Eine Dienstprinzipalanwendung über API erstellen (Vorschauversion)
[Dieser Artikel ist Teil der Dokumentation zur Vorschauversion und kann geändert werden.]
Die Authentifizierung über Benutzername und Kennwort ist oft nicht ideal, insbesondere mit dem Aufkommen der Multi-Factor-Authentifizierung. In solchen Fällen wird die Authentifizierung über den Dienstprinzipal (oder den Client-Anmeldeinformationsflow) bevorzugt. Sie können sich bei einem Dienstprinzipal authentifizieren, indem Sie eine neue Dienstprinzipalanwendung in Ihrem eigenen Microsoft Entra Mandanten registrieren und dann dieselbe Anwendung bei Power Platform registrieren.
Anmerkung
Die Power Platform CLI bietet eine einfachere Möglichkeit. Weitere Informationen finden Sie unter Erstellen einer Dienstprinzipalanwendung mit der PAC CLI.
Registrieren einer Administratorverwaltungsanwendung
Zunächst muss die Client-Anwendung in Ihrem Microsoft Entra-Mandanten registriert werden. Lesen Sie den Artikel Authentifizierung für Power Platform-APIs, um mehr darüber zu erfahren.
Nachdem Ihre Client-Anwendung in Microsoft Entra ID registriert wurde, muss sie auch bei Microsoft Power Platform registriert werden. Heute kann dies nicht mehr über das Power Platform Admin Center, sondern programmgesteuert über Power Platform-API oder PowerShell für Power Platform-Administratoren erfolgen. Ein Dienstprinzipal kann sich nicht selbst registrieren. Standardmäßig muss ein Administrator, der den Kontext für Benutzername und Kennwort verwendet, die Anwendung registrieren. Diese Einschränkung stellt sicher, dass die Anwendung nur von jemandem erstellt wird, der ein Administrator für den Mandanten ist.
Verwenden Sie zum Registrieren einer neuen Verwaltungsanwendung die folgende Anforderung mit einem Bearertoken, das über die Authentifizierung mit Benutzername und Passwort abgerufen wurde:
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Anforderungen als Dienstprinzipal einreichen
Nachdem der Diensprinzipal bei Microsoft Power Platform angemeldet ist, können Sie sich selbst als Dienstprinzipal authentifizieren. Verwenden Sie die folgende Anforderung, um Ihre Liste der Verwaltungsanwendungen abzufragen. Diese Anfrage kann ein Bearertoken verwenden, der mithilfe des Flows zur Authentifizierung von Clientanmeldeinformationen abgerufen wurde:
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Eine Dienstprinzipalanwendung mit PAC CLI erstellen
Verwenden Sie die Microsoft Power Platform CLI (PAC CLI), um die Microsoft Entra ID-Anwendung (SPN) und den zugehörigen Anwendungsbenutzer zur Dataverse Umgebung hinzuzufügen. Der admin create-service-principal Befehl erstellt Microsoft Entra die ID-Anwendung (SPN) und registriert sie auch mit der Microsoft Power Platform.
pac admin create-service-principal --environment <environment id>
Erfahren Sie mehr über den Befehl pac admin create-service-principal und wie Sie PAC-CLI installieren.
Einschränkungen des Dienstprinzipals
Derzeit funktioniert die Dienstprinzipalauthentifizierung für die Umgebungsverwaltung, die Mandanteneinstellungen und die Power Apps-Verwaltung. APIs im Zusammenhang mit Flow werden für die Authentifizierung von Serviceprinzipalen in Situationen unterstützt, in denen keine Lizenz erforderlich ist, da es nicht möglich ist, Serviceprinzipal-Identitäten in der Microsoft Entra ID Lizenzen zuzuweisen.
Dienstprinzipalanwendungen werden Power Platform ähnlich behandelt wie normale Benutzer mit der zugewiesenen Power Platform-Administratorrolle. Es können keine detaillierten Rollen und Berechtigungen zugewiesen werden, um ihre Fähigkeiten einzuschränken. Der Anwendung wird in Microsoft Entra ID keine besondere Rolle zugewiesen, da Plattformdienste auf diese Weise Anfragen von Dienstprinzipalen behandeln.