เกี่ยวกับผู้ให้บริการรายอื่นและการรับรองความถูกต้องของผู้ใช้โดยทั่วไป ดูที่ กำหนดค่าการรับรองความถูกต้องของผู้ใช้ใน Copilot Studio

หากคุณมีสิทธิ์การดูแลผู้เช่า คุณสามารถ กำหนดค่าสิทธิ์ของ API ไม่เช่นนั้น คุณต้องขอให้ผู้ดูแลระบบของคุณเป็นผู้ดำเนินการให้

ข้อกำหนดเบื้องต้น

เรียนรู้วิธีเพิ่มการรับรองความถูกต้องของผู้ใช้ในหัวข้อ

คุณดำเนินการสองสามขั้นตอนแรกในพอร์ทัล Azure และดำเนินการสองขั้นตอนสุดท้ายใน Copilot Studio

สร้างการลงทะเบียนแอป

1. ลงชื่อเข้าใช้ พอร์ทัล Azure โดยใช้บัญชีผู้ดูแลระบบในผู้เช่าเดียวกันกับเอเจนต์ของคุณ

2. ไปที่ การลงทะเบียนแอป

3. เลือก การลงทะเบียนใหม่ และป้อนชื่อสำหรับการลงทะเบียน อย่า เปลี่ยนแปลงการลงทะเบียนแอปที่มีอยู่

   การใช้ชื่อเอเจนต์ของคุณอาจเป็นประโยชน์ในภายหลัง ตัวอย่างเช่น ถ้าเอเจนต์ของคุณชื่อว่า "ความช่วยเหลือด้านการขายของ Contoso" คุณอาจตั้งชื่อการลงทะเบียนแอปว่า "ContosoSalesReg"

4. ภายใต้ชนิดบัญชีที่รองรับ ให้เลือกบัญชีในไดเรกทอรีองค์กรนี้เท่านั้น (Contoso - ผู้เช่าเดียวเท่านั้น)

5. เว้นว่างส่วน URI การเปลี่ยนเส้นทาง สำหรับตอนนี้ ป้อนข้อมูลนั้นในขั้นตอนต่อไป

6. เลือก ลงทะเบียน

7. หลังจากลงทะเบียนเสร็จแล้ว ไปที่ ภาพรวม

8. คัดลอก รหัสแอปพลิเคชัน (ไคลเอ็นต์) และวางในไฟล์ชั่วคราว คุณต้องการข้อมูลนี้ในขั้นตอนต่อไป

เพิ่ม URL การเปลี่ยนเส้นทาง

1. ภายใต้ จัดการ ให้เลือก การรับรองความถูกต้อง

2. ภายใต้ การกำหนดค่าแพลตฟอร์ม ให้เลือก เพิ่มแพลตฟอร์ม จากนั้นเลือก เว็บ

3. ภายใต้ เปลี่ยนเส้นทาง URI ให้ป้อน https://token.botframework.com/.auth/web/redirect หรือ https://europe.token.botframework.com/.auth/web/redirect สําหรับยุโรป คุณยังสามารถคัดลอก URI จากกล่องข้อความ เปลี่ยนเส้นทาง URL ภายใต้ หน้าการตั้งค่า Copilot Studio Security ภายใต้ รับรองความถูกต้องด้วยตนเอง

   การดำเนินการนี้จะนำคุณกลับไปยังหน้า การกำหนดค่าแพลตฟอร์ม

4. เลือกทั้งโทเค็นการเข้าถึง (ใช้สําหรับโฟลว์โดยนัย) และโทเค็น ID (ใช้สําหรับโฟลว์แบบโดยนัยและแบบไฮบริด)

5. เลือก กำหนดค่า

กำหนดค่าการรับรองความถูกต้องด้วยตนเอง

ถัดไป กําหนดค่าการรับรองความถูกต้องด้วยตนเอง คุณสามารถเลือกจากหลายตัวเลือกสําหรับผู้ให้บริการของคุณ อย่างไรก็ตามเราขอแนะนําให้คุณใช้ Microsoft Entra ID V2 กับข้อมูลประจําตัวภายนอก คุณยังสามารถใช้ข้อมูลลับไคลเอ็นต์ได้ถ้าคุณไม่สามารถใช้ข้อมูลประจําตัวภายนอกได้

กําหนดค่าข้อมูลประจําตัวภายนอก (แนะนํา)

กําหนดค่าการรับรองความถูกต้องด้วยตนเองโดยใช้ข้อมูลประจําตัวภายนอก

1. ใน Copilot Studio ไปที่ การตั้งค่า สำหรับเอเจนต์ของคุณ แล้วเลือก ความปลอดภัย

2. เลือก การรับรองความถูกต้อง

3. เลือก รับรองความถูกต้องด้วยตนเอง

4. เปิด ผู้ใช้ต้องลงชื่อเข้าใช้ ไว้

5. ป้อนค่าต่อไปนี้เป็นคุณสมบัติ:

