Настройка проверки подлинности пользователя в Copilot Studio

Аутентификация позволяет пользователям входить в систему, предоставляя вашему помощнику доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с любым поставщиком удостоверений OAuth2, например Google или Facebook.

Заметка

В Microsoft Teams вы можете настроить помощника Copilot Studio, чтобы обеспечить возможности аутентификации, так что пользователи могут войти в систему с Microsoft Entra ID или любым поставщиком удостоверений OAuth2, таким как учетная запись Microsoft или Facebook.

Вы можете добавить аутентификацию конечного пользователя к темам при редактировании тема.

Важно

Изменения в конфигурации аутентификации вступают в силу только после того, как вы опубликуете свой помощник. Обязательно спланируйте заранее, прежде чем вносить изменения в аутентификацию своего помощника.

Выберите вариант аутентификации

Copilot Studio поддерживает несколько вариантов аутентификации. Выберите, который подходит под ваши требования.

  1. Перейдите в Настройки для вашего второго пилота и выберите Безопасность.

  2. Выберите Аутентификация.

    Доступны следующие варианты аутентификации:

  3. Выберите Сохранить.

Без аутентификации

Отсутствие аутентификации означает, что ваш помощник не требует от пользователей входа в систему при взаимодействии с помощником. Конфигурация без аутентификации означает, что ваш помощник может осуществлять доступ только к общедоступной информации и ресурсам. Классические чат-боты по умолчанию настроены так, чтобы не требовать аутентификации.

Внимание

Выбор опции Без аутентификации позволяет любому, у кого есть ссылка, общаться и взаимодействовать с вашим бот или вторым пилотом.

Мы рекомендуем использовать аутентификацию, в особенности если ваш бот или помощник используется внутри вашей организации или для определенного круга пользователей, наряду с другими механизмами управления и обеспечения безопасности.

Проверка подлинности через Майкрософт

Важно

Если выбран параметр Аутентификация с помощью Microsoft , все каналы, кроме канала Teams, отключаются.

Кроме того, опция Аутентификация с помощью Microsoft недоступна для вторых пилотов, интегрированных с Dynamics 365 обслуживание клиентов.

В этой конфигурации автоматически настраивается аутентификация Microsoft Entra ID для Teams, без необходимости ручной настройки. Поскольку аутентификация Teams сама идентифицирует пользователя, пользователям не предлагается входить в систему, пока они находятся в Teams, если только вашему второму пилоту не требуется расширенная область действия.

С этим параметром доступен только канал Teams. Если вам необходимо опубликовать своего второго пилота на других каналах, но при этом вы по-прежнему хотите выполнить аутентификацию для своего второго пилота, выберите Аутентифицировать вручную.

Если вы выберете Аутентификация с помощью Microsoft, на холсте авторинга будут доступны следующие переменные:

  • User.ID
  • User.DisplayName

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации конечного пользователя в темы.

User.AccessToken и User.IsLoggedIn переменные недоступны при использовании этой опции. Если вам нужен токен аутентификации, используйте опцию Аутентифицировать вручную .

Если вы измените настройку с Аутентификация вручную на Аутентификация с помощью Microsoft, а ваши темы содержат переменные User.AccessToken или User.IsLoggedIn, то после изменения они будут отображаться как Неизвестные переменные. Обязательно исправьте все темы с ошибками, прежде чем опубликовать своего помощника.

Проверка подлинности вручную

Copilot Studio поддерживает следующих поставщиков аутентификации в параметре Аутентификация вручную :

  • Azure Active Directory
  • Azure Active Directory v2
  • Azure Active Directory v2 с сертификатами
  • Generic OAuth 2 — любой поставщик удостоверений, соответствующий стандарту OAuth2

Если настроить аутентификацию вручную на холсте разработки доступны следующие переменные:

  • User.Id
  • User.DisplayName
  • User.AccessToken
  • User.IsLoggedIn

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации конечного пользователя в темы.

После сохранения конфигурации обязательно опубликуйте своего помощника, чтобы изменения вступили в силу.

Заметка

  • Изменения аутентификации вступают в силу только после публикации помощника.
  • Этим параметром можно управлять с помощью соответствующего административного элемента управления в Power Platform. Когда элемент управления включен, он предотвращает включение или отключение параметра Аутентификация вручную в Copilot Studio. Элемент управления всегда включен, и параметр Аутентифицировать вручную не может быть изменен в Copilot Studio.

Обязательный вход пользователя и совместное использование помощника

Требовать от пользователей входа в систему определяет, должен ли пользователь входить в систему перед разговором со вторым пилотом. Мы настоятельно рекомендуем включить эту настройку для вторых пилотов, которым необходим доступ к конфиденциальной или закрытой информации.

Эта опция недоступна для опций Без аутентификации и Аутентификация с помощью Microsoft .

Заметка

Этот параметр также невозможно настроить, если политика DLP в центре администрирования Power Platform настроена на требование аутентификации. Подробнее см. в разделе Пример предотвращения потери данных — требование аутентификации конечного пользователя в помощниках.

Если вы отключите этот параметр, ваш помощник не просит пользователей войти в систему, пока не встретит тему, требующую от них этого.

