Configurazione dell'autenticazione dell'utente in Copilot Studio
L'autenticazione consente agli utenti di accedere, dando al tuo copilota l'accesso a una risorsa o informazioni limitate. Gli utenti possono accedere con Microsoft Entra ID o qualsiasi provider di identità OAuth2 come Google o Facebook.
Nota
In Microsoft Teams, puoi configurare un copilota Copilot Studio per fornire funzionalità di autenticazione, affinché gli utenti possano accedere con un Microsoft Entra ID o qualsiasi provider di identità OAuth2, come un account Microsoft o Facebook.
Puoi aggiungere l'autenticazione dell'utente finale agli argomenti quando modifichi un argomento.
Importante
Le modifiche alla configurazione dell'autenticazione hanno effetto solo dopo la pubblicazione del copilota. Assicurati di pianificare in anticipo prima di apportare modifiche di autenticazione al tuo copilota.
Scegliere un'opzione di autenticazione
Copilot Studio supporta diverse opzioni di autenticazione. Scegli quella più idonea alle tue esigenze.
Vai su Impostazioni per il tuo copilota e Seleziona Sicurezza.
Seleziona Autenticazione.
Di seguito vengono illustrate le opzioni di autenticazione disponibili:
Seleziona Salva.
Nessuna autenticazione
Nessuna autenticazione significa che il tuo copilota non richiede ai tuoi utenti di accedere quando interagiscono con il copilota. Una configurazione non autenticata significa che il tuo copilota può accedere solo a informazioni e risorse pubbliche. I chatbot classici sono configurati per impostazione predefinita in modo da non richiedere l'autenticazione.
Attenzione
Selezionando l'opzione Nessuna autenticazione chiunque abbia collegare potrà chattare e interagire con il tuo bot o copilota.
Ti consigliamo di applicare l'autenticazione, soprattutto se utilizzi il tuo bot o copilota all'interno della tua organizzazione o per utenti specifici altri controlli di sicurezza e governance.
Esegui l'autenticazione con Microsoft
Importante
Quando è selezionata l'opzione Autenticazione con Microsoft , tutti i canali tranne il canale Teams vengono disabilitati.
Inoltre, l'opzione Autenticazione con Microsoft non è disponibile per i copiloti integrati con Dynamics 365 servizio clienti.
Questa configurazione imposta automaticamente l'autenticazione Microsoft Entra ID per Teams senza la necessità di alcuna configurazione manuale. Poiché l'autenticazione di Teams identifica l'utente, agli utenti non viene chiesto di effettuare l'accesso mentre sono in Teams, a meno che il copilota non richieda un ambito esteso.
Solo il canale Teams è disponibile se selezioni questa opzione. Se devi pubblicare il tuo copilota su altri canali ma desideri comunque l'autenticazione per il tuo copilota, seleziona Autentica manualmente.
Se Seleziona esegui l'autenticazione con Microsoft, le seguenti variabili sono disponibili nell'area di creazione:
User.IDUser.DisplayName
Per altre informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione dell'utente finale agli argomenti.
User.AccessToken e User.IsLoggedIn le variabili non sono disponibili con questa opzione. Se hai bisogno di un token di autenticazione, utilizza l'opzione Autentica manualmente .
Se si passa da Autenticazione manuale a Autenticazione con Microsoft e gli argomenti contengono le variabili User.AccessToken o User.IsLoggedIn, queste vengono visualizzate come variabili Sconosciute dopo la modifica. Assicurati di correggere tutti gli argomenti con errori prima di pubblicare il copilota.
Esegui l'autenticazione manuale
Copilot Studio supporta i seguenti provider di autenticazione con l'opzione Autentica manualmente :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 con certificati
- Generico OAuth 2 - Qualsiasi fornitore di identità conforme allo standard OAuth2
Le seguenti variabili sono disponibili nel canvas di creazione dopo aver configurato l'autenticazione manuale:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Per altre informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione dell'utente finale agli argomenti.
Una volta salvata la configurazione, assicurati di pubblicare il tuo copilota in modo che le modifiche abbiano effetto.
Nota
- Le modifiche all'autenticazione hanno effetto solo dopo la pubblicazione del copilota.
- Questa impostazione può essere controllata dal controllo amministratore corrispondente in Power Platform. Quando il controllo è abilitato, impedisce che l'opzione Autentica manualmente venga abilitata o disabilitata all'interno di Copilot Studio. Il controllo è sempre abilitato e l'opzione Autentica manualmente non può essere modificata in Copilot Studio.
Accesso utente richiesto e condivisione copilota
Richiedi agli utenti di effettuare l'accesso determina se un utente deve effettuare l'accesso prima di parlare con il copilota. Consigliamo vivamente di attivare questa impostazione per i copiloti che hanno bisogno di accedere a informazioni sensibili o riservate.
Questa opzione non è disponibile per le opzioni Nessuna autenticazione e Autentica con Microsoft .
Nota
Questa opzione non è inoltre configurabile quando i criteri DLP nell'interfaccia di amministrazione di Power Platform sono configurati per richiedere l'autenticazione. Per ulteriori informazioni, vedi Esempio di prevenzione della perdita di dati: richiede l'autenticazione dell'utente finale nei copiloti.
Se disattivi questa opzione, il tuo copilota non chiederà agli utenti di accedere finché non incontra un argomento che richiede loro di farlo.
