Condividi tramite

Configurare l'autenticazione utente con Microsoft Entra ID

Quando aggiungi l'autenticazione al tuo agente, gli utenti possono accedere e dare al tuo agente accesso a una risorsa o a un'informazione riservata.

Questo articolo illustra come configurare Microsoft Entra ID come provider di servizi. Per informazioni su altri provider di servizi e sull'autenticazione utente, vedere Configurare l'autenticazione utente in Copilot Studio.

Se hai i diritti di amministrazione del tenant puoi configurare le autorizzazioni API. Altrimenti, chiedi a un amministratore degli inquilini di concedere questi permessi.

Prerequisiti

Informazioni su come aggiungere l'autenticazione dell'utente a un argomento

Completare i primi passaggi nel portale di Azure e completare i due passaggi finali in Copilot Studio.

Creare una registrazione dell'app

  1. Accedere al portale Azure usando un account amministratore nello stesso tenant dell'agente.

  2. Passare a App registrations.

  3. Seleziona Nuova registrazione e immetti un nome per la registrazione. Non modificare le registrazioni delle app esistenti.

    Può essere utile usare il nome dell'agente in un secondo momento. Ad esempio, se il tuo agente si chiama "Contoso Sales Help", potresti denominare la registrazione dell'app "ContosoSalesReg".

  4. In Tipi di account supportati selezionare Account solo in questa directory organizzativa (solo Contoso - Tenant singolo)

  5. Lascia la sezione URI di reindirizzamento vuota per ora. Immetti tali informazioni nei passaggi successivi.

  6. Selezionare Registrazione.

  7. Dopo la registrazione terminata, vai su Panoramica.

  8. Copia l'ID applicazione (client) e incollalo in un file temporaneo. Ti servirà in un secondo momento.

Aggiungere l'URL di reindirizzamento

  1. In Gestisci selezionare Autenticazione.

  2. In Configurazioni della piattaforma seleziona Aggiungi una piattaforma, quindi seleziona Web.

  3. In URI di reindirizzamento immettere https://token.botframework.com/.auth/web/redirect o https://europe.token.botframework.com/.auth/web/redirect per Europa. È anche possibile copiare l'URI dalla casella di testo Redirect URL nella pagina delle impostazioni di sicurezza di Copilot Studio sotto Autentica manualmente.

    Questa azione ti riporta alla pagina Configurazioni piattaforma.

    Per un elenco dei servizi a cui Copilot Studio si connette, incluso token.botframework.com, vedere Servizi richiesti.

  4. Selezionare entrambi i token di accesso (usati per i flussi impliciti) e i token ID (usati per i flussi impliciti e ibridi).

  5. Seleziona Configura.

Configurare l'autenticazione manuale

Successivamente, configura l'autenticazione manuale. È possibile scegliere tra più opzioni per il provider. Tuttavia, usare Microsoft Entra ID V2 con credenziali federate. È anche possibile usare i segreti client se non è possibile utilizzare le credenziali federate.

Configurare l'autenticazione manuale usando le credenziali federate

Copilot Studio crea automaticamente le credenziali di identità federate (FIC) per impostazione predefinita in Azure App Registrazione per abilitare l'autenticazione sicura senza segreto usando token OpenID Connect di breve durata. Questo metodo di autenticazione rimuove i segreti archiviati, riduce il rischio delle credenziali e si allinea agli standard di sicurezza di Microsoft Zero Trust.

  1. In Copilot Studio passare a Settings per l'agente e selezionare Security.

  2. Seleziona Autenticazione.

  3. Seleziona Autentica manualmente.

  4. Lascia Richiedi agli utenti di accedere attivato.

  5. Immetti i seguenti valori per le proprietà:

    • Fornitore del servizio: selezionare Microsoft Entra ID V2 con credenziali federate.

    • IDclient: immettere l'ID applicazione (client) copiato in precedenza dal portale di Azure.

  6. Selezionare Salva per visualizzare l'autorità emittente di credenziali federate e il valore.

  7. Copiare l'emittente di credenziali federate e il valore della credenziale federata e incollarli in un file temporaneo. Ti servirà in un secondo momento.

