Configurazione dell'autenticazione dell'utente in Copilot Studio
L'autenticazione consente agli utenti di effettuare l'accesso, consentendo al tuo agente di accedere a risorse o informazioni riservate. Gli utenti possono accedere con Microsoft Entra ID o qualsiasi provider di identità OAuth2 come Google o Facebook.
Nota
In Microsoft Teams, puoi configurare un Copilot Studio agente per fornire funzionalità di autenticazione, in modo che gli utenti possano accedere con un Microsoft Entra ID o qualsiasi provider di identità OAuth2, come un account Microsoft o Facebook .
Puoi aggiungere l'autenticazione dell'utente finale agli argomenti durante la modifica di un argomento.
Importante
Le modifiche alla configurazione di autenticazione avranno effetto solo dopo aver pubblicato il tuo agente. Assicurati di pianificare in anticipo prima di apportare modifiche all'autenticazione sul tuo agente.
Scegliere un'opzione di autenticazione
Copilot Studio supporta diverse opzioni di autenticazione. Scegli quella più idonea alle tue esigenze.
Vai a Impostazioni per agente e Seleziona Sicurezza.
Seleziona Autenticazione.
Di seguito vengono illustrate le opzioni di autenticazione disponibili:
Seleziona Salva.
Nessuna autenticazione
Nessuna autenticazione significa che l'agente in uso non richiede che gli utenti effettuino l'accesso per poter interagire. Se la configurazione non ha autenticazione, l'agente può accedere solo a informazioni e risorse pubbliche. I chatbot classici sono configurati per impostazione predefinita per non richiedere l'autenticazione.
Attenzione
Selezionando l'opzione Nessuna autenticazione chiunque abbia collegare potrà chattare e interagire con il tuo bot o agente.
Ti consigliamo di applicare l'autenticazione, soprattutto se utilizzi bot o agente all'interno della tua organizzazione o per utenti specifici, insieme ad altri controlli di sicurezza e governance.
Esegui l'autenticazione con Microsoft
Importante
Quando l'opzione Autentica con Microsoft è selezionata, tutti i canali tranne il canale Teams verranno disabilitati.
Inoltre, l'opzione Autentica con Microsoft non è disponibile per gli agenti integrati con Dynamics 365 servizio clienti.
Questa configurazione imposta automaticamente l'autenticazione Microsoft Entra ID per Teams senza la necessità di alcuna configurazione manuale. Poiché l'autenticazione di Teams identifica l'utente, agli utenti non viene chiesto di effettuare l'accesso mentre sono in Teams, a meno che l'agente non necessiti di un ambito esteso.
Se si seleziona questa opzione, sarà disponibile solo il canale Teams. Se occorre pubblicare l'agente su altri canali ma si vuole comunque l'autenticazione per l'agente, selezionare Esegui l'autenticazione manuale.
Se selezioni l'opzione Autentica con Microsoft le seguenti variabili sono disponibili nell'area del contenuto:
User.IDUser.DisplayName
Per altre informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione dell'utente finale agli argomenti.
Le variabili User.AccessToken e User.IsLoggedIn non sono disponibili con questa opzione. Se hai bisogno di un token di autenticazione, utilizza l'opzione Esegui autenticazione manualmente.
Se cambi da Esegui autenticazione manualmente ad Esegui autenticazione con Microsoft e i tuoi argomenti contengono le variabili User.AccessToken o User.IsLoggedIn, vengono visualizzati come variabili sconosciute dopo la modifica. Assicurati di correggere eventuali errori negli argomenti prima di pubblicare il tuo agente.
Esegui l'autenticazione manuale
Copilot Studio supporta i seguenti provider di autenticazione con l'opzione Esegui autenticazione manualmente:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 con certificati
- OAuth 2 generico: qualsiasi provider di identità conforme allo standard OAuth2
Le seguenti variabili sono disponibili nel canvas di creazione dopo aver configurato l'autenticazione manuale:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Per altre informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione dell'utente finale agli argomenti.
Una volta salvata la configurazione, assicurati di pubblicare il tuo agente affinché le modifiche abbiano effetto.
Nota
- Le modifiche all'autenticazione avranno effetto solo dopo la pubblicazione dell'hashtag agente.
- Questa impostazione può essere controllata dal controllo amministratore corrispondente in Power Platform. Quando il controllo è abilitato, impedisce che l'impostazione Esegui autenticazione manualmente venga abilitata o disabilitata all'interno di Copilot Studio. Il controllo è sempre abilitato e l'impostazione Esegui autenticazione manualmente non può essere modificata in Copilot Studio.
Accesso utente richiesto e condivisione agente
Richiedi agli utenti di effettuare l'accesso determina se un utente deve effettuare l'accesso prima di parlare con agente. Consigliamo vivamente di attivare questa impostazione per gli agenti che hanno bisogno di accedere a informazioni sensibili o riservate.
Questa opzione non è disponibile per le opzioni Nessuna autenticazione e Autentica con Microsoft .
Nota
Questa opzione non è inoltre configurabile quando i criteri DLP nell'interfaccia di amministrazione di Power Platform sono configurati per richiedere l'autenticazione. Per ulteriori informazioni, vedere Esempio di dati prevenzione delle perdite - Richiedi autenticazione dell'utente finale negli agenti.
Se disattivi questa opzione, il tuo agente non chiederà agli utenti di effettuare l'accesso finché non incontra un argomento che lo richiede.
