Konfigurowanie uwierzytelniania użytkownika końcowego w usłudze Power Virtual Agents

Wybierz wersję usługi Power Virtual Agents, której używasz, w tym miejscu:

Możesz skonfigurować bota Power Virtual Agents w taki sposób, aby zapewniał możliwości uwierzytelniania, dzięki czemu użytkownicy mogą zalogować się przy użyciu usługi Azure Active Directory (AAD) lub innego dostawcy tożsamości OAuth2, takiego jak konto Microsoft lub Facebook.

Aby dowiedzieć się, jak dodać uwierzytelnianie do temat botu, zobacz Dodawanie uwierzytelniania użytkownika do bota usługi Power Virtual Agents.

Program Power Virtual Agents obsługuje następujących dostawców uwierzytelniania:

  • Azure Active Directory w wersji 1
  • Azure Active Directory w wersji 2
  • Dowolny dostawca tożsamości zgodny ze standardem OAuth2.

Ważne

Zmiany konfiguracji uwierzytelniania zostaną uwzględnione dopiero po opublikowaniu bota. Przed dokonaniem zmian uwierzytelniania w bocie należy je zaplanować z wyprzedzeniem.

Wymagania wstępne

Wybieranie najlepszej opcji uwierzytelniania

Program Power Virtual Agents obsługuje zestaw różnych opcji uwierzytelniania, z których każda jest ukierunkowana na inny scenariusz użycia.

Aby zmienić ustawienia uwierzytelniania, wybierz kolejno pozycje Zarządzaj w bocznym okienku nawigacji, a następnie przejdź do karty Zabezpieczenia i wybierz kartę Uwierzytelnianie.

Zrzut ekranu strony Zabezpieczenia w obszarze menu Zarządzaj z wyróżnieniem karty Uwierzytelnianie.

W celu skonfigurowania uwierzytelniania zostaną wyświetlone następujące trzy opcje

  • Bez uwierzytelniania
  • Tylko dla aplikacji Teams
  • Ręczne (dla dowolnego kanału, w tym aplikacji Teams)

Zrzut ekranu okienka uwierzytelniania pokazujący trzy opcje uwierzytelniania.

Bez uwierzytelniania

Ta opcja konfiguracji nie oferuje uwierzytelniania bota. Jest to standardowa konfiguracja botów, które nie są tworzone z aplikacji Teams.

Tylko dla aplikacji Teams

Ta opcja konfiguracji jest zoptymalizowana pod kątem użycia kanałów aplikacji Teams. Automatycznie konfiguruje ona uwierzytelnianie usługi Azure Active Directory (Azure AD) dla aplikacji Teams bez konieczności ręcznej konfiguracji.

Używa ona samego uwierzytelniania aplikacji Teams do identyfikowania użytkownika, co oznacza, że użytkownik nie będzie monitowany o zalogowanie się w aplikacji Teams, chyba że istnieje zapotrzebowanie na rozwinięty zakres. Po wybraniu tej konfiguracji dostępne są tylko kanały Teams.

Jeśli są potrzebne inne kanały, ale mimo to potrzebujesz uwierzytelniania dla bota, musisz wybrać opcję uwierzytelniania ręcznego. Jest to standardowa konfiguracja botów, które są tworzone z aplikacji Teams.

Następujące zmienne będą dostępne w kanwie tworzenia po wybraniu opcji Tylko dla aplikacji Teams:

  • UserID
  • UserDisplayName

Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do bota programu Power Virtual Agents.

Zmienne AuthToken i IsLoggedIn nie są dostępne dla tej opcji konfiguracji. Jeśli potrzebny jest token uwierzytelniania, należy użyć opcji Ręczne.

Jeśli zmieniono wartość Ręczne na Tylko dla aplikacji Teams, a tematy zawierają jedną ze zmiennych AuthToken lub IsLoggedIn, po zmianie będą one wyświetlane jako nieznane zmienne. Przed opublikowaniem bota upewnij, że poprawiono wszystkie tematy z błędami.

