Настройка проверки подлинности пользователей с помощью Microsoft Entra ID

  • Статья

Внимание

Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.

Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.

Добавление аутентификации в помощника позволяет пользователям входить в систему, предоставляя вашему помощнику доступ к ограниченному ресурсу или информации.

В этой статье описано, как настроить Microsoft Entra ID в качестве поставщика услуг. Чтобы узнать о других поставщиках услуг и аутентификации пользователей в целом, см. раздел Настройка проверки подлинности пользователей.

Если у вас есть права администратора клиента, вы можете настроить разрешения API. В противном случае, вам придется попросить администратора клиента сделать это за вас.

Предварительные условия

Вы выполняете первые несколько шагов на портале Azure, а последние два шага — в Copilot Studio.

Создание регистрации приложения

  1. Войдите на портал Azure, используя учетную запись администратора в том же клиенте, что и ваш помощник.

  2. Перейдите к регистрациям приложений, либо выбрав значок, либо выполнив поиск в верхней панели поиска.

    Снимок экрана с изображением окна «Регистрация приложений» в службах Azure.

  3. Введите Создать регистрацию и введите имя для регистрации.

    Может быть полезно позднее использовать имя вашего помощника. Например, если ваш помощник называется «Справка по продажам Contoso», вы можете назвать регистрацию приложения «ContosoSalesReg».

  4. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в каталоге организации (любой каталог Microsoft Entra ID — с несколькими клиентами) и личные учетные записи Microsoft (например, Skype, Xbox).

  5. Пока оставьте раздел URI перенаправления пустым. Введете эту информацию на следующих шагах.

  6. Выберите Зарегистрировать.

  7. После того как регистрация будет завершена, перейдите к пункту Обзор.

  8. Скопируйте Идентификатор приложения (клиента) и вставьте его во временный файл. Он понадобится вам на более поздних стадиях.

Добавление URL-адреса перенаправления

  1. Перейдите к пункту Аутентификация, затем выберите Добавить платформу.

    Снимок экрана: окно «Регистрация приложений» с пунктом «Проверка подлинности» и выделенной кнопкой «Добавить платформу».

  2. В Конфигурации платформы выберите Добавить платформу, затем выберите Интернет.

    Снимок экрана: окно «Конфигурации платформы» с выделенной платформой веб-приложений.

  3. В разделе URI перенаправления введите https://token.botframework.com/.auth/web/redirect и https://europe.token.botframework.com/.auth/web/redirect.

Заметка

Панель конфигурации аутентификации в Copilot Studio может отображать следующий URL-адрес перенаправления: https://unitedstates.token.botframework.com/.auth/web/redirect. Использование этого URL-адреса приводит к сбою аутентификации; вместо этого используйте URI.

  1. В разделе Потоки неявного предоставления и гибридные потоки включите оба маркера Маркеры доступа (используются для неявных потоков) и Маркеры идентификаторов (используемые для неявных и гибридных потоков).

    Снимок экрана: окно «Настройка Интернета», на котором выделены универсальный код ресурса (URI) перенаправления, а также токены потоков неявного предоставления разрешения и гибридных потоков.

  2. Выберите Настроить.

Создать секрет клиента

  1. Перейдите к пункту Сертификаты и секреты.

  2. В разделе Секреты клиента выберите Создать секрет клиента.

  3. (Необязательно) Введите описание. Предоставляется, если оставить поле пустым.

  4. Выберите период истечения срока действия. Выберите самый короткий период, соответствующий сроку службы вашего помощника.

  5. Выберите Добавить, чтобы создать секрет.

  6. Сохраните Значение секрета в надежном временном файле. Он понадобится вам при настройке аутентификации вашего помощника позднее.

Совет

Не покидайте страницу, пока не скопируете значение секрета клиента. Если вы это сделаете, значение будет замаскировано, и вам придется создать новый секрет клиента.

Настройка аутентификации вручную

  1. В меню навигации Copilot Studio в разделе Параметры выберите Безопасность. Затем выберите карточку Аутентификация.

    Снимок экрана выбора карточки аутентификации.

