Configurer l’authentification des utilisateurs dans Copilot Studio
L’authentification permet aux utilisateurs de se connecter, donnant ainsi à votre agent l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.
Note
Dans Microsoft Teams, vous pouvez configurer un agent Copilot Studio pour fournir des fonctionnalités d’authentification, afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou tout fournisseur d’identité OAuth2, tel qu’un compte Microsoft ou Facebook.
Vous pouvez ajouter l’authentification de l’utilisateur à vos rubriques lors de la modification d’une rubrique.
Important
Les modifications apportées à la configuration de l’authentification ne prennent effet qu’après la publication de votre agent. Assurez-vous de planifier à l’avance avant d’apporter des modifications de l’authentification à votre agent.
Choisir une option d’authentification
Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.
Accédez à Paramètres pour votre agent et sélectionnez Sécurité.
Sélectionnez Authentification.
Les options d’authentification suivantes sont disponibles :
Sélectionnez Enregistrer.
Aucune authentification
L’absence d’authentification signifie que votre agent n’exige pas que vos utilisateurs se connectent lorsqu’ils interagissent avec lui. Une configuration non authentifiée signifie que votre agent peut accéder uniquement aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.
Avertissement
La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou agent.
Nous vous recommandons d’appliquer l’authentification, en particulier si vous utilisez votre bot ou agent au sein de votre organisation ou pour des utilisateurs spécifiques, ainsi que d’autres contrôles de sécurité et de gouvernance.
Authentifier avec Microsoft
Important
Quand l’option Authentifier avec Microsoft est sélectionnée, tous les canaux sauf le canal Teams sont désactivés.
En outre, l’option Authentifier avec Microsoft n’est pas disponible pour les agents intégrés à Dynamics 365 Customer Service.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Comme l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre agent nécessite une étendue élargie.
Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous devez publier votre agent sur d’autres canaux, mais souhaitez tout de même l’authentification pour votre agent, choisissez Authentifier manuellement.
Si vous sélectionnez Authentifier avec Microsoft, les variables suivantes sont disponibles dans le canevas de création :
User.IDUser.DisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Les variables User.AccessToken et User.IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement.
Si vous passez de Authentifier manuellement à Authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken ou User.IsLoggedIn, celles-ci sont affichées comme des variables Inconnues après le changement. Assurez-vous de corriger toutes les rubriques contenant des erreurs avant de publier votre agent.
Authentifier manuellement
Copilot Studio prend en charge les fournisseurs d’authentification suivants sous l’option Authentifier manuellement :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 avec certificats
- OAuth 2 générique : tout fournisseur d’identité conforme à la norme OAuth2
Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Une fois la configuration enregistrée, assurez-vous de publier votre agent pour que les modifications prennent effet.
Note
- Les modifications de l’authentification ne prennent effet qu’après la publication de l’agent.
- Ce paramètre peut être contrôlé par le contrôle administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’activation ou la désactivation de l’option Authentifier manuellement dans Copilot Studio. Le contrôle est toujours activé et l’option Authentifier manuellement ne peut pas être modifiée dans Copilot Studio.
Connexion utilisateur requise et partage de l’agent
L’option Demander aux utilisateurs de se connecter détermine si un utilisateur doit se connecter avant de discuter avec l’agent. Nous vous recommandons fortement d’activer ce paramètre pour les agents qui doivent accéder à des informations sensibles ou restreintes.
Cette option n’est pas disponible pour les options Aucune authentification et Authentifier avec Microsoft.
Note
Cette option n’est pas non plus configurable lorsque la stratégie DLP dans le centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, consultez Exemple de protection contre la perte de données - Exiger l’authentification de l’utilisateur dans les agents.
Si vous désactivez cette option, votre agent ne demande pas aux utilisateurs de se connecter tant qu’il ne rencontre pas une rubrique qui les oblige à le faire.
Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.
La rubrique Demander aux utilisateurs de se connecter est déclenchée automatiquement pour tout utilisateur qui parle à l’agent sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôler qui peut discuter avec l’agent dans l’organisation
La combinaison de l’option d’authentification et de Demander aux utilisateurs de se connecter de votre agent détermine si vous pouvez partager l’agent pour contrôler qui peut discuter avec lui dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un agent pour la collaboration.
Aucune authentification : tout utilisateur qui a un lien avec l’agent (ou qui peut le trouver, par exemple, sur votre site web) peut converser avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec l’agent dans votre organisation.
Authentifier avec Microsoft : l’agent ne fonctionne que sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage d’agent pour contrôler qui dans votre organisation peut discuter avec l’agent.
Authentifier manuellement :
Si le fournisseur de services est soit Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec l’agent en utilisant le partage d’agent.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque l’option est activée, un utilisateur qui se connecte peut discuter avec l’agent. Vous ne pouvez pas contrôler quels utilisateurs spécifiques de votre organisation peuvent discuter avec l’agent à l’aide du partage d’agent.
Lorsque le paramètre d’authentification d’un agent ne peut pas contrôler qui peut discuter avec lui, si vous sélectionnez Partager sur la page d’aperçu de l’agent, un message informe que n’importe qui peut discuter avec votre agent.
Champs d’authentification manuelle
Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.
| Nom du champ | Description |
|---|---|
| Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID Client | Votre ID client obtenu auprès du fournisseur d’identité. |
| Client secret | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
| Actualiser le modèle de corps | Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Actualiser le modèle de chaîne de requête de l’URL d’autorisation | Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?). |
| Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
| Étendues | La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
| Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth. |
| ID locataire | Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client. |
| Modèle de corps de jeton | Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL d’échange de jetons (requise pour SSO) | Ce champ facultatif est utilisé lors de la configuration de l’authentification unique. |
| Modèle d’URL de jeton | Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?). |
1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Désactiver l’authentification
Avec votre agent ouvert, sélectionnez Paramètres dans la barre de menu supérieure.
Sélectionnez Sécurité, puis sélectionnez Authentification.
Sélectionnez Aucune authentification.
Si des variables d’authentification sont utilisées dans une rubrique, elles deviennent des variables de type Inconnu. Accédez à la page Rubriques pour voir quelles rubriques comportent des erreurs et corrigez-les avant la publication.
Publiez l’agent.
Important
Si votre agent a des actions configurées pour demander les informations d’identification de l’utilisateur, ne désactivez pas l’authentification au niveau de l’agent, car cela empêcherait ces actions de fonctionner.