Когда вы включаете этот параметр, он создает системную тему с именем Требовать входа для пользователей. Этот тема актуальна только для параметра Аутентификация вручную. Пользователи всегда проходят проверку подлинности в Teams.

Тема Требовать входа для пользователей автоматически запускается для любого пользователя, который разговаривает с помощником без аутентификации. Если пользователю не удается войти в систему, тема перенаправляет в системную тему Эскалация.

Тема доступна только для чтения и не может быть изменена. Чтобы увидеть, выберите Перейти к холсту разработки.

Управляйте тем, кто может общаться с помощником в организации

Комбинация аутентификации помощника и параметра Требовать входа для пользователей определяет, можете ли вы предоставить доступ к помощнику, чтобы контролировать, кто в вашей организации может общаться с вашим помощником, а кто нет. Параметр аутентификации не влияет на общий доступ к помощнику для совместной работы.

  • Без аутентификации: любой пользователь, имеющий ссылку на второго пилота (или способный найти его, например, на вашем веб-сайте), может общаться с ним. Вы не можете контролировать, какие пользователи в вашей организации могут общаться с помощником.

  • Аутентификация с помощью Microsoft: второй пилот работает только на канале Teams. Поскольку пользователь всегда входит в систему, параметр Требовать входа для пользователей включен и не может быть отключен. Вы можете использовать общий доступ к помощнику, чтобы контролировать, кто может общаться с помощником в вашей организации.

  • Аутентификация вручную:

    • Если поставщик услуг либо Azure Active Directory, либо Microsoft Entra ID, вы можете включить Требовать входа для пользователей, чтобы контролировать, кто в вашей организации может общаться с помощником, используя общий доступ к помощнику.

    • Если поставщик услуг — Универсальный OAuth2, вы можете включить или выключить Требовать входа для пользователей. Когда включено, пользователь, вошедший в систему, может общаться с помощником. Вы не можете контролировать, какие конкретные пользователи в вашей организации могут общаться с помощником, используя общий доступ к помощникам.

Когда параметр аутентификации помощника не может контролировать, кто может общаться с помощником, то при выборе Предоставить доступ на странице обзора помощника, сообщение информирует, что с помощником может общаться любой желающий.

Поля аутентификации вручную

Ниже приведены все поля, которые вы можете увидеть при настройке аутентификации вручную. Какие поля вы увидите, зависит от вашего выбора для поставщика услуг.

Имя поля Описание
Шаблон URL-адреса авторизации Шаблон URL-адреса для авторизации, как он определен вашим поставщиком удостоверений. Например: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Шаблон строки запроса URL-адреса авторизации Шаблон запроса для авторизации, определенный вашим поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}).
Client ID Ваш идентификатор клиента, полученный от поставщика удостоверений.
Client secret Ваш секрет клиента, полученный при создании регистрации приложения поставщика удостоверений.
Обновить шаблон основного текста Шаблон для текста обновления (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}).
Обновить шаблон строки запроса URL-адреса Разделитель строки запроса URL-адреса обновления для URL-адреса маркера, обычно знак вопроса (?).
Обновить шаблон URL-адреса Шаблон URL для обновления; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Разделитель списка областей Символ разделителя для списка областей. Пустые места в этом поле не поддерживаются.1
Области Список областей, которые должны быть у пользователей после входа в систему. Используйте Разделитель списка областей для разделения нескольких областей.1 Устанавливайте только необходимые области и следуйте принципу управления доступом с наименьшими привилегиями.
Поставщик услуг Поставщик услуг, которого вы хотите использовать для аутентификации. Для получения дополнительной информации см. раздел OAuth Универсальные поставщики.
Идентификатор клиента Ваш идентификатор клиента Microsoft Entra ID. Прочтите Использование существующего клиента Microsoft Entra ID, чтобы узнать, как найти свой идентификатор клиента.
Шаблон текста маркера Шаблон для текста маркера. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
URL-адрес обмена токенами (обязательно для единого входа) Это необязательное поле используется при настройке единого входа.
Шаблон URL-адреса токена Шаблон URL для маркеров, как предоставляется вашим поставщиком удостоверений; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Шаблон строки запроса URL-адреса токена Разделитель строки запроса для URL-адреса маркера, обычно знак вопроса (?).

1 Вы можете использовать пробелы в поле Области действия , если этого требует поставщик удостоверений. В этом случае введите запятую (,) в Разделитель списка областей и введите пробелы в поле Области.

Отключить аутентификацию

  1. Открыв помощник, выберите Параметры в верхней строке меню.

  2. Выберите Безопасность, затем выберите Аутентификация.

  3. Выберите Без аутентификации.

    Если переменные аутентификации используются в тема, они становятся неизвестными переменными. Перейдите на страницу Темы , чтобы увидеть, в каких темах есть ошибки, и исправить их перед публикацией.

  4. Опубликуйте помощника.

Важно

Если у вашего второго пилота есть действия , настроенные на использование учетных данных конечного пользователя, не отключайте аутентификацию на уровне второго пилота, так как это помешает работе этих действий.