Rychlý start: Konfigurace Microsoft Entra pro vlastní konektor
Tato příručka popisuje postup konfigurace aplikace Microsoft Entra pro použití s vlastním konektorem Power Query. Než budete pokračovat, doporučujeme vývojářům konektorů zkontrolovat koncepty platformy Microsoft Identity Platform .
Vzhledem k tomu, že se termín aplikace používá v několika kontextech platformy Microsoft Entra, používá tato příručka následující termíny k rozlišení mezi ID aplikací konektoru a zdroje dat:
- Klientská aplikace: ID klienta Microsoft Entra používané konektorem Power Query.
- Aplikace prostředků: Registrace aplikace Microsoft Entra pro koncový bod, ke kterému se konektor připojuje (to znamená ke službě nebo zdroji dat).
Povolení podpory Microsoft Entra pro vlastní konektor zahrnuje:
- Definování jednoho nebo více oborů v aplikaci prostředků, kterou konektor používá.
- Předvytváření ID klientů Power Query pro použití těchto oborů
- Nastavení správných
Resource
hodnot aScopes
hodnot v definici konektoru
V této příručce se předpokládá, že v Microsoft Entra je zaregistrovaná nová aplikace prostředků. Vývojáři s existující aplikací prostředků můžou přeskočit do části Konfigurace oboru .
Poznámka:
Další podrobnosti o používání Microsoft Entra ve vaší službě nebo aplikaci najdete v některém z průvodců rychlým startem.
Registrace aplikace prostředků
Váš zdroj dat nebo koncový bod rozhraní API používá tuto aplikaci prostředků k navázání vztahu důvěryhodnosti mezi vaší službou a platformou Microsoft Identity Platform.
Pokud chcete zaregistrovat novou aplikaci prostředků, postupujte takto:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.
- Zadejte zobrazovaný název aplikace.
- U podporovaných typů účtů vyberte Účty v tomto organizačním adresáři jenom v případě, že je váš koncový bod přístupný jenom z vaší organizace. V libovolném organizačním adresáři vyberte účty pro veřejně přístupné služby s více tenanty.
- Vyberte Zaregistrovat.
Nemusíte zadávat hodnotu identifikátoru URI přesměrování.
Po dokončení registrace se zobrazí stránka Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a hodnoty ID aplikace (klienta), protože se použijí ve zdrojovém kódu vaší služby. Postupujte podle jednoho z příruček v ukázkách kódu platformy Microsoft Identity Platform, které se podobají vašemu prostředí a architektuře služby, abyste zjistili, jak nakonfigurovat a používat novou aplikaci.
Nastavení identifikátoru URI ID aplikace
Než budete moct nakonfigurovat obor pro váš koncový bod, musíte pro aplikaci prostředků nastavit identifikátor URI ID aplikace. Toto ID bude použito Resource
polem záznamu ve vašem konektoru Aad
. Hodnota je nastavená na kořenovou adresu URL vaší služby. Můžete také použít výchozí hodnotu vygenerovanou aplikací Microsoft Entra – api://{clientId}
kde {clientId}
je ID klienta vaší aplikace prostředků.
- Přejděte na stránku Přehled aplikace prostředků.
- Na prostřední obrazovce v části Základy vyberte Přidat identifikátor URI ID aplikace.
- Zadejte identifikátor URI nebo přijměte výchozí hodnotu na základě ID vaší aplikace.
- Vyberte Uložit a pokračovat.
Příklady v této příručce předpokládají, že používáte výchozí formát identifikátoru URI ID aplikace (například - api://00001111-aaaa-2222-bbbb-3333cccc4444
).
Konfigurace oboru
Obory slouží k definování oprávnění nebo možností pro přístup k rozhraním API nebo datům ve vaší službě. Seznam podporovaných oborů je specifický pro službu. Chcete určit minimální sadu oborů vyžadovaných konektorem. Pro ID klienta Power Query je potřeba předem vytvořit alespoň jeden obor.
Pokud už vaše aplikace prostředků má definované obory, můžete přejít k dalšímu kroku.
Pokud vaše služba nepoužívá oprávnění založená na oboru, můžete stále definovat jeden obor, který konektor používá. Tento obor můžete (volitelně) využít v kódu služby v budoucnu.
V tomto příkladu definujete jeden obor s názvem Data.Read.
- Přejděte na stránku Přehled aplikace prostředků.
- V části Spravovat vyberte Zveřejnit rozhraní API > Přidat obor.
- Jako název oboru zadejte Data.Read.
- U možnosti Kdo může souhlasit, vyberte možnost Správci a uživatelé .
- Vyplňte zbývající zobrazované jméno a popisová pole.
- Ujistěte se, že je stav nastavený na Povoleno.
- Vyberte Přidat rozsah.
