Sdílet prostřednictvím

Nasazení kanálu jako instanční objekt nebo vlastník kanálu

  • Článek

Delegovaná nasazení lze spouštět jako instanční objekt nebo vlastník fáze kanálu. Je-li to povoleno, nasadí se fáze kanálu jako delegovaný (instanční objekt nebo vlastník fáze kanálu) namísto žádajícího tvůrce.

Nasazení jako instanční objekt

Předpoklady

  • Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
  • Jedna z následujících rolí Microsoft Entra: Správce cloudových aplikací nebo Správce aplikací.
  • Musíte být vlastníkem podnikové aplikace (instančního objektu) v Microsoft Entra ID.

Pro delegované nasazení jako instanční objekt postupujte takto.

  1. Vytvořte podnikovou aplikaci (instanční objekt) v Microsoft Entra ID.

    Důležité

    Každý, kdo zapíná nebo upravuje konfigurace instancí služby v kanálech, musí být vlastníkem podnikové aplikace (instance služby) v Microsoft Entra ID.

  2. Přidejte podnikovou aplikaci jako uživatele mezi servery (S2S) do hostitelského prostředí kanálů a do každého cílového prostředí, do kterého se nasazuje.

  3. Přiřaďte roli zabezpečení Správce kanálu nasazení uživateli S2S v rámci hostitele kanálu a roli zabezpečení Správce systému v cílových prostředích. Role zabezpečení s nižšími oprávněními nemohou nasazovat moduly plug-in a další součásti kódu.

  4. Ve fázi kanálu vyberte (zaškrtněte) Je delegované nasazení, vyberte Instanční objekt a zadejte ID klienta. Zvolte Uložit.

  5. Volitelně povolte sdílení požadavků, aby žadatelé o nasazení mohli určit, které skupiny zabezpečení mají přístup k nasazeným objektům v cílovém prostředí. Žádosti o sdílení jsou součástí žádosti o nasazení a je možné je schválit nebo zamítnout.

Důležité

Schvalovatelé nasazení zodpovídají za pečlivou kontrolu informací o sdílení a rolích zabezpečení. Po schválení nasazení kanály automaticky přiřadí oprávnění pomocí identity nasazujícího instančního objektu.
>

  1. V prostředí hostitele kanálů vytvořte cloudový tok. Alternativní systémy lze integrovat pomocí kanálů „Rozhraní Microsoft Dataverse API“.

  2. Vyberte trigger OnApprovalStarted.

  3. Přidejte kroky pro potřebnou vlastní logiku.

  4. Vložte krok schválení. Použijte dynamický obsah k zasílání informací schvalovatelům ohledně požadavků na nasazení.

  5. Vložte podmínku.

  6. Vytvoření připojení Dataverse pro instanční objekt. Potřebujete ID klienta a tajný klíč.

  7. Pomocí zde uvedených nastavení přidejte Provést nevázanou akci z Dataverse.
    Název akce: UpdateApprovalStatus ApprovalComments: Vložit dynamický obsah. Komentáře jsou viditelné žadatelům o nasazení. ApprovalStatus: 20 = schváleno, 30 = zamítnuto ApprovalProperties: Vložit dynamický obsah. Informace správce přístupné z hostitele kanálů.

    Důležité

    Akce UpdateApprovalStatus musí používat připojení instančního objektu.

    Propojení s instančním objektem

    Tip

    Chcete-li zlepšit ladění, vyberte ApprovalProperties a vložte workflow() z nabídky dynamického obsahu. Tím se propojí spuštění toku se spuštěním fáze kanálu (historie spuštění).

  8. Uložte a otestujte kanál.

Zde je screenshot kanonického schvalovacího procesu.

Tok kanonického schvalování

Nasazení jako vlastník fáze potrubí

Běžní uživatelé, včetně těch, kteří se používají jako servisní účty, mohou také sloužit jako delegáti. Konfigurace je ve srovnání s instančními objekty přímočařejší, ale nelze nasadit řešení obsahující informace o připojení pro připojení oAuth.

Chcete-li provést nasazení jako vlastník fáze kanálu, postupujte takto.

  1. Přiřaďte roli zabezpečení Správce kanálu nasazení vlastníkovi fáze kanálu v rámci hostitele kanálu a roli zabezpečení Správce systému v cílových prostředích.

    Role zabezpečení s nižšími oprávněními nemohou nasazovat moduly plug-in a další součásti kódu.

  2. Přihlaste se jako vlastník fáze kanálu. Tato nastavení může zapnout nebo upravit pouze vlastník. Vlastnictví týmu není povoleno.

  3. Ve fázi kanálu vyberte Je delegované nasazení a vyberte Vlastník fáze.

    • Identita vlastníka fáze kanálu je použita pro všechna nasazení v této fázi.
    • Podobně musí být tato identita použita ke schválení nasazení.

  4. V prostředí hostitele kanálů vytvořte cloudový tok v řešení.

    1. Vyberte trigger OnApprovalStarted.
    2. Vložte akce podle potřeby. Například schválení.
    3. Přidejte Provést nevázanou akci z Dataverse.
      Název akce: UpdateApprovalStatus (20 = dokončeno, 30 = zamítnuto)

Ukázky delegovaného nasazení

Důležité

Funkce poskytované v těchto ukázkách jsou teď nativně podporované v produktu, ale tyto ukázky můžou poskytnout přehled o rozšíření funkcí nativního sdílení.

