Configurar autenticação do utilizador com o Microsoft Entra ID

Quando adiciona autenticação ao seu agente, os utilizadores podem iniciar sessão e dar-lhe acesso a um recurso ou informação restrita.

Este artigo explica como configurar o Microsoft Entra ID como o seu fornecedor de serviços. Para informações sobre outros fornecedores de serviços e autenticação de utilizadores, veja Configure a autenticação de utilizadores no Copilot Studio.

Se você tiver direitos de administração de locatário, poderá configurar permissões de API. Caso contrário, peça a um administrador de inquilinos que conceda essas permissões.

Pré-requisitos

Saiba como adicionar autenticação de usuário a um tópico

Você conclui as duas primeiras etapas no portal do Azure e conclui as duas etapas finais no Copilot Studio.

Criar um registo de aplicações

  1. Inicia sessão no portal Azure usando uma conta de administrador no mesmo inquilino que o teu agente.

  2. Aceda a Registos de aplicações.

  3. Selecione Novo registo e introduza um nome para o registo. Não altere os registos de aplicações existentes.

    Pode ser útil mais tarde usar o nome do seu agente. Por exemplo, se o seu agente for chamado de "Ajuda de vendas da Contoso", você poderá nomear o registro do aplicativo como "ContosoSalesReg".

  4. Em Tipos de conta suportados, selecione Contas apenas neste diretório organizacional (somente Contoso - Locatário único).

  5. Deixe a seção Redirecionar URI em branco por enquanto. Insira essas informações nas próximas etapas.

  6. Selecione Registar.

  7. Depois de terminar a inscrição, vá a Visão Geral.

  8. Copie o ID do aplicativo (cliente) e cole-o em um arquivo temporário. Precisa disso nos passos seguintes.

Adicionar o URL de redirecionamento

  1. Em Gerir, selecione Autenticação.

  2. Em Configurações da plataforma, selecione Adicionar uma plataforma e, em seguida, selecione Web.

  3. Em Redirecionar URIs, insira https://token.botframework.com/.auth/web/redirect ou https://europe.token.botframework.com/.auth/web/redirect para Europa. Também pode copiar o URI da caixa de texto Redirect URL na página de definição Security do Copilot Studio em Autenticar manualmente.

    Esta ação leva você de volta à página Configurações da plataforma .

    Para uma lista dos serviços necessários aos quais o Copilot Studio se conecta, incluindo token.botframework.com, consulte Serviços necessários.

  4. Selecione tokens de acesso (usados para fluxos implícitos) e tokens de ID (usados para fluxos implícitos e híbridos).

  5. Selecione Configurar.

Configurar autenticação manual

Em seguida, configure a autenticação manual. Pode escolher entre várias alternativas quanto ao seu fornecedor. No entanto, use o Microsoft Entra ID V2 com credenciais federadas. Você também pode usar segredos de cliente se não conseguir usar credenciais federadas.

Configurar autenticação manual usando credenciais federadas

O Copilot Studio cria automaticamente credenciais de identidade federada (FIC) por padrão na Aplicação Azure AD Registration para permitir autenticação segura e sem segredos usando tokens de curta duração do OpenID Connect. Este método de autenticação remove segredos armazenados, reduz o risco de credencial e está alinhado com os padrões de segurança Confiança Zero da Microsoft.

  1. No Copilot Studio, vá para Configurações do seu agente e selecione Segurança.

  2. Selecione Autenticação.

  3. Selecione Autenticar manualmente.

  4. Deixe Exigir que os utilizadores entrem ativada.

  5. Introduza os seguintes valores para as propriedades:

    • Provedor de serviços: Selecione Microsoft Entra ID V2 com credenciais federadas.

    • ID do cliente: insira a ID do aplicativo (cliente) que você copiou anteriormente do portal do Azure.

  6. Selecione Salvar para ver o emissor e o valor da credencial federada.

  7. Copie o emissor de credenciais federadas e o valor de credenciais federadas e cole-as em um arquivo temporário. Precisa disso nos passos seguintes.

