Partager via

Connecter un agent IA à Microsoft Teams

Important

Cette fonctionnalité est disponible en préversion publique.

Cette page montre comment intégrer des agents IA à Microsoft Teams à l’aide de l’authentification OAuth « Au nom de ». Cette intégration permet à vos agents Databricks d’interagir avec les utilisateurs via Microsoft Teams tout en conservant un accès sécurisé et délégué par l’utilisateur aux ressources Databricks.

Exemple d’authentification OBO de l’agent Microsoft Teams

Aperçu

La connexion d’un agent Databricks à Microsoft Teams nécessite une coordination entre trois plateformes : Databricks, Azure et Microsoft Teams. À un niveau élevé, vous effectuez les étapes suivantes :

  1. Créez un agent dans Databricks : construisez et déployez un agent IA sur un point de terminaison de service.
  2. Configurer des ressources Azure : configurez Azure Bot Service, Azure App Service et configurez les paramètres d’authentification OAuth.
  3. Créez une stratégie de fédération OAuth : activez l’échange de jetons sécurisé entre Microsoft Entra ID et Databricks.
  4. Déployez le code du bot : déployez le code d’application qui connecte Teams à votre agent Databricks.
  5. Testez l’intégration : vérifiez que les utilisateurs peuvent s’authentifier et interagir avec votre agent via Teams.

Spécifications

Avant de commencer, vérifiez que vous disposez des éléments suivants :

  • Privilèges d’administrateur d’espace de travail pour créer des connexions de catalogue Unity et déployer des agents
  • Accès à un abonnement Azure dans lequel vous pouvez créer des ressources
  • Autorisations d’administrateur Databricks pour créer des stratégies de fédération OAuth
  • Accès à un espace de travail Microsoft Teams à des fins de test

Étape 1. Créer un agent IA dans Databricks

Créez un agent IA dans Databricks qui traite les requêtes à partir de Microsoft Teams. Cet agent sert d’intelligence principale de votre chatbot et gère les tâches suivantes :

  • Traite les requêtes utilisateur à partir de Teams
  • Interagit avec les services Databricks pour la récupération et le calcul des données
  • Retourne des réponses pertinentes à l’interface Teams

Pour créer un agent, consultez Créer des agents IA dans le code. Après avoir créé votre agent, déployez-le sur un point de terminaison de service.

Notez l’URL du point de terminaison de service, car vous en avez besoin lorsque vous configurez les variables d’environnement d’application web Azure.

Étape 2. Configurer des ressources Azure

L’intégration nécessite des ressources Azure spécifiques pour prendre en charge l’authentification et déployer les composants du bot Teams.

Créez les ressources Azure suivantes pour prendre en charge l’intégration du bot Teams. Toutes les ressources doivent se trouver dans la même région Azure.

Note

Enregistrez l’ID d’application Microsoft, l’ID de locataire d’application et la clé secrète client lorsque vous créez ces ressources, car vous en avez besoin pour les étapes de configuration ultérieures.

Créer un groupe de ressources

  1. Accédez au portail Azure .

  2. Cliquez sur Créer une ressource.

  3. Recherchez le groupe de ressources et sélectionnez-le.

    Important

    Toutes les ressources Azure que vous créez doivent se trouver dans la même région que votre groupe de ressources.

Configurez le groupe de ressources :

  1. Choisissez votre abonnement Azure.
  2. Saisissez un nom pour le groupe de ressources.
  3. Sélectionnez une région Azure (par exemple, USA Est).
  4. Cliquez sur Vérifier + Créer, puis sur Créer.

Créer un plan App Service

  1. Dans le portail Azure, cliquez sur Créer une ressource.
  2. Recherchez App Service Plan et sélectionnez-le.

Configurez le plan App Service :

  1. Choisissez votre abonnement Azure.
  2. Sélectionnez le groupe de ressources que vous avez créé.
  3. Entrez un nom pour le plan App Service.
  4. Sélectionnez Linux comme système d’exploitation.
  5. Sélectionnez la même région que votre groupe de ressources.
  6. Pour le plan tarifaire, sélectionnez Basic B1.
  7. Cliquez sur Vérifier + Créer, puis sur Créer.

Créer une application Web

  1. Dans le portail Azure, cliquez sur Créer une ressource.
  2. Recherchez l’application web et sélectionnez-la.

Configurez l’application web :

  1. Choisissez votre abonnement Azure.
  2. Sélectionnez le groupe de ressources que vous avez créé.
  3. Entrez un nom pour l’application web.
  4. Définissez Publier sur Code.
  5. Sélectionnez Python 3.13 comme pile d’exécution.
  6. Sélectionnez la même région Azure que vos autres ressources.
  7. Activez le nom d’hôte par défaut unique sécurisé.
  8. Cliquez sur Vérifier + Créer, puis sur Créer.

