Configurer l’authentification utilisateur avec Microsoft Entra ID

  • Article

L’ajout de l'authentification à votre copilote permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes.

Cet article explique comment configurer Microsoft Entra ID comme fournisseur de services. Pour en savoir plus sur les autres fournisseurs de services et l’authentification de l’utilisateur en général, voir Configurer l’authentification de l’utilisateur dans Copilot Studio.

Si vous disposez des droits d’administration des clients, vous pouvez configurer des autorisations d’API. Sinon, vous devrez peut-être demander à votre administrateur de client de le faire.

Conditions préalables

Découvrez comment ajouter l’authentification de l’utilisateur final à un rubrique

Vous effectuez les premières étapes dans le portail Azure et effectuez les deux dernières étapes dans Copilot Studio.

Créer une inscription d’application

  1. Connectez-vous au portail Azure en utilisant un compte administrateur sur le même locataire que votre copilote.

  2. Accédez à Inscriptions d’applications.

  3. Sélectionnez Nouvelle inscription et tapez un nom pour l’inscription. Ne modifiez pas les enregistrements d’applications existants.

    Il peut être utile d’utiliser plus tard le nom de votre copilote. Par exemple, si votre copilote s’appelle « Aide aux ventes Contoso », vous pouvez nommer l’inscription de l’application « ContosoSalesReg ».

  4. Sous Types de comptes pris en charge, Sélectionner Comptes dans n’importe quel locataire organisationnel (Tout répertoire d’ID - Multilocataire) et comptes Microsoft personnels (par exemple Skype, Microsoft Entra ) Xbox.

  5. Laissez la section URI de redirection vide pour l’instant. Entrez ces informations dans les étapes suivantes.

  6. Sélectionnez Inscrire.

  7. Une fois l’inscription terminée, accédez à Vue d’ensemble.

  8. Copiez l’ID d’application (client) et collez-le dans un fichier temporaire. Vous en aurez besoin dans des étapes ultérieures.

Ajouter l’URL de redirection

  1. Sous Gérer, Sélectionner Authentification.

  2. Sous Configurations de plate-forme, sélectionnez Ajouter une plateforme, puis sélectionnez Web.

  3. Sous URI de redirection, entrez https://token.botframework.com/.auth/web/redirect et Sélectionner Configurer.

    Cette action vous ramène à la page Configurations de la plateforme .

  4. Sous URI de redirection pour la plateforme Web, Sélectionner Ajouter un URI.

  5. Entrez https://europe.token.botframework.com/.auth/web/redirect, et Sélectionner Enregistrez.

    Note

    Le volet de configuration de l’authentification dans Copilot Studio peut afficher l’URL de redirection suivante : https://unitedstates.token.botframework.com/.auth/web/redirect. L’utilisation de cette URL fait échouer l’authentification ; utilisez plutôt l’URI.

  6. Dans la section Subvention implicite et flux hybrides , #glsr_cfigh a identifié à la fois les jetons d’accès (utilisés pour les flux implicites) et les jetons d’identification (utilisés pour les flux implicites et hybrides).

  7. Sélectionnez Enregistrer.

Générer un secret client

  1. Sous Gérer, Sélectionner Certificats et secrets.

  2. Dans la section Clé secrète client, sélectionnez Nouvelle clé secrète.

  3. (En option) Saisissez une description. Un est fourni s’il est laissé vide.

  4. Sélectionnez la période d’expiration. Sélectionnez la période la plus courte qui sera pertinente pour la durée de vie de votre copilote.

  5. Sélectionnez Ajouter pour créer le secret.

  6. Conservez la Valeur de clé secrète dans un fichier temporaire sécurisé. Vous en aurez besoin lorsque vous configurerez l’authentification de votre copilote plus tard.

Astuce

Ne quittez pas la page avant d’avoir copié la valeur de la clé secrète client. Si vous le faites, la valeur est obscurcie et vous devez générer un nouveau secret client.

Configurer l’authentification manuelle

  1. Dans Copilot Studio, accédez à Paramètres de votre copilote et à Sélectionner Sécurité.

  2. Sélectionnez Authentification.

  3. Sélectionnez Authentifier manuellement.

  4. Laissez obliger les utilisateurs à se connecter activé.

  5. Saisissez les valeurs suivantes pour les propriétés :

    • Fournisseur de services : Sélectionner Azure Active Directory v2.

