在 Copilot Studio 中配置用户身份验证
身份验证允许用户登录,从而允许您的助手访问受限资源或信息。 用户可以使用Microsoft Entra ID 或任何 OAuth2 身份提供程序登录,如 Google 或 Facebook。
备注
在 Microsoft Teams 中,您可以配置 Copilot Studio 助手以提供身份验证功能,以便用户可以使用 Microsoft Entra ID 或任何 OAuth2 身份提供程序登录,例如 Microsoft 或 Facebook 帐户。
您可以在编辑主题时向 主题添加最终用户身份验证。
重要提示
对身份验证配置所作的更改只有在您发布助手后才会生效。 在对助手进行身份验证更改之前,请务必提前计划。
选择身份验证选项
Copilot Studio 支持多个身份验证选项。 请选择满足您需求的那一个。
转到 Copilot 的 “设置 ”,然后选择 “安全性”。
选择身份验证。
提供以下身份验证选项:
选择保存。
不进行身份验证
无身份验证意味着在与助手交互时您的助手不要求您的用户登录。 未经身份验证的配置意味着您的助手只能访问公共信息和资源。 默认情况下 ,经典聊天机器人配置为不需要 身份验证。
向 Microsoft 进行身份验证
重要提示
选择 Authenticate with Microsoft 选项后,除 Teams 渠道之外的所有渠道都将被禁用。
此外,“ 使用 Microsoft 进行身份验证”选项不适用于与 Dynamics 365 客户服务 集成的 Copilot。
此配置自动为 Teams 设置 Microsoft Entra ID 身份验证,无需任何手动配置。 由于 Teams 身份验证本身会识别用户,因此当用户在 Teams 中时,系统不会提示他们登录,除非您的 Copilot 需要扩展范围。
如果选择此选项,则只有 Teams 渠道可用。 如果您需要将 Copilot 发布到其他通道,但仍希望对 Copilot 进行身份验证,请选择 Authenticate manually ( 手动身份验证)。
如果您选择 Authenticate with Microsoft,则创作区域中将提供以下变量:
User.IDUser.DisplayName
有关这些变量以及如何使用它们的详细信息,请参阅将最终用户身份验证添加到主题。
User.AccessToken 和 User.IsLoggedIn variables 不适用于此选项。 如果您需要身份验证令牌,请使用 Authenticate manually (手动 身份验证) 选项。
如果您从 Authenticate manually (手动 验证) 更改为 Authenticate with Microsoft(使用进行身份验证),并且您的主题包含变量 User.AccessToken ,或者 User.IsLoggedIn,它们在更改后显示为 Unknown variables (未知 变量)。 请确保在发布助手之前更正任何有错误的主题。
手动进行身份验证
Copilot Studio 在 Authenticate manually (手动 身份验证) 选项下 支持以下身份验证提供程序:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory 带证书的 v2
- 通用 OAuth 2 - 任何符合 OAuth2 标准的身份提供商
配置手动身份验证后,创作画布中将提供以下变量:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
有关这些变量以及如何使用它们的详细信息,请参阅将最终用户身份验证添加到主题。
保存配置后,请确保发布您的助手,使更改生效。
备注
- 身份验证更改仅在助手发布后生效。
- 此设置可由 Power Platform 中相应的管理控件控制。 启用此控件后,它会阻止 Authenticate manually 选项被启用或禁用 Copilot Studio。 该控件始终处于启用状态,并且 无法修改 Authenticate manually (手动 Copilot Studio身份验证) 选项。
需要用户登录和助手共享
要求用户登录 确定用户是否需要在与 Copilot 交谈之前登录。 我们强烈建议您为需要访问敏感或受限信息的 Copilot 启用此设置。
此选项不适用于 No authentication (无身份验证 ) 和 Authenticate with Microsoft (使用进行身份验证) 选项。
备注
当 Power Platform 管理中心中的 DLP 策略配置为要求身份验证时,此选项也不可配置。 有关更多信息,请参阅数据丢失预防示例 - 要求助手的最终用户身份验证。
如果您关闭此选项,您的助手不会要求用户登录,直到遇到需要用户登录的主题。