   • ผู้ให้บริการ: เลือก Microsoft Entra ID V2 ที่มีข้อมูลประจําตัวภายนอก

   • รหัสไคลเอ็นต์: ป้อนรหัสแอปพลิเคชัน (ไคลเอ็นต์) ทีคุณคัดลอกไว้ก่อนหน้านี้จากพอร์ทัล Azure

6. เลือก บันทึก เพื่อดูผู้ออกข้อมูลประจำตัวที่รวมและค่าของข้อมูลประจำตัว

7. คัดลอก ผู้ออกข้อมูลประจําตัว Federated และ ค่าข้อมูลประจําตัว Federated แล้ววางลงในไฟล์ชั่วคราว คุณต้องการข้อมูลนี้ในขั้นตอนต่อไป

8. ไปยังพอร์ทัล Azure และการลงทะเบียนแอปที่คุณสร้างไว้ก่อนหน้านี้ ภายใต้ จัดการ เลือก ใบรับรองและข้อมูลลับ จากนั้น ข้อมูลประจําตัวภายนอก

9. เลือก เพิ่มข้อมูลประจำตัว

10. ภายใต้สถานการณ์ด้านข้อมูลประจําตัวร่วม ให้เลือกผู้ออกข้อมูลประจําตัวอื่น

11. ป้อนค่าต่อไปนี้เป็นคุณสมบัติ:

    • ผู้ออก: ป้อนค่าผู้ออกข้อมูลประจําตัวภายนอกที่คุณคัดลอกก่อนหน้านี้จาก Copilot Studio
    • ค่า: ใส่ข้อมูลค่าข้อมูลประจําตัวภายนอกที่คุณคัดลอกก่อนหน้านี้จาก Copilot Studio
    • ชื่อ: ระบุชื่อ

12. เลือก เพิ่ม เพื่อเสร็จสิ้นการกําหนดค่า

กําหนดค่าข้อมูลลับไคลเอ็นต์

สร้างข้อมูลลับของไคลเอ็นต์

1. ภายใต้ จัดการ ให้เลือก ใบรับรองและข้อมูลลับ

2. ในส่วน ข้อมูลลับของไคลเอ็นต์ ให้เลือก ข้อมูลลับของไคลเอ็นต์ใหม่

3. (ไม่บังคับ) ป้อนคําอธิบาย มีการระบุไว้หนึ่งรายการ หากเว้นว่างไว้

4. เลือกระยะเวลาการหมดอายุ เลือกช่วงเวลาที่สั้นที่สุดที่เกี่ยวข้องกับอายุเอเจนต์ของคุณ

5. เลือก เพิ่ม เพื่อสร้างข้อมูลลับ

6. เก็บ ค่า ของข้อมูลลับไว้ในไฟล์ชั่วคราวที่ปลอดภัย คุณจะต้องใช้เมื่อกำหนดค่าการรับรองความถูกต้องของเอเจนต์ในภายหลัง

เคล็ดลับ

อย่าออกจากหน้านี้ก่อนที่คุณจะคัดลอกค่าของข้อมูลลับของไคลเอ็นต์ หากคุณทำเช่นนั้น ค่าจะถูกทำให้สับสน และคุณต้องสร้างข้อมูลลับของไคลเอ็นต์ใหม่

กําหนดค่าการรับรองความถูกต้องด้วยตนเองโดยใช้ข้อมูลลับของไคลเอ็นต์

1. ใน Copilot Studio ไปที่ การตั้งค่า สำหรับเอเจนต์ของคุณ แล้วเลือก ความปลอดภัย

2. เลือก การรับรองความถูกต้อง

3. เลือก รับรองความถูกต้องด้วยตนเอง

4. เปิด ผู้ใช้ต้องลงชื่อเข้าใช้ ไว้

5. ป้อนค่าต่อไปนี้เป็นคุณสมบัติ:

   • ผู้ให้บริการ: เลือก Microsoft Entra ID V2 พร้อมข้อมูลลับของไคลเอ็นต์

   • รหัสไคลเอ็นต์: ป้อนรหัสแอปพลิเคชัน (ไคลเอ็นต์) ทีคุณคัดลอกไว้ก่อนหน้านี้จากพอร์ทัล Azure

   • ข้อมูลลับของไคลเอ็นต์: ป้อนข้อมูลลับของไคลเอ็นต์ที่คุณสร้างไว้ก่อนหน้านี้จากพอร์ทัล Azure

   • ขอบเขต: ป้อน profile openid

6. เลือก บันทึก เพื่อเสร็จสิ้นการกำหนดค่า

กำหนดค่าสิทธิ์ API

1. ไปที่ สิทธิ์ API

2. เลือก ให้คำยินยอมของผู้ดูแลระบบสำหรับ <ชื่อผู้เช่าของคุณ> แล้วเลือก ใช่ ถ้าปุ่มใช้งานไม่ได้ คุณอาจต้องขอให้ผู้ดูแลระบบผู้เช่าป้อนให้คุณ