  8. Passare al portale di Azure e alla registrazione dell'app creata in precedenza. In Gestisci selezionare Certificati e segreti e quindi Credenziali federate.

  9. Seleziona Aggiungi credenziali.

  10. In Scenario di credenziali federate selezionare Altro emittente.

  11. Immetti i seguenti valori per le proprietà:

    • Issuer: immetti il valore dell'emittente delle credenziali federate copiato in precedenza da Copilot Studio.
    • Value: immettere i dati del valore delle credenziali federati copiati in precedenza da Copilot Studio.
    • Nome: fornisci un nome.

  12. Selezionare Aggiungi per completare la configurazione.

Configurare autorizzazioni API

  1. Vai ad Autorizzazioni API.

  2. Seleziona Concedi consenso amministratore per <nome del tenant>, quindi seleziona . Se il pulsante non è disponibile, potrebbe essere necessario chiedere a un amministratore tenant di immetterlo automaticamente.

    Screenshot della finestra delle autorizzazioni API con un'autorizzazione del tenant evidenziata.

    Importante

    Per evitare che gli utenti debbano fornire il consenso per ciascuna applicazione, qualcuno con il ruolo di amministratore dell'applicazione o amministratore dell'applicazione cloud può concedere il consenso a livello di tenant alle registrazioni dell'applicazione.

  3. Selezionare Aggiungi un'autorizzazione e quindi selezionare Microsoft Graph.

    Screenshot della finestra Richiedi autorizzazioni API con Microsoft Graph evidenziato.

  4. Seleziona Autorizzazioni delegate.

    Screenshot delle autorizzazioni delegate evidenziate.

  5. Espandi Autorizzazioni OpenId e attiva openid e profilo.

    Schermata delle autorizzazioni OpenID, openid e profilo evidenziato.

  6. Selezionare Aggiungi autorizzazioni.

Definire un ambito d'applicazione personalizzato per l'agente

Scopes determinano i ruoli di utente e amministratore e i diritti di accesso. Crea un ambito personalizzato per la registrazione dell'app Canvas.

  1. Vai a Esponi un'API e seleziona Aggiungi un ambito.

    Screenshot di Esponi un'API e il pulsante Aggiungi un ambito evidenziato.

  2. Imposta le proprietà seguenti. Puoi lasciare vuote le altre proprietà.

    Proprietà valore
    Nome dello scopo Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Chi può concedere il consenso? Seleziona Amministratori e utenti
    Nome visualizzato consenso dell'amministratore Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Descrizione consenso dell'amministratore Immetti Allows the app to sign the user in.
    Stato Seleziona Abilitato

  3. Seleziona Aggiungi ambito.

Configurare l'autenticazione in Copilot Studio

  1. In Copilot Studio, in Impostazioni selezionare Security>Authentication.

  2. Seleziona Autentica manualmente.

  3. Lascia Richiedi agli utenti di accedere attivato.

  4. Seleziona un Fornitore di servizi e fornisci i valori richiesti. Vedere Configurare l'autenticazione manuale in Copilot Studio.

  5. Seleziona Salva.

Suggerimento

Usa l'URL di scambio dei token per scambiare il token On-Behalf-Of (OBO) con il token di accesso richiesto. Per altre informazioni, vedere Configurare l'accesso Single Sign-On con Microsoft Entra ID.

Nota

Gli ambiti dovrebbero includere profile openid e i seguenti ambiti, a seconda del tuo caso d'uso.

  • Sites.Read.All Files.Read.All per SharePoint
  • ExternalItem.Read.All per la connessione Graph
  • https://[OrgURL]/user_impersonation per i dati strutturati di Dataverse

Ad esempio, i dati strutturati Dataverse dovrebbero avere gli ambiti seguenti: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Metti alla prova il tuo agente

  1. Pubblica il tuo agente.

  2. Nel pannello Testa il tuo agente invia un messaggio al tuo agente.

  3. Quando l'agente risponde, seleziona Accedi.

    Si apre una nuova scheda del browser, invitandoti ad accedere.

  4. Accedi, quindi copia il codice di convalida visualizzato.

  5. Per completare il processo di accesso incolla il codice nella chat agente.

    Screenshot di un'autenticazione utente riuscita in una conversazione agente, con il codice di convalida evidenziato.

  • Last updated on