在 Microsoft Copilot Studio 中配置用户身份验证
重要提示
继在生成式人工智能的重大投资和跨 Microsoft Copilot 的增强集成之后,Power Virtual Agents 功能和特性现已成为 Microsoft Copilot Studio 的一部分。
在我们更新文档和培训内容时,一些文章和截图可能会参考 Power Virtual Agents。
身份验证允许用户登录,从而允许您的助手访问受限资源或信息。 用户可以使用Microsoft Entra ID 或任何 OAuth2 身份提供程序登录,如 Google 或 Facebook。
备注
在 Microsoft Teams 中,您可以配置 Microsoft Copilot Studio 助手以提供身份验证功能,以便用户可以使用 Microsoft Entra ID 或任何 OAuth2 身份提供程序登录,例如 Microsoft 或 Facebook 帐户。
您可以在编辑主题时将用户身份验证添加到您的助手。
Microsoft Copilot Studio 支持以下身份验证提供程序:
- Azure Active Directory v1
- Microsoft Entra ID
- 任何符合 OAuth2 标准的标识提供者
重要提示
对身份验证配置所作的更改只有在您发布助手后才会生效。 在对助手进行身份验证更改之前,请务必提前计划。
选择身份验证选项
Microsoft Copilot Studio 支持多个身份验证选项。 请选择满足您需求的那一个。
要更改您的助手的身份验证设置,请在设置下的导航菜单中,转到安全选项卡并选择身份验证卡。
提供以下身份验证选项:
- 不进行身份验证
- 仅适用于 Teams 和 Power Apps
- 手动(用于包括 Teams 在内的任何渠道)
无身份验证
无身份验证意味着在与助手交互时您的助手不要求您的用户登录。 未经身份验证的配置意味着您的助手只能访问公共信息和资源。
仅适用于 Teams 和 Power Apps
重要提示
当选择仅用于 Teams 和 Power Apps 选项时,将禁用除 Teams 渠道之外的所有渠道。
此外,如果您的助手与 Dynamics 365 Customer Service 集成,仅用于 Teams 和 Power Apps 选项将不可用。
默认情况下为您在 Microsoft Copilot Studio 中创建的助手和助手启用 Teams 和 Power Apps 身份验证。
此配置自动为 Teams 设置 Microsoft Entra ID 身份验证,无需任何手动配置。 由于 Teams 身份验证本身会识别用户,因此不会提示用户在 Teams 中登录,除非您的助手需要扩大范围。
如果选择此选项,则只有 Teams 渠道可用。 如果您需要其他渠道,但仍需要对助手进行身份验证(例如当使用生成式 AI 功能时),则选择手动身份验证。
如果您选择仅用于 Teams 和 Power Apps 选项,创作画布中将提供以下变量:
UserIDUserDisplayName
有关这些变量以及如何使用它们的详细信息,请参阅将用户身份验证添加到 Microsoft Copilot Studio 助手。
AuthToken 和 IsLoggedIn 变量对于此选项不可用。 如果需要身份验证令牌,请使用手动选项。
如果您从手动更改为仅用于 Teams 和 Power Apps 身份验证,并且您的主题包含变量 AuthToken 或 IsLoggedIn,在更改后它们将显示为未知变量。 请确保在发布助手之前更正任何有错误的主题。
手动(用于包括 Teams 在内的任何渠道)
您可以使用此选项配置任何 Microsoft Entra ID v1、Microsoft Entra ID 或 OAuth2 兼容的身份提供程序。 配置手动身份验证后,创作画布中将提供以下变量:
UserIDUserDisplayNameAuthTokenIsLoggedIn
有关这些变量以及如何使用它们的详细信息,请参阅将用户身份验证添加到 Microsoft Copilot Studio 助手。
保存配置后,请确保发布您的助手,使更改生效。
备注
身份验证更改仅在助手发布后生效。
需要用户登录和助手共享
需要用户登录确定用户在与助手交谈之前是否需要登录。 我们强烈建议您在助手需要访问敏感或受限信息时打开此设置。
