Partager via

Configurer l’authentification utilisateur avec Microsoft Entra ID

Lorsque vous ajoutez l’authentification à votre agent, les utilisateurs peuvent se connecter et donner à votre agent accès à une ressource ou à une information restreinte.

Cet article explique comment configurer Microsoft Entra ID en tant que fournisseur de services. Pour plus d’informations sur les autres fournisseurs de services et l’authentification utilisateur, consultez Configurer l’authentification utilisateur dans Copilot Studio.

Si vous disposez des droits d’administration des clients, vous pouvez configurer des autorisations d’API. Sinon, demandez à un administrateur locataire d’accorder ces autorisations.

Prérequis

Découvrez comment ajouter l’authentification utilisateur à une rubrique

Vous effectuez les premières étapes du portail Azure et effectuez les deux dernières étapes dans Copilot Studio.

Créer un enregistrement d’application

  1. Connectez-vous au portail Azure à l’aide d’un compte d’administrateur dans le même locataire que votre agent.

  2. Accédez à App registrations.

  3. Sélectionnez Nouvelle inscription et tapez un nom pour l’inscription. Ne modifiez pas les inscriptions d’applications existantes.

    Il peut être utile ultérieurement d’utiliser le nom de votre agent. Par exemple, si votre agent est appelé « Aide aux ventes Contoso », vous pouvez nommer l’inscription de l’application « ContosoSalesReg ».

  4. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Contoso uniquement - Locataire unique).

  5. Laissez la section URI de redirection vide pour l’instant. Entrez ces informations dans les étapes suivantes.

  6. Sélectionnez Inscription.

  7. Après la fin de l’inscription, allez à Aperçu.

  8. Copiez l’ID d’application (client) et collez-le dans un fichier temporaire. Vous en aurez besoin dans des étapes ultérieures.

Ajouter l’URL de redirection

  1. Sous Gérer, sélectionnez Authentification.

  2. Sous Configurations de plate-forme, sélectionnez Ajouter une plateforme, puis sélectionnez Web.

  3. Sous URI de redirection, entrez https://token.botframework.com/.auth/web/redirect ou https://europe.token.botframework.com/.auth/web/redirect pour l’Europe. Vous pouvez également copier l’URI à partir de la zone de texte Redirect URL dans Copilot Studio, à la page des paramètres de Sécurité, sous Authentification manuelle.

    Cette action vous redirige vers la page Configurations de la plateforme.

    Pour obtenir la liste des services requis auxquels Copilot Studio se connecte, y compris token.botframework.com, consultez Required services.

  4. Sélectionnez les jetons d’accès (utilisés pour les flux implicites) et les jetons d’ID (utilisés pour les flux implicites et hybrides) .

  5. Sélectionnez Configurer.

Configurer l’authentification manuelle

Ensuite, configurez l’authentification manuelle. Vous pouvez choisir parmi plusieurs options pour votre fournisseur. Toutefois, utilisez Microsoft Entra ID V2 avec des informations d’identification fédérées. Vous pouvez également utiliser des clés secrètes client si vous ne parvenez pas à utiliser des informations d’identification fédérées.

Configurer l’authentification manuelle à l’aide des informations d’identification fédérées

Copilot Studio crée automatiquement des informations d’identification d’identité fédérées (FIC) par défaut dans Azure App Registration pour activer l’authentification sécurisée sans secret à l’aide de jetons OpenID Connect de courte durée. Cette méthode d’authentification supprime les secrets stockés, réduit le risque d’informations d’identification et s’aligne sur les normes de sécurité Zero Trust de Microsoft.

  1. Dans Copilot Studio, accédez à Settings pour votre agent, puis sélectionnez Security.

  2. Sélectionnez Authentification.

  3. Sélectionnez Authentifier manuellement.

  4. Laissez l’option Demander aux utilisateurs de se connecter activée.

  5. Saisissez les valeurs suivantes pour les propriétés :

    • fournisseur Service : sélectionnez Microsoft Entra ID V2 avec des informations d’identification fédérées.

    • Client ID : entrez l’ID d’application (client) que vous avez copié précédemment à partir du portail Azure.

  6. Sélectionnez Enregistrer pour afficher l’émetteur et la valeur d’informations d’identification fédérées.

  7. Copiez l’émetteur d’informations d’identification fédérées et la valeur des informations d’identification fédérées , puis collez-la dans un fichier temporaire. Vous en aurez besoin dans des étapes ultérieures.

