Záležitosti registrace aplikace
ALM Accelerator for Power Platform se při komunikaci s požadovanými službami spoléhá na registrace aplikace Microsoft Entra. Tento článek popisuje úvahy, které byste měli mít na paměti, a přístupy, které můžete použít při navrhování strategie registrace aplikací pro ALM Accelerator.
Požadovaná oprávnění rozhraní API
Musíte povolit registracím aplikací používat příslušná rozhraní API pro ALM Accelerator ke komunikaci s požadovanými službami. Požadavky na komunikaci s těmito službami závisí na funkčnosti aplikace ALM Accelerator.
Následující tabulka ukazuje, jaká oprávnění API jsou vyžadována pro různé funkce ALM Accelerator.
| Funkce | Oprávnění rozhraní API | Typ oprávnění | Popis |
|---|---|---|---|
| Vlastní konektor CustomAzureDevOps | Azure DevOps – zosobnění uživatele | Delegované | Aplikace plátna ALM Accelerator potřebuje oprávnění API Azure DevOps ke komunikaci s Azure DevOps. |
| Nasazení kanálů ověření | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Nasazení kanálů ověření | Power Apps Advisor – Analysis.All | Delegované | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Nasazení kanálů testu | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro nasazení řešení do testovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Nasazení kanálů produkce | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro nasazení řešení do produkčního prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Kanál exportu řešení | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro export řešení z prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Kanál importu řešení | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro import řešení ze správy zdrojového kódu Azure Git do prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Kanál odstranění řešení | Dynamics CRM – zosobnění uživatele | Delegované | Kanál pro odstranění řešení v prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
Úvahy o strategii registrace aplikací
Při navrhování strategie pro vytváření a správu registrací aplikací pro ALM Accelerator byste měli zvážit zabezpečení i údržbu.
Princip nejmenšího oprávnění
Z hlediska zabezpečení zvažte zásadu nejmenšího oprávnění. Každá registrace aplikace by měla mít co nejmenší oprávnění potřebná k provádění nezbytných operací.
Jednoduchost údržby
Z hlediska údržby zvažte strategii, která vyžaduje, abyste vykonali co nejmenší množství práce při údržbě registrací aplikací a služeb, které je používají. Jedním z úkolů údržby registrací aplikací je například rotace tajných klíčů – zrušení aktuálního tajného klíče a vytvoření nového. Každá služba, která používá registraci aplikace, musí být při rotaci tajného klíče překonfigurována. Čím více registrací aplikací používáte, tím více práce musíte udělat, abyste je udržovali.
Strategie registrace aplikace Azure
Strategie pro registraci aplikací s Microsoft Entra ID pro použití aplikací ALM Accelerator se pohybují od velmi jednoduchých až po velmi granulární.
Jedna registrace aplikace pro vše
Nejjednodušší strategií je vytvořit jednu registraci aplikace pro všechny vaše potřeby. S touto strategií používáte stejnou registraci aplikace pro vlastní konektor CustomAzureDevOps a všechna připojení služeb Azure DevOps, která potřebujete pro přístup ke svým prostředím Power Platform.
Přestože je tato strategie nejjednodušší na správu, porušuje zásadu nejmenšího privilegia. Jedna registrace aplikace má oprávnění k provádění všech požadovaných operací prostřednictvím vlastního konektoru a všech připojení služby Azure DevOps, která jste nakonfigurovali.
| Registrace aplikace | Oprávnění a typ rozhraní API | Popis |
|---|---|---|
| Registrace jedné aplikace pro všechny účely | Azure DevOps – zosobnění uživatele – delegováno | Aplikace plátna ALM Accelerator potřebuje oprávnění API Azure DevOps ke komunikaci s Azure DevOps. |
| Registrace jedné aplikace pro všechny účely | Dynamics CRM – zosobnění uživatele – delegováno | Průběh exportu řešení z vývojových prostředí tvůrců a nasazení řešení do ověřovacích, testovacích a produkčních prostředí vyžaduje oprávnění k použití rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace jedné aplikace pro všechny účely | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
Jedna registrace aplikace pro Azure DevOps a jedna pro Power Platform
Granulárnější strategií je vytvořit jednu registraci aplikace pro vlastní konektor CustomAzureDevOps a jednu pro komunikaci kanálů s prostředími Power Platform.