Créer un bot Azure

  1. Dans le portail Azure, cliquez sur Créer une ressource.
  2. Recherchez Azure Bot et sélectionnez-le.

Configurez le bot Azure :

  1. Entrez un handle de bot (nom).
  2. Choisissez votre abonnement Azure.
  3. Sélectionnez le groupe de ressources que vous avez créé.
  4. Définissez la résidence des données sur Global.
  5. Définir le plan tarifaire sur Gratuit.
  6. Définissez le type d’application surun seul locataire.
  7. Définissez le type de création pour créer un ID d’application Microsoft.
  8. Laissez vide la référence de gestion des services .
  9. Cliquez sur Vérifier + Créer, puis sur Créer.

Une fois le bot Azure créé, configurez ses paramètres :

  1. Accédez à votre ressource Azure Bot.

  2. Sous Paramètres, sélectionnez Configuration.

  3. Définissez le point de terminaison de messagerie sur https://<your-webapp-name>.azurewebsites.net/api/messages.

    Remplacez par <your-webapp-name> le nom de votre application web. Vous pouvez confirmer l’URL en vérifiant le domaine par défaut dans votre ressource Web App.

  4. Cliquez sur Appliquer.

  5. Copiez et enregistrez l’ID d’application Microsoft et l’ID de locataire d’application.

  6. En regard de l’ID d’application Microsoft, cliquez sur Gérer le mot de passe.

  7. Cliquez sur Nouveau secret client pour créer une clé secrète client.

  8. Copiez et enregistrez la clé secrète client. Vous ne pouvez plus afficher cette valeur après avoir quitté la page.

Important

Vous verrez une clé secrète client existante lorsque vous accédez à la page, mais vous devez en créer une nouvelle pour cette intégration.

Configurer un bot Azure

Configurer le canal Microsoft Teams

  1. Dans votre ressource Azure Bot, sous Canaux, sélectionnez Microsoft Teams.
  2. Acceptez les conditions d’utilisation.

Une fois ces étapes terminées, vous avez créé et configuré les ressources suivantes :

  • Groupe de ressources : conteneur logique pour les ressources Azure associées
  • Plan App Service : configuration des ressources de calcul qui définit la façon dont les applications s’exécutent
  • Application web : héberge le code du bot
  • Bot Azure : service qui permet l’activation de canal pour interagir avec le bot
  • Application Azure : gère les configurations d’authentification, notamment les secrets client, les clés, les étendues et les jetons

Configurer l’application Azure pour OAuth

Configurez votre application Azure pour activer l’authentification OAuth 2.0 pour le compte de l’utilisateur.

  1. Dans le portail Azure, accédez à votre application Azure pour le bot.

Dans la section Authentification , ajoutez une URL de redirection :

  1. Cliquez sur Ajouter une plateforme>Web.

  2. Ajouter un URI de redirection : https://token.botframework.com/.auth/web/redirect

  3. Cliquez sur Configurer.

    URL de redirection

Dans la section Configuration du jeton, ajoutez une revendication facultative pour le jeton d’accès :

  1. Cliquez sur Ajouter une revendication facultative>Jeton d’accès.
  2. Recherchez et sélectionnez la preferred_username revendication.

Dans la section Exposer une API , créez une étendue :

  1. Définissez l’URI d’ID d’application sur api://<app_id> (utilisez votre ID d’application/client).

  2. Cliquez sur Enregistrer>Ajouter une étendue.

  3. Configurez l’étendue :

    • Nom de l’étendue : access_as_user
    • Qui peut donner son consentement : Administrateurs et utilisateurs
    • Nom d'affichage du consentement de l'administrateur : Accéder à l'API en tant qu'utilisateur connecté
    • Description du consentement administrateur : autoriser l’application à accéder à l’API en tant qu’utilisateur
    • Nom d’affichage du consentement de l’utilisateur : Accéder à l'API sous votre identité
    • Description du consentement de l’utilisateur : autoriser l’application à accéder à l’API comme vous

Dans la section Autorisations de l’API , ajoutez des autorisations Microsoft Graph :

  1. Cliquez sur Ajouter une autorisation>Microsoft Graph>Autorisations déléguées.
  2. Sélectionnez email, openidet profile autorisations.

Dans la section Manifeste , vérifiez la version du jeton d’accès :

  1. Recherchez la api clé dans le fichier JSON du manifeste.
  2. Assurez-vous que requestedAccessTokenVersion est réglé sur 2. Si ce n’est pas le cas, modifiez-le à 2 et enregistrez-le.

Vérifier la version du jeton d’accès

Configurer la connexion OAuth Azure Bot

Configurez la connexion OAuth dans votre ressource Azure Bot :

  1. Dans votre bot Azure, accédez àConfiguration>des paramètres>Ajouter des paramètres de connexion OAuth.

  2. Configurez la connexion :

    • Nom : choisissez un nom descriptif (vous l’utilisez dans la configuration de l’application web)
    • Fournisseur de services : Azure Active Directory v2
    • ID client : Votre application de bot Azure/ID client
    • Clé secrète client : secret que vous avez créé pour l’application
    • ID de locataire : ID de locataire de votre organisation
    • Étendues : api://<app_id>/access_as_user (utilisez votre ID d'application/client Azure)

  3. Cliquez sur Enregistrer.

    Ajouter une connexion OAuth au bot Azure

Configurer l'application web pour l'intégration de l'agent

Configurez les variables d’environnement d’application web et la commande de démarrage pour l’intégration de l’agent Databricks :