Quando attivi questa opzione, crea un argomento di sistema chiamato Richiedi agli utenti di accedere. Questo argomento è rilevante solo per l'impostazione Autentica manualmente. Gli utenti sono sempre autenticati su Teams.
L' Richiedi agli utenti di effettuare l'accesso argomento viene attivato automaticamente per qualsiasi utente che parli con agente senza essere autenticato. Se l'utente non riesce ad accedere, l'argomento reindirizza all'argomento di sistema Riassegna.
L'argomento è di sola lettura e non può essere personalizzato. Per vederlo, seleziona Vai al canvas di creazione.
Controlla chi può chattare con agente nell'organizzazione
L'autenticazione del tuo agente e l'impostazione Richiedi all'utente di effettuare l'accesso in combinazione determinano se puoi Condividi del agente controllare chi nella tua organizzazione può chattare con esso. L'impostazione di autenticazione non influisce sulla condivisione di un agente per la collaborazione.
Nessuna autenticazione: qualsiasi utente che abbia un collegare su agente (o che riesca a trovarlo, ad esempio sul tuo sito web) può chattare con lui. Non puoi controllare quali utenti della tua organizzazione possono chattare con agente.
Autenticazione con Microsoft: agente funziona solo sul canale Teams. Poiché l'utente è sempre connesso, l'impostazione Richiedi agli utenti di accedere è attivata e non può essere disattivata. Puoi usare la condivisione agente per controllare chi nella tua organizzazione può chattare con agente.
Esegui autenticazione manualmente:
Se il fornitore del servizio è Azure Active Directory o Microsoft Entra ID, puoi attivare Richiedi agli utenti di accedere per controllare chi nella tua organizzazione può chattare con agente utilizzando la condivisione agente.
Se il provider di servizi è OAuth2 generico, puoi attivare o disattivare Richiedi agli utenti di accedere. Se questa opzione è attivata, un utente che effettua l'accesso può chattare con agente. Non puoi controllare quali utenti specifici nella tua organizzazione possono chattare con agente utilizzando la condivisione agente.
Quando l'impostazione di autenticazione di un agente non riesce a controllare chi può chattare con esso, se Seleziona Condividi nella pagina di panoramica di agente un messaggio ti informa che chiunque può chattare con il tuo agente.
Campi di autenticazione manuale
Di seguito sono riportati tutti i campi che puoi visualizzare durante la configurazione dell'autenticazione manuale. I campi che vedrai dipendono dal provider di servizi scelto.
| Nome del campo | Descrizione |
|---|---|
| Modello URL di autorizzazione | Il modello URL per l'autorizzazione, definito dal provider di identità. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modello stringa di query dell'URL di autorizzazione | Il modello di query per l'autorizzazione, come fornito dal provider di identità. Le chiavi nel modello di stringa delle query variano in base al provider di identità (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | L'ID client ottenuto dal provider di identità. |
| Client secret | Il tuo segreto client, ottenuto quando hai creato la registrazione dell'app del provider di identità. |
| Aggiorna modello corpo | Il modello per il corpo di aggiornamento (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Aggiorna modello stringa di query dell'URL | Il separatore della stringa di query dell'URL di aggiornamento per l'URL del token, in genere un punto interrogativo (?). |
| Aggiorna modello URL | Il modello di URL per l'aggiornamento; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitatore elenco ambiti | Il carattere separatore per l'elenco degli ambiti. Gli spazi vuoti non sono supportati in questo campo.1 |
| Ambiti | L'elenco degli ambiti che vuoi che gli utenti abbiano dopo che hanno effettuato l'accesso. Utilizza il Delimitatore elenco ambiti per separare più ambiti.1 Imposta solo gli ambiti necessari e segui il lPrincipio di controllo dell'accesso con privilegi minimi. |
| Provider di servizi | Il provider di servizi che vuoi utilizzare per l'autenticazione. Per altre informazioni, vedi Provider generici OAuth. |
| ID tenant | Il tuo ID tenant Microsoft Entra ID. Fai riferimento a Usare un tenant Microsoft Entra ID per sapere come trovare il tuo ID tenant. |
| Modello corpo del token | Il modello per il corpo del token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL di scambio del token (obbligatorio per SSO) | Questo è un campo facoltativo quando stai configurando Single Sign-On. |
| Modello URL del token | Il modello di URL per i token, come definito dal provider di identità; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modello stringa di query dell'URL del token | Il separatore della stringa di query per l'URL del token, in genere un punto interrogativo (?). |
1 Puoi usare gli spazi nel campo Ambiti se il provider di identità lo richiede. In tal caso, inserisci una virgola (,) in Delimitatore elenco ambiti, e inserisci gli spazi nel campo Ambiti.
Disattiva autenticazione
Con agente aperto, seleziona Seleziona Impostazioni nella barra dei menu in alto.
Seleziona Sicurezza, quindi seleziona Autenticazione.
Seleziona Nessuna autenticazione.
Se le variabili di autenticazione vengono utilizzate in un argomento, diventeranno variabili sconosciute. Vai alla pagina Argomenti per vedere quali argomenti contengono errori e correggili prima della pubblicazione.
Pubblica agente.
Importante
Se il tuo agente ha azioni configurate per utilizzare le credenziali dell'utente finale, non disattivare l'autenticazione a livello di agente, poiché ciò impedirebbe il funzionamento di queste azioni.