Partager via

Configurer l’authentification unique (SSO) avec Microsoft Entra ID pour les assistants dans Microsoft Teams

Copilot Studio permet l’authentification unique (SSO) pour les assistants déployés dans les discussions individuelles de Microsoft Teams. Cette prise en charge permet aux assistants d’authentifier automatiquement les utilisateurs avec leurs informations de connexion Microsoft Teams. L’authentification unique n’est prise en charge que lors de l’utilisation de Microsoft Entra ID. D’autres fournisseurs de services, tels que Azure AD v1, ne prennent pas en charge l’authentification unique dans Microsoft Teams.

Important

Vous pouvez utiliser l’authentification unique dans les conversations Microsoft Teams sans nécessiter d’authentification manuelle. Pour utiliser cette méthode avec un assistant déjà publié, reconfigurez l’assistant afin d’utiliser Authentifier avec Microsoft, puis publiez-le à nouveau dans Microsoft Teams. Quelques heures peuvent s’écouler avant que cette modification ne prenne effet. Si un utilisateur est en pleine conversation et que le changement n’a pas encore pris effet, il peut saisir « start over » dans la conversation instantanée afin de forcer le redémarrage de la conversation avec la dernière version de l’assistant. Ces modifications sont désormais disponibles pour les conversations Teams 1:1 entre l’utilisateur et l’agent. Elles ne sont pas encore disponibles pour les conversations de groupe ou les messages de canal.

L’authentification SSO n’est pas prise en charge pour les assistants intégrés à Dynamics 365 Customer Service.

Ne poursuivez pas avec le document suivant, sauf si cela est nécessaire. Si vous souhaitez utiliser l’authentification manuelle pour votre assistant, consultez la section Configurer l’authentification des utilisateurs avec Microsoft Entra ID.

Note

Si vous utilisez l’authentification SSO de Teams avec l’option d’authentification manuelle, et que vous utilisez également l’assistant sur des sites web personnalisés en même temps, vous devez déployer l’application Teams à l’aide du manifeste d’application.

Pour plus d’informations, consultez Télécharger le manifeste de l’application Teams pour un agent.

Les autres configurations, telles que les options d’authentification autres que Manuelle, ou le déploiement via Teams à l’aide du déploiement en un clic de Copilot Studio, ne fonctionneront pas.

Configuration requise

Configurer une inscription d’application

Avant de configurer l’authentification SSO pour Teams, configurez l’authentification de l’utilisateur avec Microsoft Entra ID. Ce processus crée un enregistrement d’application dont vous avez besoin pour configurer l’authentification SSO.

  1. créer une inscription d’application ; Consultez les instructions dans Configurer l’authentification des utilisateurs avec Microsoft Entra ID.

  2. Ajouter l’URL de redirection.

  3. Générer une clé secrète client.

  4. Configurer l’authentification manuelle.

Localiser l’ID d’application de votre canal Teams

  1. Dans Copilot Studio, ouvrez l’assistant pour lequel vous souhaitez configurer l’authentification SSO.

  2. Accédez à la page Canaux de votre assistant et sélectionnez la vignette Teams et Microsoft 365 Copilot.

  3. Dans le panneau de configuration Teams et Microsoft 365 Copilot, sélectionnez Modifier les détails, développez Plus, puis sélectionnez Copier en regard du champ ID d’application.

Ajouter l’ID d’application de votre canal Teams à votre enregistrement d’application

  1. Accédez au portail Azure. Ouvrez l’instance d’inscription d’application correspondant à l’inscription que vous avez créée lorsque vous avez configuré l’authentification des utilisateurs pour votre assistant.

  2. Sélectionnez Exposer une API dans le volet latéral. Pour URI de l’ID d’application, sélectionnez Définir.

    Capture d’écran de l’emplacement du bouton Définir pour l’URI de l’ID d’application.

  3. Saisissez api://botid-{teamsbotid} et remplacez {teamsbotid} par l’ID d’application de votre canal Teams que vous avez identifié plus tôt.

    Capture d’écran d’un URI correctement formaté saisi dans la zone URI d’ID d’application.

  4. Cliquez sur Enregistrer.

Les applications sont autorisées à appeler les API lorsque les utilisateurs ou les administrateurs accordent des autorisations pendant le processus de consentement. Pour plus d’informations sur le consentement, consultez Autorisations et consentement dans la plateforme d’identités Microsoft.

Si l’option de consentement administrateur est disponible, accordez votre consentement :

  1. Dans votre inscription d’application sur le portail Azure, accédez à Autorisations de l’API.

  2. Sélectionnez Accorder un consentement administrateur pour <votre nom de client>, puis cliquez sur Oui.

Important

Pour éviter aux utilisateurs d’avoir à accorder leur consentement à chaque application, une personne à laquelle au moins le rôle Administrateur d’application ou Administrateur d’application cloud est affectée peut accorder son consentement à l’échelle du locataire à vos inscriptions d’applications.

