Compartir a través de

Configuración de la autenticación de usuario con Microsoft Entra ID

Cuando añades autenticación a tu agente, los usuarios pueden iniciar sesión y darle acceso a un recurso o información restringida.

En este artículo se explica cómo configurar Microsoft Entra ID como proveedor de servicios. Para obtener información sobre otros proveedores de servicios y la autenticación de usuarios, consulte Configurar la autenticación de usuario en Copilot Studio.

Si tiene derechos de administración de inquilinos, puede configurar los permisos de la API. De lo contrario, pide a un administrador de inquilinos que conceda estos permisos.

Requisitos previos

Más información sobre cómo agregar autenticación de usuario a un tema

Complete los primeros pasos en el portal de Azure y complete los dos pasos finales en Copilot Studio.

Crear un registro de aplicación

  1. Inicia sesión en el portal de Azure utilizando una cuenta de administrador en el mismo directorio que tu agente.

  2. Vaya a App registrations.

  3. Seleccione Nuevo registro y escriba un nombre para el registro. No alterar registros de aplicaciones existentes.

    Puede ser útil posteriormente usar el nombre de su agente. Por ejemplo, si su agente se llama "Ayuda de ventas de Contoso", podría nombrar el registro de aplicación "ContosoSalesReg".

  4. En Tipos de cuenta admitidos, seleccione Solo cuentas en este directorio organizativo (Solo Contoso - Inquilino único).

  5. Deje la sección URI de redireccionamiento en blanco por ahora. Introduzca esa información en los siguientes pasos.

  6. Seleccione Registrar.

  7. Cuando termine la inscripción, ve a Resumen.

  8. Copie el ID de la aplicación (cliente) y péguelo en un archivo temporal. Lo necesitará en pasos posteriores.

Agregar la URL de redireccionamiento

  1. En Administrar, seleccione Autenticación.

  2. Debajo de Configuraciones de plataforma, seleccione Agregar una plataforma y luego seleccione Web.

  3. En URI de redirección, escriba https://token.botframework.com/.auth/web/redirect o https://europe.token.botframework.com/.auth/web/redirect para Europa. También puede copiar el URI del cuadro de texto Redirect URL en la página de configuración de Seguridad de Copilot Studio, en la sección Autenticar manualmente.

    Esta acción le lleva de vuelta a la página de configuraciones de la plataforma.

    Para obtener una lista de los servicios necesarios a los que se conecta Copilot Studio, incluido token.botframework.com, consulte Servicios .

  4. Seleccione tokens de acceso (usados para flujos implícitos) y tokens de identificador (usados para flujos implícitos e híbridos).

  5. Seleccione Configurar.

Configuración manual de la autenticación

A continuación, configure la autenticación manual. Puede elegir entre varias opciones para su proveedor. Sin embargo, use Microsoft Entra ID V2 con credenciales federadas. También puede usar secretos de cliente si no puede usar credenciales federadas.

Configuración de la autenticación manual mediante credenciales federadas

Copilot Studio crea automáticamente credenciales de identidad federada (FIC) de forma predeterminada en Azure App Registration para habilitar la autenticación segura y sin secretos mediante tokens OpenID Connect de corta duración. Este método de autenticación quita los secretos almacenados, reduce el riesgo de credenciales y se alinea con los estándares de seguridad Zero Trust de Microsoft.

  1. En Copilot Studio, vaya a Settings para el agente y seleccione Security.

  2. Seleccione Autenticación.

  3. Seleccione Autenticar manualmente.

  4. Deje Requerir que los usuarios inicien sesión activado.

  5. Introduzca los valores siguientes para las propiedades:

    • Proveedor de servicios: seleccione Microsoft Entra ID V2 con credenciales federadas.

    • Client ID: escriba el identificador de aplicación (cliente) que copió anteriormente desde el portal de Azure.

  6. Seleccione Guardar para ver el emisor y el valor de las credenciales federadas.

  7. Copie el emisor de credenciales federadas y el valor de credencial federada y péguelo en un archivo temporal. Lo necesitará en pasos posteriores.