Tyto soubory obsahují ukázkové cloudové toky pro správu schvalování a sdílení nasazených aplikací plátna a toků v cílovém prostředí. Stáhnout ukázkové řešení

Stáhněte a importujte spravované řešení do hostitelského prostředí kanálu. Řešení lze pak upravit, aby vyhovovalo potřebám vaší organizace.

Nejčastější dotazy

Jak mohou tvůrci přistupovat k nasazeným objektům v cílových prostředích?

Sdílení během nasazování je nativní funkcí delegovaných nasazení s instančními objekty. Správci tak nemusí ručně přiřazovat role zabezpečení a sdílet nasazené aplikace, toky, kopiloty atd. v rámci centra pro správu Power Platform. Místo toho musí správci pouze schválit žádost o nasazení a sdílení provádí automaticky systém.

Které typy objektů je možné sdílet během nasazování?

V současné době jsou podporovány role zabezpečení, aplikace plátna a cloudové toky. V závislosti na vaší oblasti může být k dispozici také sdílení Copilot.

Mohu aktualizovat sdílení, když se nasadí nové verze?

Sdílení je k dispozici při prvním nasazení objektu do cílového prostředí. Sdílení nelze aktualizovat, když se nasadí nové verze. Při prvním nasazení nezapomeňte vybrat příslušnou skupinu zabezpečení. Spravujte průběžný přístup prostřednictvím skupin zabezpečení.

Která oprávnění jsou přiřazena aplikacím plátna a tokům?

Kanály přiřazují minimální oprávnění potřebná ke spouštění aplikací a toků. Pokud jsou požadována vyšší oprávnění, je možné kanály rozšířit. Při přiřazování vyšších oprávnění doporučujeme zapnout funkci „Blokovat nespravovaná přizpůsobení“.

Mohou tvůrci sdílet s jednotlivými uživateli?

V současné době ne. Po prvním nasazení objektu doporučujeme spravovat přístup jednotlivých uživatelů prostřednictvím skupin zabezpečení.

Zobrazuje se mi chyba Fáze nasazení není vlastníkem instančního objektu (<AppId>). Pro delegovaná nasazení jej mohou používat pouze vlastníci instančního objektu.

Zajistěte, abyste byli vlastníkem podnikové aplikace (instančního objektu) v Microsoft Entra ID (dříve Azure AD). Můžete být pouze vlastníkem registrace aplikace, nikoli podnikové aplikace.

Podnikové aplikace

Proč u delegovaných nasazení na základě vlastníka fáze nemohu jako nasazujícího přiřadit jiného uživatele?

Z bezpečnostních důvodů se musíte přihlásit jako uživatel, který bude nastaven jako vlastník fáze kanálu. To zabrání přidání nesouhlasícího uživatele jako nasazujícího.

Mohou pro delegovaná nasazení založená na vlastníkovi fáze použít vlastní soubor DeploymentSettings.json?

V současné době není v prostředí tvůrce.

Proč jsou má delegovaná nasazení zaseknutá ve stavu čekající na vyřízení?

Všechna delegovaná nasazení čekají na schválení. Ujistěte se, že váš administrátor nakonfiguroval postup schvalování Power Automate nebo jinou automatizaci tak, že funguje správně a že nasazení bylo schváleno.

Kdo vlastní objekty nasazeného řešení?

Identita nasazení. U delegovaných nasazení je vlastníkem delegovaný instanční objekt nebo uživatel fáze kanálu.

Mohu přidat vlastní schvalovací kroky?

Ano. Například schválení Power Automate lze upravit tak, aby vyhovovala potřebám vaší organizace. Můžete také integrovat další schvalovací systémy.

Proč musím vlastnit instanční objekt?

To je vynuceno z bezpečnostních důvodů. Můžete také vytvořit kanály pomocí účtu služby a přidat stejný účet služby jako vlastníka. Další možností je přiřazení instančního objektu (uživatele aplikace) jako vlastníka fáze kanálu a jako vlastníka sebe sama (podniková aplikace) v Microsoft Entra. Přiřazení vlastnictví fáze kanálu k aplikaci se ale musí provést prostřednictvím rozhraní API Dataverse v hostiteli kanálů.

Zobrazuje se mi chyba Delegovaná nasazení typu 'ServicePrincipal' mohou být schváleny nebo zamítnuty instančním objektem konfigurovaným ve fázi nasazení.

Zajistěte, aby byla vlastní akce Dataverse UpdateApprovalStatus volána instančním objektem. Pokud používáte schválení Power Automate, ujistěte se, že je tato akce nakonfigurována tak, aby používala připojení instančního objektu delegáta.

Zobrazuje se mi chyba Delegovaná nasazení typu 'Vlastník' mohou být schváleny nebo zamítnuty vlastníkem konfigurovaným ve fázi nasazení.

Zajistěte, aby byla vlastní akce Dataverse UpdateApprovalStatus volána vlastníkem fáze kanálu. Pokud používáte schválení Power Automate, ujistěte se, že je tato akce nakonfigurována tak, aby používala připojení vlastníka fáze kanálu.

Zobrazuje se mi chyba v toku schválení Nelze najít atribut stavu schválení pro záznam fáze.

K tomu dojde, když stav schválení ještě není ve stavu čekající na vyřízení. Ujistěte se, že se jedná o delegované nasazení a že ve svém schvalovacím procesu používáte spouštěč OnApprovalStarted.

Mohu použít různé instanční objekty pro různé kanály a fáze?

Ano.