Ręczne (dla dowolnego kanału, w tym aplikacji Teams)

Możesz skonfigurować każdego dostawcę tożsamości zgodnego z Azure AD, Azure AD w wersji 2 lub OAuth przy użyciu tej opcji. Następujące zmienne będą dostępne w kanwie tworzenia po skonfigurowaniu uwierzytelniania ręcznego:

  • UserID
  • UserDisplayName
  • AuthToken
  • IsLoggedIn

Aby uzyskać więcej informacji o tych zmiennych i sposobie ich używania, zobacz Dodawanie uwierzytelniania użytkownika końcowego do bota programu Power Virtual Agents.

Po zapisaniu konfiguracji opublikuj bota, aby zmiany zaczęły obowiązywać.

Uwaga

Zmiany uwierzytelniania są uwzględniane tylko po opublikowaniu bota.

Zarejestruj nową aplikację u swojego dostawcy tożsamości, korzystając z opcji Ręczne (w przypadku każdego kanału, w tym Teams)

Aby można było skonfigurować uwierzytelnianie ręczne w programie Power Virtual Agents, należy zarejestrować nową aplikację u swojego dostawcy tożsamości i uzyskać identyfikator klienta oraz klucz tajny klienta. W tej sekcji opisano, jak to zrobić w witrynie Azure Portal dla usługi Azure AD. Jeśli masz innego dostawcę tożsamości, skorzystaj z jego instrukcji dotyczących konfiguracji.

Upewnij się, że adresu URL przekierowania został skonfigurowany jako https://token.botframework.com/.auth/web/redirect oraz że przypisane uprawnienia i zakresy interfejsu API dla aplikacji to uprawnienia, do których bot musi uzyskiwać dostęp.

Ważne

Wymagany adres URL przekierowania rejestracji aplikacji to https://token.botframework.com/.auth/web/redirect.
Upewnij się, że aplikacja ma prawidłowe uprawnienia interfejsu API i jego powiązane zakresy.

Używanie usługi Azure Active Directory jako dostawcy tożsamości

Tworzenie rejestracji aplikacji

  1. Zaloguj się do witryny Azure Portal, używając konta administratora w tej samej dzierżawie, co czatbot użytkownika usługi Power Virtual Agents.
  2. Aby przejść do rejestracji aplikacji, należy wybrać ikonę lub użyć wyszukiwania na pasku wyszukiwania. Utwórz nową rejestrację aplikacji.
  3. Wybierz pozycję Nazwa rejestracji i wprowadź nazwę rejestracji. Pomocne może być użycie nazwy bota, dla której jest włączane uwierzytelnianie. Na przykład, jeśli Twój bot nazywa się „Contoso – pomoc w sprzedaży”, możesz nazwać rejestrację aplikacji jako „ContosoSalesReg” lub coś podobnego.
  4. Wybierz pozycję Konta w dowolnym katalogu organizacyjnym (dowolny katalog usługi Azure AD — wielodostępny) i osobiste konta Microsoft (np. Skype, Xbox)
  5. W sekcji URI przekierowania pozostaw pole puste, ponieważ wprowadzisz te informacje w następnych krokach. Wybierz pozycję Zarejestruj.

Dodaj URL przekierowania

  1. Po zakończeniu rejestracji zostanie ona otwarta na stronie omówienia. Przejdź do sekcji Uwierzytelnianie, a następnie kliknij pozycję Dodaj platformę.
  2. W bloku konfigurowania platform wybierz pozycję Internet. W obszarze Identyfikatory URI przekierowania dodaj adres https://token.botframework.com/.auth/web/redirect. W sekcji Niejawne uprawnienia zaznacz pola wyboru Identyfikatory tokenów oraz Tokeny dostępu.
  3. Wybierz pozycję Konfiguruj, aby zastosować zmiany.

Generowanie klucza tajnego klienta

  1. Przejdź do pozycji Certyfikaty i klucze tajne.
  2. W sekcji Klucze tajne klienta wybierz pozycję Nowy klucz tajny klienta. Wprowadź opis (po pozostawieniu pustej wartości zostanie on podany) i wybierz okres wygaśnięcia. Wybierz najkrótszy okres, który będzie odpowiedni dla Twojego bota.
  3. Aby utworzyć wpis tajny, wybierz pozycję Dodaj. Zanotuj wartość klucza tajnego i umieść ją w tymczasowym miejscu (np. w otwartym dokumencie Notatnika), tak jak wprowadzasz ją w ustawieniach uwierzytelniania bota.