Tato strategie lépe odpovídá zásadě nejmenšího oprávnění. Přístup k rozhraní API Azure DevOps má pouze registrace aplikace, která se používá pro vlastní konektor CustomAzureDevOps, a pouze registrace aplikace, která se používá k připojení k Power Platform, může použít rozhraní API Power Platform (Dynamics CRM).
| Registrace aplikace | Oprávnění a typ rozhraní API | Popis |
|---|---|---|
| Registrace aplikace pro Azure DevOps | Azure DevOps – zosobnění uživatele – delegováno | Aplikace plátna ALM Accelerator potřebuje oprávnění API Azure DevOps ke komunikaci s Azure DevOps. |
| Registrace aplikace pro Power Platform | Dynamics CRM – zosobnění uživatele – delegováno | Průběh exportu řešení z vývojových prostředí tvůrců a nasazení řešení do ověřovacích prostředí vyžaduje oprávnění k použití rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
Jedna registrace aplikace pro Azure DevOps a více pro Power Platform
Ještě granulárnější strategií je vytvářet registrace aplikací pro přístupy k různým prostředím Power Platform. Můžete vytvořit jednu registraci aplikace pro každé prostředí, ke kterému potřebujete přistupovat pomocí kanálů ALM Accelerator. Nebo vytvořte jednu registraci aplikace pro každý projekt Power Platform, který podporujete pomocí ALM Accelerator.
Tato strategie dobře odpovídá zásadě nejmenšího oprávnění. Měli byste však myslet i na údržbu. Ujistěte se, že udržujete strukturovaný způsob, jak identifikovat, která registrace aplikace se používá pro každé prostředí. Tyto informace se vám budou hodit, když budete rotovat tajné klíče registrace aplikace.
Následující tabulka ukazuje, jak můžete vytvořit registrace aplikace pro každý projekt Power Platform k omezení přístupu pouze do relevantního prostředí.
| Registrace aplikace | Rozsah Power Platform | Oprávnění a typ rozhraní API | Popis |
|---|---|---|---|
| Registrace aplikace pro Azure DevOps | Nelze použít | Azure DevOps – zosobnění uživatele – delegováno | Aplikace plátna ALM Accelerator potřebuje oprávnění API Azure DevOps ke komunikaci s Azure DevOps. |
| Registrace aplikace pro Power Platform | Projekt 1 platformy | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Projekt 1 | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Vývojové prostředí tvůrce 1 | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro export řešení z prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Vývojové prostředí tvůrce 2 | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro export řešení z prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení |
Následující tabulka ukazuje, jak se můžete dále sladit s principem nejmenších oprávnění vytvořením registrací aplikací pro každé prostředí Power Platform.
| Registrace aplikace | Rozsah Power Platform | Oprávnění a typ rozhraní API | Popis |
|---|---|---|---|
| Registrace aplikace pro Azure DevOps | Nelze použít | Azure DevOps – zosobnění uživatele – delegováno | Aplikace plátna ALM Accelerator potřebuje oprávnění API Azure DevOps ke komunikaci s Azure DevOps. |
| Registrace aplikace pro Power Platform | Projekt 1 – prostředí ověření | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Projekt 1 – prostředí ověření | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Projekt 1 – testovací prostředí | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Projekt 1 – produkční prostředí | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 – prostředí ověření | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 – prostředí ověření | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 – testovací prostředí | Power Apps – Advisor – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání služby Power Apps Advisor ke spuštění úlohy kontroly řešení. |
| Registrace aplikace pro Power Platform | Projekt 2 – produkční prostředí | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro nasazení řešení do ověřovacího prostředí potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Vývojové prostředí tvůrce 1 | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro export řešení z prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |
| Registrace aplikace pro Power Platform | Vývojové prostředí tvůrce 2 | Dynamics CRM – zosobnění uživatele – delegováno | Kanál pro export řešení z prostředí vývoje tvůrce potřebuje oprávnění k používání rozhraní API Power Platform (Dynamics CRM) k provádění operací řešení. |