Quando attivi questa opzione, crea un argomento di sistema chiamato Richiedi agli utenti di accedere. Questo argomento è rilevante solo per l'impostazione Autentica manualmente. Gli utenti sono sempre autenticati su Teams.
L'argomento Richiedi agli utenti di accedere viene attivato automaticamente per qualsiasi utente che parla con il copilota senza essere autenticato. Se l'utente non riesce ad accedere, l'argomento reindirizza all'argomento di sistema Riassegna.
L'argomento è di sola lettura e non può essere personalizzato. Per vederlo, seleziona Vai al canvas di creazione.
Controllare chi può chattare con il copilota nell'organizzazione
La combinazione opzione di autenticazione e Richiedi agli utenti di accedere determina se puoi condividere il copilota per controllare chi nella tua organizzazione può chattare con il copilota o meno. L'impostazione di autenticazione non influisce sulla condivisione di un copilota per la collaborazione.
Nessuna autenticazione: qualsiasi utente che abbia un collegare per il copilota (o che riesca a trovarlo, ad esempio sul tuo sito web) può chattare con lui. Non puoi controllare quali utenti dell'organizzazione possono chattare con il copilota.
Autenticazione con Microsoft: il copilota funziona solo sul canale Teams. Poiché l'utente è sempre connesso, l'impostazione Richiedi agli utenti di accedere è attivata e non può essere disattivata. Puoi utilizzare la condivisione del copilota per controllare chi nella tua organizzazione può chattare con il copilota.
Autenticazione manuale:
Se il provider di servizi è Azure Active Directory o Microsoft Entra ID, puoi attivare Richiedi agli utenti di accedere per controllare chi nella tua organizzazione può chattare con il copilota utilizzando la condivisione del copilota.
Se il provider di servizi è OAuth2 generico, puoi attivare o disattivare Richiedi agli utenti di accedere. Quando è attivato, un utente che effettua l'accesso può chattare con il copilota. Non puoi controllare quali utenti specifici dell'organizzazione possono chattare con il copilota usando la condivisione del copilota.
Quando l'impostazione di autenticazione di un copilota non può controllare chi può chattare con il copilota, selezionando Condividi sulla pagina di panoramica del copilota viene visualizzato un messaggio che ti informa che chiunque può chattare con il copilota.
Campi di autenticazione manuale
Di seguito sono riportati tutti i campi che puoi visualizzare durante la configurazione dell'autenticazione manuale. I campi che vedrai dipendono dal provider di servizi scelto.
| Nome del campo | Descrizione |
|---|---|
| Modello URL di autorizzazione | Il modello URL per l'autorizzazione, definito dal provider di identità. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modello stringa di query dell'URL di autorizzazione | Il modello di query per l'autorizzazione, come fornito dal provider di identità. Le chiavi nel modello di stringa delle query variano in base al provider di identità (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | L'ID client ottenuto dal provider di identità. |
| Client secret | Il tuo segreto client, ottenuto quando hai creato la registrazione dell'app del provider di identità. |
| Aggiorna modello corpo | Il modello per il corpo di aggiornamento (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Aggiorna modello stringa di query dell'URL | Il separatore della stringa di query dell'URL di aggiornamento per l'URL del token, in genere un punto interrogativo (?). |
| Aggiorna modello URL | Il modello di URL per l'aggiornamento; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitatore elenco ambiti | Il carattere separatore per l'elenco degli ambiti. Gli spazi vuoti non sono supportati in questo campo.1 |
| Ambiti | L'elenco degli ambiti che vuoi che gli utenti abbiano dopo che hanno effettuato l'accesso. Utilizza il Delimitatore elenco ambiti per separare più ambiti.1 Imposta solo gli ambiti necessari e segui il lPrincipio di controllo dell'accesso con privilegi minimi. |
| Provider di servizi | Il provider di servizi che vuoi utilizzare per l'autenticazione. Per ulteriori informazioni, vedere OAuth fornitori generici. |
| ID tenant | Il tuo ID tenant Microsoft Entra ID. Fai riferimento a Usare un tenant Microsoft Entra ID per sapere come trovare il tuo ID tenant. |
| Modello corpo del token | Il modello per il corpo del token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL di scambio del token (obbligatorio per SSO) | Questo campo facoltativo viene utilizzato quando si configura l'accesso Single Sign-On. |
| Modello URL del token | Il modello di URL per i token, come definito dal provider di identità; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modello stringa di query dell'URL del token | Il separatore della stringa di query per l'URL del token, in genere un punto interrogativo (?). |
1 È possibile utilizzare spazi nel campo Ambiti se richiesto dal provider di identità. In tal caso, inserisci una virgola (,) in Delimitatore elenco ambiti, e inserisci gli spazi nel campo Ambiti.
Disattivare l'autenticazione
Con il copilota aperto, seleziona Impostazioni dalla barra dei menu in alto.
Seleziona Sicurezza, quindi Seleziona Autenticazione.
Seleziona Nessuna autenticazione.
Se le variabili di autenticazione vengono utilizzate in un argomento, diventano variabili Sconosciute . Vai alla pagina Argomenti per vedere quali argomenti contengono errori e correggerli prima della pubblicazione.
Pubblicazione del copilota.
Importante
Se il tuo copilota ha azioni configurate per utilizzare le credenziali dell'utente finale, non disattivare l'autenticazione a livello di copilota, poiché ciò impedirebbe il funzionamento di queste azioni.