Předběžné ověření klientských aplikací Power Query
Konektory Power Query používají dvě různá ID klienta Microsoft Entra. Předběžné ověření rozsahů pro tato ID klientů zjednodušuje možnosti připojení.
Client ID | Název aplikace | Používá |
---|---|---|
a672d62c-fc7b-4e81-a576-e60dc46e951d | Power Query pro Excel | Desktopová prostředí |
b52893c8-bc2e-47fc-918b-77022b299bbc | Aktualizace dat Power BI | Prostředí služby |
Předběžné ověření ID klienta Power Query:
- Přejděte na stránku Přehled aplikace prostředků.
- V části Spravovat vyberte Zveřejnit rozhraní API.
- Vyberte Přidat klientskou aplikaci.
- Zadejte jedno z ID klienta Power Query.
- Vyberte odpovídající autorizované obory.
- Vyberte Přidat aplikaci.
- Opakujte kroky 3 až 6 pro každé ID klienta Power Query.
Povolení typu ověřování Aad v konektoru
Podpora Microsoft Entra ID je pro váš konektor povolená přidáním Aad
typu ověřování do záznamu zdroje dat vašeho konektoru.
MyConnector = [
Authentication = [
Aad = [
AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
Resource = "{YourApplicationIdUri}"
Scope = ".default"
]
]
];
{YourApplicationIdUri}
Hodnotu nahraďte hodnotou identifikátoru URI ID aplikace pro vaši aplikaci prostředků, api://00001111-aaaa-2222-bbbb-3333cccc4444
například .
V tomto příkladu:
- AuthorizationUri: Adresa URL Microsoft Entra použitá k zahájení toku ověřování.
Většina konektorů může tuto hodnotu pevně zakódovat
https://login.microsoftonline.com/common/oauth2/authorize
, ale dá se také určit dynamicky, pokud vaše služba podporuje účty Azure B2B/Guest. Další informace najdete v ukázkách. - Prostředek: Identifikátor URI ID aplikace vašeho konektoru.
- Obor: Pomocí výchozího oboru můžete automaticky přijímat všechny předem autorizované obory. Použití
.default
umožňuje změnit požadované rozsahy konektorů v registraci aplikace prostředků, aniž byste museli aktualizovat konektor.
Další podrobnosti a možnosti konfigurace podpory Microsoft Entra ve vašem konektoru najdete na stránce s ukázkami ověřování ID Microsoft Entra.
Znovu sestavte konektor a teď byste měli být schopni provést ověření ve službě pomocí ID Microsoft Entra.
Řešení problému
Tato část popisuje běžné chyby, které se můžou zobrazit, pokud je vaše aplikace Microsoft Entra chybně nakonfigurovaná.
Aplikace Power Query nebyla předem autorizována.
access_denied: AADSTS650057: Neplatný prostředek. Klient požádal o přístup k prostředku, který není uvedený v požadovaných oprávněních v registraci aplikace klienta. ID klientské aplikace: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query pro Excel). Hodnota zdroje z požadavku: 00001111-aaaa-2222-bbbb-3333cccc4444. ID aplikace prostředku: 00001111-aaaa-2222-bbbb-3333cccc4444
Tato chyba se může zobrazit, pokud vaše aplikace prostředků předem neověřila klientské aplikace Power Query. Postupujte podle pokynů k předběžnému ověření ID klienta Power Query.
V záznamu Aad konektoru chybí hodnota Oboru.
access_denied: AADSTS650053: Aplikace Microsoft Power Query pro Excel požádala o obor user_impersonation, který v prostředku 000011111-aaaa-2222-bbbb-3333cccc44444 neexistuje. Obraťte se na dodavatele aplikace.
Power Query požádá o user_impersonation
obor, pokud záznam konektoru Aad
nedefinuje Scope
pole nebo Scope
hodnota je null
. Tento problém můžete vyřešit definováním Scope
hodnoty v konektoru. .default
Použití oboru se doporučuje, ale můžete také zadat obory na úrovni konektoru (například - Data.Read
).
Obor nebo klientská aplikace vyžaduje schválení správcem.
Potřebujete schválení správcem. <tenant> potřebuje oprávnění pro přístup k prostředkům ve vaší organizaci, které může udělit jenom správce. Než ji budete moct používat, požádejte správce, aby udělil oprávnění této aplikaci.
Pokud vaše aplikace prostředků vyžaduje oprávnění správce nebo tenant uživatele brání uživatelům, kteří nejsou správci, nemusí souhlasit s novými žádostmi o oprávnění aplikace. Tomuto problému se můžete vyhnout tím, že váš konektor nevyžaduje žádné obory s omezeným přístupem správce a předběžné ověření ID klienta Power Query pro vaši aplikaci prostředků.