Del via

Hurtig start: Konfiguration af Microsoft Entra til en brugerdefineret connector

  • Artikel

I denne vejledning beskrives trinnene til at konfigurere et Microsoft Entra-program til brug sammen med en brugerdefineret connector i Power Query. Vi anbefaler, at connectorudviklere gennemser begreberne i Microsoft-identitetsplatform, før de fortsætter.

Da programordet bruges i flere kontekster på Microsoft Entra-platformen, bruges følgende ord i denne vejledning til at skelne mellem connector- og datakildeprogram-id'er:

  • Klientprogram: De Microsoft Entra-klient-id'er, der bruges af Power Query-connectoren.
  • Ressourceprogram: Registreringen af Microsoft Entra-programmet for det slutpunkt, som connectoren opretter forbindelse til (dvs. din tjeneste eller datakilde).

Aktivering af Microsoft Entra-understøttelse af en brugerdefineret connector omfatter:

  • Definition af et eller flere områder i det ressourceprogram, der bruges af connectoren.
  • Forhåndsgodkendelse af Klient-id'er for Power Query for at bruge disse områder.
  • Angivelse af de korrekte Resource værdier og Scopes i connectordefinitionen.

I denne vejledning forudsættes det, at et nyt ressourceprogram er registreret i Microsoft Entra. Udviklere med et eksisterende ressourceprogram kan springe til afsnittet Konfigurer et område .

Bemærk

Du kan finde flere oplysninger om brug af Microsoft Entra i din tjeneste eller dit program ved at gå til en af vejledningerne til hurtig start.

Registrer ressourceprogrammet

Datakilden eller API-slutpunktet bruger dette ressourceprogram til at etablere tillid mellem tjenesten og Microsoft-identitetsplatform.

Følg disse trin for at registrere et nyt ressourceprogram:

  1. Log på Microsoft Entra Administration som mindst administrator af cloudprogram.
  2. Gå til Identitetsprogrammer>>Appregistreringer, og vælg Ny registrering.
  3. Angiv et vist navn til programmet.
  4. For Understøttede kontotyper skal du kun vælge Konti i denne organisationsmappe, hvis dit slutpunkt kun er tilgængeligt fra din organisation. Vælg Konti i en hvilken som helst organisationsmappe for offentligt tilgængelige multitenanttjenester.
  5. Vælg Registrer.

Du behøver ikke at angive en omdirigerings-URI-værdi .

Siden Oversigt for programmet vises, når registreringen er fuldført. Notér mappe-id'et (lejeren) og værdierne for program-id'et (klienten), som de bruges i din tjenestes kildekode. Følg en af vejledningerne i Microsoft-identitetsplatform kodeeksempler, der ligner dit tjenestemiljø og din arkitektur, for at finde ud af, hvordan du konfigurerer og bruger dit nye program.

Angiv en program-id-URI

Før du kan konfigurere et område for dit slutpunkt, skal du angive en program-id-URI for dit ressourceprogram. Dette id bruges af feltet Resource for posten Aad i din connector. Værdien er angivet til rod-URL-adressen for tjenesten. Du kan også bruge den standard, der genereres af Microsoft Entra – api://{clientId} – hvor {clientId} er klient-id'et for dit ressourceprogram.

  1. Gå til siden Oversigt for ressourceprogrammet.
  2. På den midterste skærm under Essentials skal du vælge Tilføj en program-id-URI.
  3. Angiv en URI, eller acceptér standarden baseret på dit app-id.
  4. Vælg Gem, og fortsæt.

I eksemplerne i denne vejledning antages det, at du bruger URI-standardformatet for program-id'en (f.eks. - api://00001111-aaaa-2222-bbbb-3333cccc4444).

Konfigurer et område

Områder bruges til at definere tilladelser eller egenskaber til at få adgang til API'er eller data i din tjeneste. Listen over understøttede områder er tjenestespecifik. Du vil bestemme et minimalt sæt af områder, der kræves af din connector. Du skal forhåndsautorisere mindst ét område for klient-id'erne til Power Query.

Hvis der allerede er defineret områder for dit ressourceprogram, kan du gå videre til næste trin.

Hvis din tjeneste ikke bruger områdebaserede tilladelser, kan du stadig definere et enkelt område, der bruges af connectoren. Du kan (eventuelt) gøre brug af dette område i tjenestekoden fremover.

I dette eksempel definerer du et enkelt område kaldet Data.Read.

  1. Gå til siden Oversigt for ressourceprogrammet.
  2. Under Administrer skal du vælge Vis en API > Tilføj et område.
  3. Angiv Data.Read som områdenavn.
  4. Vælg indstillingen Administratorer og brugere for Hvem kan give samtykke.
  5. Udfyld de resterende viste navne- og beskrivelsesfelter.
  6. Kontrollér, at Tilstand er angivet til Aktiveret.
  7. Vælg Tilføj område.