  2. Выберите Вручную (для любого канала, включая Teams), затем включите Требовать входа для пользователей.

    Снимок экрана выбора параметра аутентификации вручную.

  3. Введите следующие значения для свойств:

    • Поставщик услуг: выберите Microsoft Entra ID.

    • Код клиента: введите код приложения (клиента), который вы скопировали ранее с портала Azure.

    • Секрет клиента: введите секрет клиента, созданный ранее на портале Azure.

    • Области: введите profile openid.

  4. Выберите Сохранить, чтобы завершить конфигурацию.

Конфигурация разрешений API

  1. Перейти к пункту Разрешения API.

  2. Выберите Предоставить согласие администратора для <имя вашего клиента>, затем выберите Да. Если кнопка недоступна, возможно, вам придется попросить администратора клиента ввести ее за вас.

    Снимок экрана: окно «Разрешения API» с выделенным разрешением клиента.

    Заметка

    Чтобы пользователям не приходилось давать согласие на каждое приложение, глобальный администратор, администратор приложений или администратор облачных приложений может предоставить согласие в рамках всего клиента для регистраций ваших приложений.

  3. Выберите Добавить разрешение, затем выберите Microsoft Graph.

    Снимок экрана: окно «Запросить разрешения API» с выделенным Microsoft Graph.

  4. Выберите Делегированные разрешения.

    Снимок экрана с выделенными делегированными разрешениями.

  5. Разверните Разрешения OpenId и включите openid и профиль.

    Снимок экрана, на котором выделены разрешения OpenId, OpenID и профиль.

  6. Выберите Добавить разрешения.

Определите настраиваемую область действия для вашего помощника

Области позволяют определять роли пользователя и администратора и права доступа. Вы создаете настраиваемую область для регистрации приложения на основе холста, которую вы создадите на более позднем этапе.

  1. Перейдите к пункту Предоставление API и выберите Добавить область.

    Снимок экрана: «Предоставление API», с выделенной кнопкой «Добавить область».

  2. Задайте следующие свойства. Остальные свойства можно оставить пустыми.

    Свойство Стоимость
    Имя области Введите имя, которое имеет смысл в вашей среде, например Test.Read
    Кто может дать согласие? Выберите Администраторы и пользователи
    Отображаемое имя согласия администратора Введите имя, которое имеет смысл в вашей среде, например Test.Read
    Описание согласия администратора Введите Allows the app to sign the user in.
    State Выберите Включено

  3. Выберите Добавить область.

Настройка проверки подлинности в Microsoft Copilot Studio

  1. В Copilot Studio в разделе Параметры выберите Безопасность, затем выберите Аутентификация.

    Снимок экрана страницы «Безопасность» Copilot Studio, на котором выделены «Параметры», «Безопасность» и «Проверка подлинности».

  2. Выберите Вручную (для пользовательского веб-сайта).

  3. Включите Требовать входа для пользователей.

  4. Задайте следующие свойства.

    Свойство Стоимость
    Поставщик услуг Выберите Microsoft Entra ID
    Client ID Введите код приложения (клиента), который вы скопировали ранее на портале Azure
    Client secret Введите секрет клиента, созданный ранее на портале Azure
    Области Введите profile openid

  5. Выберите Сохранить.

Совет

URL-адрес обмена токенами используется для обмена токена от имени пользователя (OBO) на запрошенный маркер доступа. Дополнительные сведения см. в статье Настройка единого входа для вашего пользовательского веб-сайта.

Тестирование помощника

  1. Опубликуйте помощника.

  2. На панели Тестирование помощника отправьте сообщение в помощник.

  3. Когда помощник ответит, выберите Вход.

    Снимок экрана тестирования помощника Copilot Studio с помощью аутентификации пользователя Microsoft Entra ID.

    Открывается новая вкладка браузера с просьбой войти в систему.

  4. Войдите в систему, а затем скопируйте отображаемый код проверки.

  5. Вставьте код в чат помощника для завершения процесса входа.

    Снимок экрана: успешная аутентификация пользователя в разговоре с помощником, с выделенным кодом проверки.