  8. Accédez au portail Azure et à l’inscription de l’application que vous avez créée précédemment. Sous Gérer, sélectionnez Certificats et secrets , puis informations d’identification fédérées.

  9. Sélectionnez Ajouter des informations d’identification.

  10. Dans le scénario d’informations d’identification fédérées, sélectionnez Autre émetteur.

  11. Saisissez les valeurs suivantes pour les propriétés :

    • Issuer : saisissez la valeur de l’émetteur de certificats fédérés que vous avez copiée précédemment depuis Copilot Studio.
    • Value : entrez la valeur de la donnée d'identification fédérée que vous avez copiée plus tôt à partir de Copilot Studio.
    • Nom : fournissez un nom.

  12. Sélectionnez Ajouter pour terminer la configuration.

Configurer les autorisations API

  1. Accédez à Autorisations API.

  2. Sélectionnez Accorder un consentement administrateur pour <votre nom de client>, puis cliquez sur Oui. Si le bouton n’est pas disponible, vous devrez peut-être demander à un administrateur client de l’entrer pour vous.

    Capture d’écran de la fenêtre des autorisations de l’API avec une autorisation de client en surbrillance.

    Important

    Pour éviter aux utilisateurs d’avoir à accorder leur consentement à chaque application, une personne à laquelle au moins le rôle Administrateur d’application ou Administrateur d’application cloud est affectée peut accorder son consentement à l’échelle du locataire à vos inscriptions d’applications.

  3. Sélectionnez Add une autorisation, puis sélectionnez Microsoft Graph.

    Screenshot de la fenêtre Demander des autorisations d’API avec Microsoft Graph en surbrillance.

  4. Sélectionnez Autorisations déléguées.

    Capture d’écran des autorisations déléguées en surbrillance.

  5. Développez Autorisations OpenId et activez openid et profil.

    Capture d’écran des autorisations OpenId, l’openid et le profil en surbrillance.

  6. Sélectionnez Ajouter des autorisations.

Définir une étendue personnalisée pour votre agent

Les périmètres déterminent les rôles des utilisateurs et des administrateurs ainsi que les droits d’accès. Créez un scope personnalisé pour l’inscription à l’application Canvas.

  1. Accédez à Exposer une API et sélectionnez Ajouter une étendue.

    Capture d’écran d’Exposer une API et le bouton Ajouter une portée en surbrillance.

  2. Définissez les propriétés suivantes. Vous pouvez laisser les autres propriétés vides.

    Propriété valeur
    Nom de l’étendue Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Qui peut donner son consentement ? Sélectionnez Administrateurs et utilisateurs
    Nom d’affichage du consentement de l’administrateur Entrez un nom qui a du sens dans votre environnement, par exemple Test.Read
    Description du consentement de l'administrateur Entrez Allows the app to sign the user in.
    État Sélectionnez Activé

  3. Sélectionnez Ajouter une étendue.

Configurer l’authentification dans Copilot Studio

  1. Dans Copilot Studio, sous Settings, sélectionnez Security>Authentication.

  2. Sélectionnez Authentifier manuellement.

  3. Laissez l’option Demander aux utilisateurs de se connecter activée.

  4. Sélectionnez un Fournisseur de services et fournissez les valeurs requises. Consultez Configurer l’authentification manuelle dans Copilot Studio.

  5. Cliquez sur Enregistrer.

Astuce

Utilisez l’URL d’échange de jetons pour échanger le jeton On-Behalf-Of (OBO) contre le jeton d’accès demandé. Pour plus d’informations, consultez Configure pour l’authentification unique avec Microsoft Entra ID.

Note

Les périmètres doivent inclure profile openid et les périmètres suivants, selon votre cas d’usage :

  • Sites.Read.All Files.Read.All pour SharePoint
  • ExternalItem.Read.All pour Graph Connection
  • https://[OrgURL]/user_impersonation pour les données structurées de Dataverse

Par exemple, les données structurées Dataverse doivent avoir les portées suivantes : profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Tester votre assistant

  1. Publiez votre agent.

  2. Dans le volet Tester votre agent, envoyez un message à votre agent.

  3. Lorsque l’agent répond, sélectionnez Connexion.

    Un nouvel onglet du navigateur s’ouvre, vous invitant à vous connecter.

  4. Connectez-vous, puis copiez le code de validation affiché.

  5. Pour terminer le processus de connexion, collez le code dans la conversation instantanée de l’assistant.

    Capture d’écran d’une authentification utilisateur réussie dans une conversation de l’agent, avec le code de validation en surbrillance.

  • Last updated on