当您打开此选项时,它会创建一个名为需要用户登录的系统主题。 本主题仅与手动验证设置相关。 用户始终在 Teams 上进行身份验证。
需要用户登录主题会为任何与助手交谈但未经身份验证的用户自动触发。 如果用户登录失败,主题将重定向到升级系统主题。
此主题是只读的,无法自定义。 要查看,选择转到创作画布。
控制谁可以与组织中的助手聊天
您的助手的身份验证选项和需要用户登录设置组合确定您是否可以共享助手来控制组织中的哪些人可以与您的助手聊天。 身份验证设置不会影响为进行协作共享助手。
无身份验证:任何具有指向 copilot 的链接(或可以找到它,例如,在您的网站上)的用户都可以与它聊天。 您无法控制组织中的哪些用户可以与助手聊天。
使用 Microsoft 进行身份验证:副驾驶仅在 Teams 通道 上工作。 由于用户始终保持登录状态,因此需要用户登录设置已打开且无法关闭。 您可以使用助手共享来控制组织中的哪些人可以与助手聊天。
手动验证:
如果服务提供程序是 Azure Active Directory 或 Microsoft Entra ID,您可以打开需要用户登录,使用助手共享控制组织中的哪些人可以与助手聊天。
如果服务提供程序是通用 OAuth2,您可以打开或关闭需要用户登录。 打开后,登录的用户可以与助手聊天。 您无法使用助手共享控制组织中的哪些特定用户可以与助手聊天。
当助手的身份验证设置无法控制谁可以与助手聊天时,如果您在助手概览页面上选择共享,会有一条消息通知您任何人都可以与您的助手聊天。
手动身份验证字段
以下是您在配置手动身份验证时可能会看到的所有字段。 您将看到哪些字段取决于您对服务提供程序的选择。
| 字段名称 | 说明 |
|---|---|
| 授权 URL 模板 | 用于授权的 URL 模板,由标识提供者定义。 例如,https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 授权 URL 查询字符串模板 | 用于授权的查询模板,由您的标识提供者提供。 查询字符串模板中的密钥取决于标识提供者 (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State})。 |
| Client ID | 从标识提供者获取的客户端 ID。 |
| Client secret | 您的客户端密码,在您创建标识提供者应用注册时获取。 |
| 刷新正文模板 | 刷新正文 (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}) 的模板。 |
| 刷新 URL 查询字符串模板 | 令牌 URL 的刷新 URL 查询字符串分隔符,通常是问号 (?)。 |
| 刷新 URL 模板 | 刷新的 URL 模板;例如,https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 范围列表分隔符 | 范围列表的分隔字符。 此字段不支持空格。1 |
| 范围 | 您希望用户在登录后获取的范围列表。 使用范围列表分隔符分隔多个范围。1只设置必要的范围,遵照最小特权访问控制原则。 |
| 服务提供商 | 您要用于身份验证的服务提供程序。 有关更多信息,请参阅 OAuth 通用提供程序。 |
| Tenant ID | 您的 Microsoft Entra ID 租户 ID。 请参考使用现有的 Microsoft Entra ID 租户,了解如何找到您的租户 ID。 |
| 令牌正文模板 | 令牌正文的模板。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| 令牌交换 URL (SSO 必需) | 此可选字段在配置 单点登录时使用。 |
| 令牌 URL 模板 | 令牌的 URL 模板,由您的标识提供者提供;例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 令牌 URL 查询字符串模板 | 令牌 URL 的查询字符串分隔符,通常是问号 (?)。 |
1 如果身份提供商需要,您可以在 Scopes (范围) 字段中使用空格 。 在这种情况下,在范围列表分隔符中输入逗号 (,),在范围字段中输入空格。
关闭身份验证
打开您的助手后,在顶部菜单栏上选择设置。
选择 Security(安全性),然后选择 Authentication(身份验证)。
选择无身份验证。
如果在主题中使用身份验证变量,则它们将变为 Unknown 变量。 转到 Topics (主题 ) 页面以查看哪些主题存在错误并在发布之前修复它们。
发布助手。
重要提示
如果您的 Copilot 将 操作 配置为 使用最终用户凭证,请不要在 Copilot 级别关闭身份验证,因为这会阻止这些操作工作。