Ajouter des autorisations d’API

  1. Dans votre inscription d’application sur le portail Azure, accédez à Autorisations de l’API.

  2. Sélectionnez Ajouter une permission et choisissez Microsoft Graph.

  3. Sélectionnez Autorisations déléguées. Une liste d’autorisations apparaît.

  4. Développez Autorisations OpenId.

  5. Sélectionnez openid et profil.

  6. Sélectionnez Ajouter des autorisations.

    Capture d’écran des autorisations openid et de profil activées.

Définir une étendue personnalisée pour votre agent

  1. Dans votre instance d’inscription d’application sur le portail Azure, accédez à Exposer une API.

  2. Sélectionnez Ajouter une étendue.

    Capture d’écran du bouton Ajouter une étendue mis en évidence.

  3. Définissez les propriétés suivantes :

    Propriété active
    Nom de l’étendue Entrez Test.Read
    Qui peut donner son consentement ? Sélectionnez Administrateurs et utilisateurs
    Nom d’affichage du consentement administrateur Entrez Test.Read
    Description du consentement administrateur Entrez Allows the app to sign the user in.
    Région Sélectionnez Activé

    Note

    Le nom de l’étendue Test.Read est une valeur d’espace réservé. Remplacez-la par un nom qui a du sens dans votre environnement.

  4. Sélectionnez Ajouter une étendue.

Ajouter des ID client Microsoft Teams

Important

Dans les étapes suivantes, les valeurs fournies pour les ID clients Microsoft Teams doivent être utilisées telles quelles, car elles sont identiques pour tous les locataires.

  1. Dans le portail Azure sur votre instance d’inscription d’application, accédez à Exposer une API et sélectionnez Ajouter une application cliente.

    Capture d’écran du bouton Ajouter une application cliente mis en évidence.

  2. Dans le champ ID client, entrez l’ID client pour Microsoft Teams mobile/bureau, à savoir 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Cochez la case correspondant à l’étendue que vous avez créée précédemment.

    Capture d’écran de l’ID client saisi dans le volet Ajouter une application cliente.

  3. Sélectionnez Ajouter une application.

  4. Répétez les étapes précédentes mais, pour ID client, entrez l’ID client pour Microsoft Teams sur le Web, qui est 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Vérifiez que la page Exposer une API contient les ID d’application cliente Microsoft Teams.

Pour résumer, les deux ID client Microsoft Teams ajoutés à la page Exposer une API sont les suivants :

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Ajouter l’URL d’échange de jetons aux paramètres d’authentification de votre agent

Pour mettre à jour les paramètres d’authentification Microsoft Entra ID dans Copilot Studio, vous devez ajouter l’URL d’échange de jetons afin que Microsoft Teams et Copilot Studio puissent partager des informations.

  1. Dans votre instance d’inscription d’application sur le portail Azure, accédez à Exposer une API.

  2. Sous Étendues, sélectionnez l’icône Copier dans le Presse-papier.

  3. Dans Copilot Studio, sous les paramètres de l’assistant, sélectionnez Sécurité, puis sélectionnez la vignette Authentification.

  4. Pour URL d’échange de jeton (obligatoire pour l’authentification SSO), collez l’étendue que vous avez copiée précédemment.

  5. Cliquez sur Enregistrer.

    Capture d’écran de l’emplacement où coller l’URL d’échange de jetons dans Copilot Studio.

Ajouter SSO au canal Teams de votre agent

  1. Dans Copilot Studio, sous les paramètres de l’assistant, sélectionnez Canaux.

  2. Sélectionnez la vignette Teams et Microsoft 365 Copilot.

  3. Sélectionnez Modifier les détails et développez Plus.

  4. Pour ID client de l’application AAD, saisissez l’ID d’application (client) à partir de l’inscription de votre application.

    Pour obtenir cette valeur, ouvrez le portail Azure. Ensuite, dans votre inscription d’application, accédez à Vue d’ensemble. Copiez la valeur dans la zone ID d’application (client).

  5. Pour URI de la ressource, saisissez l’URI de l’ID d’application à partir de l’inscription de votre application.

    Pour obtenir cette valeur, ouvrez le portail Azure. Ensuite, dans votre inscription d’application, accédez à Exposer une API. Copiez la valeur dans la zone URI de l’ID d’application.

    Capture d’écran de l’emplacement où coller l’URI de l’ID d’application dans le canal Teams de Copilot Studio.

  6. Sélectionnez Enregistrer, puis Fermer.

  7. Publiez à nouveau l’agent pour mettre les dernières modifications à la disposition de vos clients.

  8. Sélectionnez Voir l’agent dans Teams pour démarrer une nouvelle conversation avec votre agent dans Teams et vérifier s’il vous connecte automatiquement.

Problèmes connus

Si vous avez initialement publié votre assistant en utilisant l’authentification manuelle sans le SSO Teams, l’assistant dans Teams invite les utilisateurs à se reconnecter continuellement.

  • Last updated on