  8. Vaya al portal de Azure y al registro de la aplicación que creó previamente. En Administrar, seleccione Certificados y secretos y, a continuación, Credenciales federadas.

  9. Seleccione Agregar credencial.

  10. En Escenario de credenciales federadas, seleccione Otro emisor.

  11. Introduzca los valores siguientes para las propiedades:

    • Issuer: escriba el valor del emisor de credenciales federadas que copió anteriormente de Copilot Studio.
    • Value: Introduzca los datos del valor de la credencial federada que copiaste antes de Copilot Studio.
    • Nombre: proporcione un nombre.

  12. Seleccione Agregar para finalizar la configuración.

Configurar permisos de API

  1. Vaya a Permisos de API.

  2. Seleccione Otorgar consentimiento de administrador para <su nombre de inquilino> y después seleccione . Si el botón no está disponible, es posible que tenga que pedir a un administrador del arrendatario que lo introduzca por usted.

    Una captura de pantalla de la ventana Permisos de API, con un permiso de inquilino resaltado.

    Importante

    Para evitar que los usuarios tengan que dar su consentimiento a cada aplicación, alguien asignado con al menos el rol de Administrador de Aplicaciones o Administrador de Aplicaciones en la Nube puede conceder el consentimiento a nivel de inquilino para los registros de sus aplicaciones.

  3. Seleccione Agregar un permiso y, a continuación, seleccione Microsoft Graph.

    Captura de pantalla de la ventana Solicitar permisos de API con Microsoft Graph resaltado.

  4. Seleccione Permisos delegados.

    Captura de pantalla de los permisos delegados resaltados.

  5. Expanda OpenId permissions y active openid y perfil.

    Captura de pantalla de permisos OpenId, openid y perfil resaltados.

  6. Seleccione Agregar permisos.

Definir un ámbito personalizado para su agente

Los ámbitos determinan los roles de usuario y administrador, así como los derechos de acceso. Crea un ámbito personalizado para el registro de la aplicación Canvas.

  1. Vaya a Exponer una API y seleccione Agregar un ámbito.

    Captura de pantalla de Exponer una API y el botón Agregar un ámbito resaltados.

  2. Configure las siguientes propiedades. Puede dejar las otras propiedades en blanco.

    Propiedad valor
    Nombre del ámbito Escriba un nombre que tenga sentido en su entorno, como Test.Read
    ¿Quién puede consentir? Seleccione Administradores y usuarios
    Nombre para mostrar el consentimiento administrativo Escriba un nombre que tenga sentido en su entorno, como Test.Read
    Descripción del consentimiento del administrador Escriba Allows the app to sign the user in..
    Estado Seleccione habilitado

  3. Selecciona la opción Agregar un ámbito.

Configuración de la autenticación en Copilot Studio

  1. En Copilot Studio, en Settings, seleccione Security>Authentication.

  2. Seleccione Autenticar manualmente.

  3. Deje Requerir que los usuarios inicien sesión activado.

  4. Seleccione un proveedor de servicios y proporcione los valores requeridos. Consulte Configurar la autenticación manual en Copilot Studio.

  5. Haga clic en Guardar.

Propina

Utiliza la URL de intercambio de tokens para intercambiar el token On-Behalf-Of (OBO) por el token de acceso solicitado. Para obtener más información, consulte Configure inicio de sesión único con Microsoft Entra ID.

Nota

Los alcances deben incluir profile openid y los siguientes alcances, dependiendo de su caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para conexión de Graph
  • https://[OrgURL]/user_impersonation para datos estructurados de Dataverse

Por ejemplo, los datos de estructura de Dataverse debe tener los siguientes ámbitos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Pruebe el agente

  1. Publique su agente.

  2. En el panel Probar el agente, envíe un mensaje a su agente.

  3. Cuando el agente responda seleccione Iniciar sesión.

    Se abre una nueva pestaña del navegador, pidiéndote que inicies sesión.

  4. Inicie sesión y luego copie el código de validación que se muestra.

  5. Pegue el código en el chat del agente para completar el proceso de inicio de sesión.

    Captura de pantalla de una autenticación de usuario correcta en una conversación del agente, con el código de validación resaltado.

  • Last updated on