    • ID client : saisissez l’ID d’application (client) que vous avez copié précédemment à partir du portail Azure.

    • Secret client : saisissez le secret client que vous avez généré précédemment à partir du portail Azure.

    • Portées : Entrez profile openid.

  6. Sélectionnez Enregistrer pour terminer les configurations.

Configurer les autorisations API

  1. Accédez à Autorisations API.

  2. Sélectionnez Accorder un consentement administrateur pour <votre nom de client>, puis cliquez sur Oui. Si le bouton n’est pas disponible, vous devrez peut-être demander à un locataire Administrateur de le saisir pour vous.

    Capture d’écran de la fenêtre des autorisations de l’API avec une autorisation de client en surbrillance.

    Note

    Pour éviter aux utilisateurs d’avoir à consentir à chaque application, un administrateur global, un administrateur d’application ou un administrateur d’application cloud peut accorder son consentement à l’échelle du locataire à vos inscriptions d’applications.

  3. Sélectionnez Ajouter une permission et choisissez Microsoft Graph.

    Capture d’écran de la fenêtre des autorisations de l’API de demande avec Microsoft Graph en surbrillance.

  4. Sélectionnez Autorisations déléguées.

    Capture d’écran avec les permissions déléguées en surbrillance.

  5. Développez Autorisations OpenId et activez openid et profil.

    Capture d’écran avec les autorisations OpenId, l’openid et le profil en surbrillance.

  6. Sélectionnez Ajouter des autorisations.

Définir une étendue personnalisée pour votre copilote

Les portées vous permettent de déterminer les rôles et les droits d’accès des utilisateurs et des administrateurs. Vous créez une étendue personnalisée pour l’enregistrement de l’application canevas que vous créez lors d’une étape ultérieure.

  1. Accédez à Exposer une API et sélectionnez Ajouter une étendue.

    Capture d’écran avec Exposer une API et le bouton Ajouter une étendue en surbrillance.

  2. Définissez les propriétés suivantes. Vous pouvez laisser les autres propriétés vides.

    Property active
    Nom de l’étendue Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Qui peut donner son consentement ? Sélectionnez Administrateurs et utilisateurs
    Nom d’affichage du consentement administrateur Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Description du consentement administrateur Entrez Allows the app to sign the user in.
    État Sélectionnez Activé

  3. Sélectionnez Ajouter une étendue.

Configurer l’authentification dans Microsoft Copilot Studio

  1. Dans Copilot Studio, sous Paramètres, Sélectionner Sécurité>Authentification.

  2. Sélectionnez Authentifier manuellement.

  3. Laissez obliger les utilisateurs à se connecter activé.

  4. Sélectionner un Fournisseur de services et fournissez les valeurs requises. Voir Configurer l’authentification manuelle dans Copilot Studio.

  5. Sélectionnez Enregistrer.

Astuce

L’URL d’échange de jetons est utilisée pour échanger le jeton OBO contre le jeton d’accès demandé. Pour plus d’informations, consultez Configurer l’authentification unique avec Microsoft Entra ID.

Note

Les portées doivent inclure profile openid et les éléments suivants, en fonction de votre cas d’utilisation :

  • Sites.Read.All Files.Read.All pour SharePoint
  • ExternalItem.Read.All pour la connexion graphique
  • https://[OrgURL]/user_impersonation pour les nœuds d’invite et les données structurées Dataverse
  • Par exemple, Dataverse les données de structure ou le nœud d’invite doivent avoir les portées suivantes : profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Tester votre copilote

  1. Publiez votre copilote.

  2. Dans le volet Tester le copilote , envoyez un message à votre copilote.

  3. Lorsque le copilote répond, sélectionnez Connexion.

    Un nouvel onglet du navigateur s’ouvre alors et vous invite à vous connecter.

  4. Connectez-vous, puis copiez le code de validation affiché.

  5. Collez le code dans le conversation instantanée du copilote pour terminer le processus de connexion.

    Capture d’écran d’une authentification utilisateur réussie dans une conversation copilote, avec le code de validation mis en surbrillance.