当选择了无身份验证选项时,此选项不可用。
如果您关闭此选项,您的助手不会要求用户登录,直到遇到需要用户登录的主题。
当您打开此选项时,它会创建一个名为需要用户登录的系统主题。 本主题仅与手动身份验证设置相关。 用户始终在 Teams 上进行身份验证。
需要用户登录主题会为任何与助手交谈但未经身份验证的用户自动触发。 如果用户登录失败,主题将重定向到升级系统主题。
此主题是只读的,无法自定义。 要查看,选择转到创作画布。
控制谁可以与组织中的助手聊天
您的助手的身份验证选项和需要用户登录设置组合确定您是否可以共享助手来控制组织中的哪些人可以与您的助手聊天。 身份验证设置不会影响为进行协作共享助手。
无身份验证:任何具有助手链接(或可以找到它;例如,在您的网站上)的用户都可以与它聊天。 您无法控制组织中的哪些用户可以与助手聊天。
仅用于 Teams:助手只在 Teams 渠道上工作。 由于用户始终保持登录状态,因此需要用户登录设置已打开且无法关闭。 您可以使用助手共享来控制组织中的哪些人可以与助手聊天。
手动(用于包括 Teams 在内的任何渠道):
如果服务提供程序是 Azure Active Directory 或 Microsoft Entra ID,您可以打开需要用户登录,使用助手共享控制组织中的哪些人可以与助手聊天。
如果服务提供程序是通用 OAuth2,您可以打开或关闭需要用户登录。 打开后,登录的用户可以与助手聊天。 您无法使用助手共享控制组织中的哪些特定用户可以与助手聊天。
当助手的身份验证设置无法控制谁可以与助手聊天时,如果您在助手概览页面上选择共享,会有一条消息通知您任何人都可以与您的助手聊天。
手动身份验证字段
以下是您在配置手动身份验证时可能会看到的所有字段。 您将看到哪些字段取决于您对服务提供程序的选择。
| 字段名称 | 说明 |
|---|---|
| 授权 URL 模板 | 用于授权的 URL 模板,由标识提供者定义。 例如,https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 授权 URL 查询字符串模板 | 用于授权的查询模板,由您的标识提供者提供。 查询字符串模板中的密钥取决于标识提供者。 |
| Client ID | 从标识提供者获取的客户端 ID。 |
| Client secret | 您的客户端密码,在您创建标识提供者应用注册时获取。 |
| 刷新正文模板 | 刷新正文的模板。 |
| 刷新 URL 查询字符串模板 | 令牌 URL 的刷新 URL 查询字符串分隔符,通常是问号 (?)。 |
| 刷新 URL 模板 | 刷新的 URL 模板;例如,https://login.microsoftonline.com/common/oauth2/v2.0/token |
| 范围列表分隔符 | 范围列表的分隔字符。 此字段不支持空格。1 |
| 范围 | 您希望用户在登录后获取的范围列表。 使用范围列表分隔符分隔多个范围。1只设置必要的范围,遵照最小特权访问控制原则。 |
| 服务提供商 | 您要用于身份验证的服务提供程序。 有关详细信息,请参阅 OAuth 通用提供程序。 |
| Tenant ID | 您的 Microsoft Entra ID 租户 ID。 请参考使用现有的 Microsoft Entra ID 租户,了解如何找到您的租户 ID。 |
| 令牌正文模板 | 令牌正文的模板。 |
| 令牌交换 URL (SSO 必需) | 这是您配置单一登录时使用的可选字段。 |
| 令牌 URL 模板 | 令牌的 URL 模板,由您的标识提供者提供;例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 令牌 URL 查询字符串模板 | 令牌 URL 的查询字符串分隔符,通常是问号 (?)。 |
1如果标识提供者需要,您可以在范围字段中使用空格。 在这种情况下,在范围列表分隔符中输入逗号 (,),在范围字段中输入空格。
删除身份验证配置
- 在导航菜单中的设置下面,选择安全性。 然后,选择身份验证卡片。
- 选择无身份验证。
- 发布助手。
如果在主题中使用身份验证变量,这些变量将成为未知变量。 转到“主题”页面,查看哪些主题有错误,并在发布前修复这些错误。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