Forhåndsgodkendelse af Power Query-klientprogrammerne

Power Query-connectors bruger to forskellige Microsoft Entra-klient-id'er. Forhåndsgodkendelse af områder for disse klient-id'er forenkler forbindelsesoplevelsen.

Client ID Programnavn Bruges af
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query til Excel Skrivebordsmiljøer
b52893c8-bc2e-47fc-918b-77022b299bbc Opdatering af Power BI-data Servicemiljøer

Sådan forhåndsautoriserer du Power Query-klient-id'erne:

  1. Gå til siden Oversigt for ressourceprogrammet.
  2. Under Administrer skal du vælge Vis en API.
  3. Vælg Tilføj et klientprogram.
  4. Angiv et af klient-id'erne til Power Query.
  5. Vælg de relevante godkendte områder.
  6. Vælg Tilføj program.
  7. Gentag trin 3-6 for hvert Power Query-klient-id.

Aktivér Aad-godkendelses kinden i din connector

Understøttelse af Microsoft Entra ID er aktiveret for din connector ved at føje godkendelsestypen Aad til din connectors datakildepost.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Erstat værdien {YourApplicationIdUri} med URI-værdien for program-id'et for dit ressourceprogram, api://00001111-aaaa-2222-bbbb-3333cccc4444f.eks. .

I dette eksempel:

  • AuthorizationUri: Url-adressen til Microsoft Entra, der bruges til at starte godkendelsesflowet. De fleste connectors kan hardcode denne værdi til https://login.microsoftonline.com/common/oauth2/authorize, men den kan også bestemmes dynamisk, hvis din tjeneste understøtter Azure B2B/Guest Accounts. Du kan få flere oplysninger ved at gå til eksempler.
  • Ressource: Program-id-URI'en for din connector.
  • Område: Brug .default-området til automatisk at modtage alle forhåndsgodkendte områder. Ved hjælp af .default kan du ændre de påkrævede connectorområder i registreringen af ressourceprogrammet uden at skulle opdatere din connector.

Du kan finde flere oplysninger og indstillinger til konfiguration af Microsoft Entra-support i din connector ved at gå til siden Med Microsoft Entra ID-godkendelseseksempler.

Byg din connector igen, og du bør nu kunne godkende med din tjeneste ved hjælp af Microsoft Entra-id.

Fejlfinding

I dette afsnit beskrives almindelige fejl, du kan få, hvis dit Microsoft Entra-program er konfigureret forkert.

Power Query-programmet er ikke forhåndsgodkendt

access_denied: AADSTS650057: Ugyldig ressource. Klienten har anmodet om adgang til en ressource, som ikke er angivet i de ønskede tilladelser i klientens programregistrering. Klientapp-id: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query til Excel). Ressourceværdi fra anmodning: 0000111-aaaa-2222-bbbb-3333cccc44444. Ressourceapp-id: 0000111-aaaa-2222-bbbb-3333cccc4444

Du får muligvis vist denne fejl, hvis dit ressourceprogram ikke har forhåndsgodkendt Power Query-klientprogrammerne. Følg trinnene for at forhåndsgodkende Power Query-klient-id'erne.

Connectors Aad-post mangler en områdeværdi

access_denied: AADSTS650053: Programmet 'Microsoft Power Query til Excel' bad om området 'user_impersonation', der ikke findes på ressourcen '0000111-aaaa-2222-bbbb-3333cccc4444'. Kontakt appleverandøren.

Power Query anmoder om user_impersonation området, hvis connectorens Aad post ikke definerer et Scope felt, eller værdien Scope er null. Du kan løse dette problem ved at definere en Scope værdi i connectoren. .default Det anbefales at bruge området, men du kan også angive områder på connectorniveau (f.eks. - Data.Read).

Område eller klientprogram kræver administratorgodkendelse

Skal have administratorgodkendelse. <lejeren> skal have tilladelse til at få adgang til ressourcer i din organisation, som kun en administrator kan tildele. Bed en administrator om at give tilladelse til denne app, før du kan bruge den.

En bruger modtager muligvis denne fejl under godkendelsesflowet, hvis ressourceprogrammet kræver administratorbegrænsede tilladelser , eller hvis brugerens lejer forhindrer brugere, der ikke er administratorer, i at give samtykke til anmodninger om nye programtilladelser. Du kan undgå dette problem ved at sikre, at din connector ikke kræver administratorbegrænsede områder og forhåndsgodkender Power Query-klient-id'erne for dit ressourceprogram.