Configurer l’authentification des utilisateurs dans Copilot Studio
L’authentification permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.
Note
Dans Microsoft Teams, vous pouvez configurer un copilote Copilot Studio pour fournir des fonctionnalités d’authentification afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou n’importe quel fournisseur d’identité OAuth2, comme un compte Microsoft ou Facebook.
Vous pouvez ajouter l’authentification de l’utilisateur final aux sujets lorsque vous modifiez un rubrique.
Important
Les modifications apportées à la configuration de l’authentification ne prennent effet qu’après la publication de votre copilote. Assurez-vous de planifier à l’avance avant d’apporter des modifications d’authentification à votre copilote.
Choisir une option d’authentification
Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.
Accédez à Paramètres de votre copilote et à Sélectionner Sécurité.
Sélectionnez Authentification.
Les options d’authentification suivantes sont disponibles :
Sélectionnez Enregistrer.
Aucune authentification
« Aucune authentification » signifie que votre copilote n’exigera pas que vos utilisateurs se connectent lorsqu’ils interagissent avec le copilote. Une configuration non authentifiée signifie que votre copilote ne peut accéder qu’aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.
Avertissement
La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou copilote.
Nous recommandons d’appliquer l’authentification, surtout si vous utilisez votre bot ou copilote au sein de votre organisation ou pour des utilisateurs spécifiques, à côté des autres contrôles de sécurité et de gouvernance.
Authentifier avec Microsoft
Important
Lorsque l’option S’authentifier avec Microsoft est sélectionnée, tous les canaux, à l’exception du canal Teams, sont désactivés.
De plus, l’option S’authentifier avec Microsoft n’est pas disponible pour les copilotes intégrés à Dynamics 365 service clientèle.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Étant donné que l’authentification Teams elle-même identifie l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, à moins que votre copilote n’exige une portée étendue.
Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous devez publier votre copilote sur d’autres canaux mais que vous souhaitez toujours une authentification pour votre copilote, choisissez Authentifier manuellement.
Si vous vous authentifiez auprès de Microsoft, les variables suivantes sont disponibles dans le canevas de création :
User.ID
User.DisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.
User.AccessToken
et User.IsLoggedIn
les variables ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement .
Si vous passez de S’authentifier manuellement à S’authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken
ou User.IsLoggedIn
, elles s’affichent comme des variables Inconnues après la modification. Assurez-vous de corriger toutes les sujets contenant des erreurs avant de publier votre copilote.
Authentifier manuellement
Copilot Studio prend en charge les fournisseurs d’authentification suivants sous l’option Authentifier manuellement :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 avec certificats
- Générique OAuth 2 - Tout fournisseur d’identité conforme à la norme OAuth2
Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :
User.Id
User.DisplayName
User.AccessToken
User.IsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.
Une fois la configuration enregistrée, assurez-vous de publier votre copilote pour que les modifications prennent effet.
Note
- Les modifications d’authentification ne prennent effet qu’après la publication du copilote.
- Ce paramètre peut être contrôlé par le contrôle administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’option Authentifier manuellement d’être activée ou désactivée dans Copilot Studio. Le contrôle est toujours activé et l’option Authentifier manuellement ne peut pas être modifiée dans Copilot Studio.
Connexion utilisateur requise et partage du copilote
Exiger que les utilisateurs se connectent détermine si un utilisateur doit se connecter avant de parler avec le copilote. Nous vous recommandons vivement d’activer ce paramètre pour les copilotes qui doivent accéder à des informations sensibles ou restreintes.
Cette option n’est pas disponible pour les options Aucune authentification et S’authentifier avec Microsoft .
Note
Cette option n’est pas non plus configurable lorsque la stratégie DLP dans le centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, voir Exemple de protection contre la perte de données – Exiger l’authentification de l’utilisateur final dans les copilotes.
Si vous désactivez cette option, votre copilote ne demande pas aux utilisateurs de se connecter jusqu’à ce qu’il rencontre une rubrique qui les oblige à le faire.
Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.
Le sujet Demander aux utilisateurs de se connecter est déclenché automatiquement pour tout utilisateur qui parle au copilote sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôler qui peut discuter avec le copilote dans l’organisation
La combinaison de l’option d’authentification et de Demander aux utilisateurs de se connecter de votre copilote détermine si vous pouvez partager le copilote pour contrôler qui peut discuter ou non avec votre bot dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un copilote pour la collaboration.
Aucune authentification : Tout utilisateur qui a un lien vers le copilote (ou peut le trouver, par exemple sur votre site Web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec le copilote dans votre organisation.
Authentifier avec Microsoft : Le copilote fonctionne uniquement sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage de copilote pour contrôler qui dans votre organisation peut discuter avec le copilote.
Authentifier manuellement :
Si le fournisseur de services est soit Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec le copilote en utilisant le partage de copilote.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque cette option est activée, un utilisateur qui se connecte peut discuter avec le copilote. Vous ne pouvez pas contrôler quels utilisateurs spécifiques peuvent discuter avec le copilote à l’aide du partage de copilote dans votre organisation.
Lorsque le paramètre d’authentification d’un copilote ne peut pas contrôler qui peut discuter avec lui, si vous sélectionnez Partager sur la page de présentation du copilote, un message informe que n’importe qui peut discuter avec votre copilote.
Champs d’authentification manuelle
Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.
Nom du champ | Description |
---|---|
Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State} ). |
ID Client | Votre ID client obtenu auprès du fournisseur d’identité. |
Client secret | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
Actualiser le modèle de corps | Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret} ). |
Actualiser le modèle de chaîne de requête de l’URL d’autorisation | Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (? ). |
Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token . |
Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
Étendues | La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir OAuth fournisseurs génériques. |
ID locataire | Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client. |
Modèle de corps de jeton | Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret} ) |
URL d’échange de jetons (requise pour SSO) | Ce champ facultatif est utilisé lorsque vous configurez l’authentification unique. ... |
Modèle d’URL de jeton | Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (? ). |
1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,
) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Désactiver l’authentification
Avec votre copilote ouvert, sélectionnez Paramètres dans la barre de menu supérieure.
Sélectionner Sécurité, puis Sélectionner Authentification.
Sélectionnez Aucune authentification.
Si des variables d’authentification sont utilisées dans un rubrique, elles deviennent des variables inconnues . Accédez à la page Sujets pour voir quels sujets comportent des erreurs et les corriger avant de les publier.
Publier le copilote.
Important
Si votre copilote a des actions configurées pour utiliser les informations d’identification de l’utilisateur final, ne désactivez pas l’authentification au niveau du copilote, car cela empêcherait ces actions de fonctionner. ...