   

   สำคัญ

   เพื่อหลีกเลี่ยงไม่ให้ผู้ใช้ต้องยินยอมให้แต่ละแอปพลิเคชัน ผู้ที่ได้รับการกำหนดบทบาทผู้ดูแลระบบแอปพลิเคชันหรือผู้ดูแลแอปพลิเคชันระบบคลาวด์เป็นอย่างน้อยสามารถให้ความยินยอมผู้เช่าทั้งหมดในการลงทะเบียนแอปของคุณ

3. เลือก เพิ่มสิทธิ์ แล้วเลือก Microsoft Graph

   

4. เลือก สิทธิ์ที่ได้รับมอบสิทธิ์

   

5. ขยาย สิทธิ์ OpenId และเปิด openid และ โปรไฟล์

   

6. เลือก เพิ่มสิทธิ์

กำหนดขอบเขตที่กำหนดเองสำหรับเอเจนต์ของคุณ

ขอบเขต อนุญาตให้คุณกำหนดบทบาทของผู้ใช้และผู้ดูแลระบบและสิทธิ์การเข้าถึง คุณสร้างขอบเขตที่กำหนดเองสำหรับการลงทะเบียนแอปพื้นที่ทำงานที่คุณสร้างในขั้นตอนต่อไป

1. ไปที่ เปิดเผย API และเลือก เพิ่มขอบเขต

   

2. ตั้งค่าคุณสมบัติดังต่อไปนี้ คุณสามารถปล่อยคุณสมบัติอื่นๆ ว่างไว้ได้

   คุณสมบัติ	มูลค่า
   ชื่อขอบเขต	ป้อนชื่อที่เหมาะสมในสภาพแวดล้อมของคุณ เช่น Test.Read
   ใครสามารถยินยอม	เลือก ผู้ดูแลระบบและผู้ใช้
   ชื่อที่แสดงของความยินยอมของผู้ดูแลระบบ	ป้อนชื่อที่เหมาะสมในสภาพแวดล้อมของคุณ เช่น Test.Read
   คำอธิบายความยินยอมของผู้ดูแลระบบ	ป้อน Allows the app to sign the user in.
   รัฐ	เลือก เปิดใช้งาน

3. เลือก เพิ่มขอบเขต

กำหนดค่าการรับรองความถูกต้องใน Copilot Studio

1. ใน Copilot Studio ภายใต้ การตั้งค่า ให้เลือก ความปลอดภัย>การรับรองความถูกต้อง

2. เลือก รับรองความถูกต้องด้วยตนเอง

3. เปิด ผู้ใช้ต้องลงชื่อเข้าใช้ ไว้

4. เลือก ผู้ให้บริการ และระบุค่าที่ต้องการ ดูที่ กำหนดค่าการรับรองความถูกต้องด้วยตนเองใน Copilot Studio

5. เลือก บันทึก

เคล็ดลับ

URL การแลกเปลี่ยนโทเค็นใช้เพื่อแลกเปลี่ยนโทเค็นในนามของ (OBO) สำหรับโทเค็นการเข้าใช้ที่ร้องขอ สำหรับข้อมูลเพิ่มเติม โปรดดู กำหนดค่าข้อมูลการลงชื่อเข้าระบบครั้งเดียวด้วย Microsoft Entra ID

หมายเหตุ

ขอบเขตควรรวมถึง profile openid และสิ่งต่อไปนี้ ขึ้นอยู่กับกรณีการใช้งานของคุณ:

• Sites.Read.All Files.Read.All สำหรับ SharePoint
• ExternalItem.Read.All สำหรับการเชื่อมต่อกราฟ
• https://[OrgURL]/user_impersonation สำหรับข้อมูลที่มีโครงสร้างของ Dataverse

ตัวอย่างเช่น ข้อมูลที่มีโครงสร้างของ Dataverse ควรมีขอบเขตต่อไปนี้: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

ทดสอบเอเจนต์ของคุณ

1. เผยแพร่เอเจนต์ของคุณ

2. ในแผง ทดสอบเอเจนต์ของคุณ ให้ส่งข้อความถึงเอเจนต์ของคุณ

3. เมื่อเอเจนต์ตอบกลับ ให้เลือก เข้าสู่ระบบ

   แท็บเบราว์เซอร์ใหม่จะเปิดขึ้นเพื่อขอให้คุณลงชื่อเข้าใช้

4. ลงชื่อเข้าใช้ จากนั้นคัดลอกรหัสการตรวจสอบที่แสดง

5. วางรหัสในแชทเอเจนต์ เพื่อดำเนินการลงชื่อเข้าใช้ให้เสร็จสิ้น