  8. Vai ao portal do Azure e ao registo da aplicação que criaste anteriormente. Em Gerenciar, selecione Certificados & segredos e, em seguida, Credenciais federadas.

  9. Selecione Adicionar credencial.

  10. Em Cenário de credenciais federadas, selecione Outro emissor.

  11. Introduza os seguintes valores para as propriedades:

    • Emissor: insira o valor do emissor de credenciais federadas que você copiou anteriormente do Copilot Studio.
    • Valor: insira os dados do valor da credencial federada que você copiou anteriormente do Copilot Studio.
    • Nome: forneça um nome.

  12. Selecione Adicionar para concluir a configuração.

Configurar permissões de API

  1. Vá para permissões de API.

  2. Selecione Conceder consentimento de administrador para <o nome> do inquilino e, em seguida, selecione Sim. Se o botão não estiver disponível, talvez seja necessário pedir a um administrador de locatário para inseri-lo para você.

    Captura de ecrã da janela de permissões da API com uma permissão de inquilino realçada.

    Important

    Para evitar que os utilizadores tenham de dar consentimento a cada aplicação, uma pessoa com pelo menos a função de Administrador de Aplicações ou Administrador de Aplicações na Nuvem pode conceder consentimento a nível de inquilino para os seus registos de aplicações.

  3. Selecione Adicionar uma permissão e, em seguida, selecione Microsoft Graph.

    Captura de ecrã da janela de permissões da API de pedido com o Microsoft Graph destacado.

  4. Selecione Permissões delegadas.

    Captura de ecrã de permissões delegadas destacadas.

  5. Expanda as permissões OpenId e ative openid e perfil.

    Captura de ecrã com permissões OpenId, openid e perfil destacadas.

  6. Selecione Adicionar permissões.

Definir um escopo personalizado para seu agente

Âmbitos determinam os papéis de utilizadores e administradores e os direitos de acesso. Crie um escopo personalizado para o registo da aplicação Canvas.

  1. Vá para Expor uma API e selecione Adicionar um escopo.

    Captura de ecrã de Expor uma API e do botão Adicionar um âmbito destacado.

  2. Defina as seguintes propriedades. Você pode deixar as outras propriedades em branco.

    Propriedade Value
    Nome do escopo Insira um nome que faça sentido em seu ambiente, como Test.Read
    Quem pode consentir? Selecione Administradores e usuários
    Nome de exibição do consentimento do administrador Insira um nome que faça sentido em seu ambiente, como Test.Read
    Descrição do consentimento do administrador Introduzir Allows the app to sign the user in.
    Distrito Selecione Ativado

  3. Selecione Adicionar escopo.

Configurar a autenticação no Copilot Studio

  1. No Copilot Studio, em Configurações, selecione Segurança>Autenticação.

  2. Selecione Autenticar manualmente.

  3. Deixe Exigir que os utilizadores entrem ativada.

  4. Selecione um provedor de serviços e forneça os valores necessários. Ver Configurar autenticação manual no Copilot Studio.

  5. Selecione Guardar.

Tip

Use a URL de troca de tokens para trocar o token On-Behalf-Of (OBO) pelo token de acesso solicitado. Para mais informações, consulte Configurar o login único com Microsoft Entra ID.

Observação

Os âmbitos devem incluir profile openid e os seguintes âmbitos, dependendo do seu caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para Conexão de Gráficos
  • https://[OrgURL]/user_impersonation para dados estruturados do Dataverse

Por exemplo, Dataverse Structure Data deve ter os seguintes escopos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Teste o seu agente

  1. Publica o teu agente.

  2. No painel Testar o agente , envie uma mensagem para o agente.

  3. Quando o agente responder, selecione Login.

    Abre-se um novo separador do navegador, pedindo-lhe para iniciar sessão.

  4. Inicie sessão e depois copie o código de validação apresentado.

  5. Para concluir o processo de início de sessão, cole o código no chat do agente.

    Captura de tela de uma autenticação de usuário bem-sucedida em uma conversa de agente, com o código de validação realçado.

  • Last updated on