Konfigurowanie uwierzytelniania ręcznego usługi Azure AD

W tej sekcji pokazano przykład konfigurowania usługi Azure AD jako dostawcy OAuth. W przypadku wybrania innego usługodawcy może się zdarzyć, że będziesz mieć mniej pól do skonfigurowania. Jeśli usługa Azure AD jest używana jako dostawca, zaleca się użycie usługi „Azure Active Directory” lub „Azure Active Directory w wersji 2” w celu ułatwienia konfiguracji.

  1. Zaloguj się w Power Virtual Agents. Jeśli używasz usługi Azure AD jako dostawcy tożsamości, upewnij się, że logujesz się w tej samej dzierżawie, w której utworzono rejestrację aplikacji.

  2. Potwierdź, że wybrano bota, dla którego ma zostać włączone uwierzytelnianie, przez wybranie ikony bota w górnym menu i wybranie bota.

  3. Wybierz kolejno pozycje Zarządzaj w bocznym okienku nawigacji, a następnie przejdź do karty Zabezpieczenia i wybierz kartę Uwierzytelnianie.

    Zrzut ekranu uwierzytelniania w obszarze Zarządzaj (menu na lewym pasku).

  4. Zgodnie z opisem wprowadź informacje dotyczące poszczególnych pól w poniższej tabeli. Wymagane informacje zależą od konfiguracji i dostawcy. Jeśli masz pytania dotyczące wymaganych informacji, skontaktuj się z administratorem lub dostawcą tożsamości.

  5. Kliknij przycisk Zapisz, aby zakończyć konfigurację.

Uwaga

Poniższe przykłady dotyczą typowego punktu końcowego usługi Azure AD. Aby uzyskać więcej informacji, zobacz dokumentacje dotyczącą ogólnych dostawców OAuth.
Punktów końcowych tokenu usługi Azure AD w wersji 2 należy używać tylko w sposób określony w tabeli.