  1. Accédez à Paramètres>Variables d'environnement dans votre application web.
  2. Ajoutez les variables d’agent Databricks suivantes :
Nom de la variable Valeur Descriptif
ConnectionName <oauth_connection_name> Nom de la connexion OAuth créée dans le bot Azure
DATABRICKS_HOST <databricks_workspace_url> URL de l’espace de travail Databricks où fonctionne le point de terminaison de service de l’agent (par exemple, https://adb-1234567890123456.7.azuredatabricks.net)
MicrosoftAppID <microsoft_app_id> ID client/ID d’application du bot Azure (enregistré précédemment)
MicrosoftAppPassword <client_secret> Clé secrète client que vous avez créée pour l’application (enregistrée précédemment)
MicrosoftAppType singletenant Type d’application
MicrosoftTenantId <tenant_id> ID de locataire de votre organisation (enregistré précédemment)
SERVING_ENDPOINT_NAME <endpoint_name> Nom du point d’accès de service actif dans votre espace de travail Databricks
SCM_DO_BUILD_DURING_DEPLOYMENT True Installe et génère des dépendances pendant le déploiement
WEBSITE_HTTPLOGGING_RETENTION_DAYS 3 Conserve les journaux pendant 3 jours

Définir des variables d’environnement pour le bot

  1. Cliquez sur Enregistrer.
  2. Accédez à Configuration des paramètres>.
  3. Définissez la commande de démarrage sur : python3 app.py
  4. Cliquez sur Enregistrer.

Note

La commande python3 app.py de démarrage est configurée pour fonctionner avec le code de bot de l’agent Databricks que vous déployez dans une étape ultérieure. Cela diffère des autres configurations de bot Azure qui peuvent utiliser différentes commandes de démarrage.

Mettre à jour la commande de démarrage pour exécuter l’agent Databricks

Étape 3. Créer une stratégie de fédération OAuth dans Databricks

Créez une stratégie de fédération OAuth pour activer l’authentification sécurisée « au nom de l’utilisateur » entre Microsoft Teams et Databricks. Cette stratégie autorise l’échange de jetons entre l’ID Microsoft Entra et les API REST Databricks.

Pour plus d’informations sur les stratégies de fédération, consultez :

Note

Vous devez être administrateur Databricks pour créer des stratégies de fédération.

Créer la stratégie de fédération à l’aide de l’interface CLI Databricks

  1. Connectez-vous à la console de compte Databricks à l’aide de votre ID de compte Databricks :

    databricks auth login --host https://accounts.azuredatabricks.net/ --account-id <your_databricks_account_id>

  2. Créez la stratégie de fédération en utilisant l'application Azure avec ses composants app_id et tenant_id.

    databricks account federation-policy create --json '{
  "oidc_policy": {
    "issuer": "https://login.microsoftonline.com/<tenant_id>/v2.0",
    "audiences": [
      "<app_id>"
    ],
    "subject_claim": "preferred_username"
  }
}'

Après avoir créé la stratégie de fédération, vous pouvez échanger des jetons d’ID Microsoft Entra pour les jetons Databricks, ce qui permet des demandes authentifiées auprès des API Databricks pour le compte de l’utilisateur.

Étape 4. Déployer du code de bot sur Azure Web App

Déployez le code de l’application bot sur votre application web Azure pour terminer l’intégration.

Cloner le référentiel de bots

Clonez le référentiel contenant le code du bot qui gère l’authentification de flux OAuth, l’échange de jetons Databricks et l’interaction de l’agent :

git clone https://github.com/databricks-solutions/teams-databricks-bot-service.git

Installation de l’interface de ligne de commande Azure

Installez Azure CLI pour votre plateforme :

Déployer l’application

  1. Connectez-vous à votre compte Azure :

    az login

    Un navigateur web s’ouvre pour l’authentification. Choisissez le même abonnement que celui que vous avez utilisé pour créer les ressources Azure.

  2. Dans un terminal, accédez au dossier teams-bot du référentiel cloné : cd databricks-bot-service/teams-bot/

  3. Déployez le code du bot sur l’application web :

    az webapp up --resource-group <resource_group> --name <web_app_name> --runtime "PYTHON:3.13" --sku B1

    Remplacez <resource_group> par le nom de votre groupe de ressources Azure et <web_app_name> par le nom de votre application web.

    Le processus de génération et de démarrage prend plusieurs minutes. Une fois le processus terminé, vous voyez la sortie JSON avec des informations sur l’application et le code source chargé.

Étape 5. Tester le bot

Testez l’intégration du bot à l’aide d’Azure Bot Service Web Chat :

  1. Accédez à Paramètres>Tester dans Web Chat dans votre ressource Azure Bot.
  2. Tapez « Hello » pour afficher le bouton de connexion.
  3. Une fois connecté, vous voyez le message « Vous êtes maintenant connecté ».
  4. Posez des questions relatives au domaine de votre bot. Le bot retourne des réponses de votre agent Databricks.

Tester le bot dans les services de bot Azure

Étapes suivantes

  • Last updated on