【Microsoft Copilot Studio】配置web和Direct Line通道安全

重要事项

在对生成式人工智能进行了大量投资并增强了Microsoft Copilot之间的集成后，Power Virtual Agents的功能和特性现在是Microsoft Copiloth Studio的一部分。

在我们更新文档和培训内容时，一些文章和屏幕截图可能会参考Power Virtual Agents。

当您创建Microsoft Copilot Studio副驾驶时，任何知道副驾驶ID的人都可以在演示网站和自定义网站频道中立即使用该副驾驶。默认情况下，这些频道是可用的，不需要配置。

对于Microsoft Teams应用程序，您可以配置高级web通道安全选项。

注：

如果您拥有仅限Teams的许可证，则无法生成密钥以启用安全访问。安全访问令牌会自动为您创建，默认情况下会启用安全访问。

用户可以直接从Microsoft copilot Studio中找到副驾驶ID，也可以从某人那里接收。但是，根据副驾驶的能力和敏感度，这可能是不可取的。

使用基于Direct Line的安全性，您可以通过使用Direct Line机密或令牌启用安全访问来仅启用对您控制的位置的访问。

您还可以交换和重新生成机密并刷新令牌，如果您不想再使用它，可以轻松禁用安全访问。

注：

Microsoft Copilot Studio使用Bot Framework Direct Line通道将您的网页或应用程序连接到副驾驶。

启用或禁用web通道安全

您可以强制每个副驾驶使用机密和令牌。

启用此选项后，通道需要客户端通过使用密钥或使用在运行时获得的密钥生成的令牌来验证其请求。

任何不提供此安全措施的副驾驶访问都将不起作用。

• 在副驾驶的“设置”下，选择“安全”。然后选择Web频道安全互动程序。

显示“设置”弹出按钮上突出显示的Web频道安全的屏幕截图。

• 将“要求安全访问”开关转到“启用”。

显示Web频道安全页面的屏幕截图。

警告

启用或禁用“要求安全访问”后，系统可能需要两个小时才能传播设置并生效。在此之前，之前的设置将生效。您不需要发布副本即可使此更改生效。

你应该提前计划，避免无意中暴露你的副驾驶。

• 如果需要禁用web频道安全选项，可以通过将“要求安全访问”切换为“禁用”来实现。禁用安全访问可能需要两个小时才能传播。
• 

屏幕截图显示禁用安全访问时的确认消息，该消息表示此操作会使演示网站和任何Direct Line频道不使用可用的密钥或令牌。此操作可能需要两个小时才能生效。

使用秘密或令牌

如果你正在创建一个服务到服务的应用程序，在授权头请求中指定密钥可能是最简单的方法。

如果你正在编写一个客户端在web浏览器或移动应用程序中运行的应用程序，或者代码可能对客户可见，你必须用你的密码换取令牌。如果你不使用令牌，你的秘密可能会被泄露。当您请求获取服务中的令牌时，请在授权标头中指定密钥。

令牌仅适用于单个会话，除非刷新，否则将过期。

选择最适合您情况的安全模型。

警告

我们强烈反对在浏览器中运行的任何代码中暴露秘密，无论是硬编码还是通过网络调用传输。

使用服务代码中的密钥获取令牌是保护Microsoft Copilot Studio副本的最安全方法。

获取秘密（secrets）

你需要这个秘密，这样你就可以在应用程序的授权标头请求或类似请求中指定它。

• 在导航菜单的“设置”下，选择“安全”。然后选择Web频道安全互动程序。
• 选择Secret 1或Secret 2的“复制”将其复制到剪贴板。选择可见性图标可见性图标。揭露秘密。在您可以显示之前，会出现一个警告提示。

交换秘密

如果你需要更改副驾驶使用的密码，你可以在没有任何停机或中断的情况下这样做。

Microsoft Copilot Studio为您提供了两个同时工作的秘密。您可以将正在使用的密钥与另一个密钥交换。一旦交换了秘密，并且您的用户都使用新的秘密连接，您就可以安全地重新生成秘密。

重新生成一个秘密

要重新生成机密，请选择机密旁边的“重新生成”。

警告

使用原始密钥或从该密钥获得的令牌连接的任何用户都将被断开连接。

生成令牌

您可以生成一个令牌，可以在开始单个副驾驶对话时使用。有关更多信息，请参阅将副驾驶添加到移动和自定义应用程序中的“获取直线令牌”一节。

• 获取秘密。
• 在您的服务代码中发出以下请求，以将密钥交换为令牌。将<SECRET>替换为您在步骤1中获得的机密值。

HTML

POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer <SECRET>

以下代码段提供了生成的令牌请求及其响应的示例。

示例生成令牌请求

HTML

POST https://directline.botframework.com/v3/directline/tokens/generate
Authorization: Bearer RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0

示例生成令牌响应

HTML

HTTP/1.1 200 OK
[other headers]

JSON

{
 "conversationId": "abc123",
 "token": "RCurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4F
 v0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn",
 "expires_in": 1800
}

如果请求成功，响应将包含一个对一次对话有效的令牌和一个expires_in值，该值指示令牌到期前的秒数。

为了使令牌保持可用，您必须在令牌过期之前刷新它。

刷新令牌

令牌可以刷新无限次，只要它没有过期。

过期的令牌无法刷新。

要刷新令牌，请发出以下请求，并用要刷新的令牌替换<token To REFRESHED>。

HTML

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer <TOKEN TO BE REFRESHED>

以下代码段提供了刷新令牌请求和响应的示例。

样本刷新请求

HTML

POST https://directline.botframework.com/v3/directline/tokens/refresh
Authorization: Bearer CurR_XV9ZA.cwA.BKA.iaJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg
4Fv0y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xn

示例刷新响应

如果请求成功，响应将包含一个与前一个令牌对同一会话有效的新令牌和一个expires_in值，该值指示新令牌到期前的秒数。

为了使新令牌保持可用，您必须在令牌过期之前再次刷新令牌。

HTML

HTTP/1.1 200 OK
[other headers]

JSON

{
 "conversationId": "abc123",
 "token": "RCurR_XV9ZA.cwA.BKA.y8qbOF5xPGfiCpg4Fv0y8qqbOF5x8qbOF5xni
 aJrC8xpy8qbOF5xnR2vtCX7CZj0LdjAPGfiCpg4Fv0",
 "expires_in": 1800
}

有关刷新令牌的更多信息，请参阅Direct Line API-Authentication中的刷新Direct Line令牌一节。

相关内容

Key Concepts - Publish your copilot

• Add a copilot to mobile and custom apps
• Add a Copilot Studio copilot to Azure Bot Service channels
• Configure user authentication in Copilot Studio