Nazwa pola Opis Skąd pobrać te informacje do usługi Azure AD
Nazwa połączenia Przyjazna nazwa połączenia dostawcy tożsamości. Może to być dowolny ciąg, ale nie można go zmienić po skonfigurowaniu. Nie dotyczy.
Dostawca usług Nie można edytować tego pola, ponieważ usługa Power Virtual Agents obsługuje tylko ogólnych dostawców OAuth2. Nie dotyczy.
Identyfikator klienta Identyfikator klienta uzyskany od dostawcy tożsamości. Na stronie Omówienie rejestracji na identyfikator aplikacji (klienta).
Klucz tajny klienta Klucz tajny klienta uzyskany z rejestracji dostawcy tożsamości. Przy generowaniu nowego klucza tajnego klienta. Jeśli wychodzisz poza stronę Certyfikaty i klucz tajne, wartość klucza tajnego zostanie ukryta i będzie konieczne utworzenie nowej.
Adres URL wymiany tokenu (wymagany podczas logowania jednokrotnego) Jest to opcjonalne pole używane podczas konfigurowania logowania jednokrotnego. Sprawdzanie dokumentu konfiguracji logowania jednokrotnego
Szablon ciągu zapytania dotyczącego adresu URL odświeżania Separator ciągu zapytania adresu URL odświeżenie dla adresu URL tokenu. Zazwyczaj znak zapytania „?”. Użyj znaku zapytania ?.
Szablon treści odświeżania Szablon treści odświeżania. Użyj refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
Zakresy Lista zakresów, które mają mieć uwierzytelnieni użytkownicy po zalogowaniu. Upewnij, że są ustawiane tylko niezbędne zakresy, i zastosuj regułę kontroli dostępu typu „najmniejsze uprzywilejowanie”.
Na przykład User.Read.
Uwaga: w przypadku korzystania z zakresu niestandardowego użyj pełnego identyfikatora URI z uwidocznionym identyfikatorem URI aplikacji.
Na stronie Uprawnienia interfejsu API zanotuj zakresy wyświetlone w sekcji nazw Interfejs API/uprawnienia. Użyj spacji, aby oddzielić wiele zakresów. W przypadku zakresów niestandardowych definiowanych przez uwidoczniony interfejs API dołącz identyfikator interfejsu API: na stronie Uwidacznianie interfejsu API przez nazwą zakresu dodaj identyfikator URI ID aplikacji i ukośnik końcowy /. Na przykład jeśli nazwą zakresu niestandardowego jest app.scope.sso, a identyfikatorem URI aplikacji jest api://1234-4567, jako zakres należy wprowadzić atrybut api://1234-4567/app.scope.sso.
Szablon adresu URL tokenu Szablon adresu URL dla tokenów, który jest oferowany przez dostawcę tożsamości.
Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token
Uwaga: zastąp go identyfikatorem URL Twojego dostawcy tożsamości. W przypadku aplikacji platformy Azure musisz zastąpić podstawowy adres URL adresem URL aplikacji platformy Azure.
Na stronie omówienia rejestracji aplikacji wybierz pozycję Punkty końcowe. Wyświetlany na liście jako punkt końcowy tokenu OAuth 2.0 (wersja 2).
Szablon ciągu zapytania adresu URL tokenu Separator ciągu zapytania dla adresu URL tokenu. Zazwyczaj znak zapytania ?. Użyj znaku zapytania ?.
Szablon treści tokenu Szablon treści tokenu. Użyj code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Szablon adresu URL odświeżania Szablon adresu URL na potrzeby odświeżania.
Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/token
Uwaga: zastąp go identyfikatorem URL Twojego dostawcy tożsamości. W przypadku aplikacji platformy Azure zastąp podstawowy adres URL adresem URL aplikacji platformy Azure.
Na stronie omówienia rejestracji aplikacji wybierz pozycję Punkty końcowe. Wyświetlany na liście jako punkt końcowy tokenu OAuth 2.0 (wersja 2).
Ogranicznik listy zakresów Znak separatora listy zakresów. Puste spacje ( ) nie są obsługiwane w tym polu, ale mogą być używane w polu Zakresy, jeśli jest to wymagane przez dostawcę tożsamości. W takim przypadku użyj przecinka (,) dla tego pola i spacji ( ) w polu Zakresy. Użyj przecinka (,)
Szablon adresu URL autoryzacji Szablon adresu URL na potrzeby autoryzacji, który jest definiowany przez dostawcę tożsamości.
Na przykład https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Na stronie omówienia rejestracji aplikacji wybierz pozycję Punkty końcowe. Wyświetlany na liście jako punkt końcowy autoryzacji OAuth 2.0 (wersja 2).
Szablon ciągu zapytania adresu URL autoryzacji Szablon zapytania na potrzeby autoryzacji, który jest oferowany przez dostawcę tożsamości.
Klucze w szablonie ciągu zapytania są różne w zależności od dostawcy tożsamości.
Użyj ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.

Testowanie konfiguracji

Po zakończeniu kroków konfiguracyjnych zapisz swoją konfigurację i przetestuj ją, tworząc nowy temat za pomocą uwierzytelniania.

Ustawianie odpowiedniej kontroli dostępu dla użytkowników końcowych

Po skonfigurowaniu uwierzytelnienia przejdź do pozycji Zarządzaj -> Zabezpieczenia -> Dostęp i skonfiguruj odpowiednią kontrolę dostępu dla bota. Więcej informacji na temat kontroli dostępu można znaleźć w temacie dotyczącym dokumentacji opcji przypisywania praw dostępu i zmieniania zabezpieczeń.

Usuwanie konfiguracji uwierzytelniania

  1. Wybierz kolejno pozycje Zarządzaj w bocznym okienku nawigacji, a następnie przejdź do karty Zabezpieczenia i wybierz kartę Uwierzytelnianie.

  2. Wybierz Brak uwierzytelnienia.

  3. Opublikuj bota.

Jeśli zmienne uwierzytelniania są używane w temacie, staną się zmiennymi nieznanymi. Przejdź na stronę Tematy, aby sprawdzić, które tematy zawierają błędy, i poprawić je przed opublikowaniem.