Überlegungen für die App-Registrierung
Der ALM Accelerator for Power Platform beruht auf Microsoft Entra-App-Registrierungen zur Kommunikation mit erforderlichen Diensten. In diesem Artikel werden Überlegungen erläutert, die Sie berücksichtigen sollten, und Ansätze, die Sie beim Entwerfen einer App-Registrierungsstrategie für den ALM Accelerator wählen können.
Erforderliche API-Berechtigungen
Sie müssen App-Registrierungen zulassen, um die relevanten APIs zu verwenden, die ALM Accelerator für die Kommunikation mit den erforderlichen Services benötigt. Die Anforderungen für die Kommunikation mit diesen Services hängen von der Funktionalität ab, die der ALM Accelerator bietet.
In der folgenden Tabelle zeigt die für die verschiedenen Funktionen von ALM Accelerator erforderlichen API-Berechtigungen.
| Funktionalität | API-Berechtigung | Berechtigungstyp | Beschreibung |
|---|---|---|---|
| Benutzerdefinierten CustomAzureDevOps-Connector | Azure DevOps - user_impersonation | Delegiert | Die ALM Accelerator Canvas-App benötigt Azure DevOps API-Berechtigungen für die Kommunikation mit Azure DevOps. |
| Überprüfungspipelines bereitstellen | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| Überprüfungspipelines bereitstellen | Power Apps Berater – Analysis.All | Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| Testpipelines bereitstellen | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Testumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| Produktionspipelines bereitstellen | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Produktionsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| Lösungspipeline exportieren | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Exportieren von Lösungen aus der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| Lösungspipeline importieren | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Importieren von Lösungen aus der Azure Git-Quellcodeverwaltung in die Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen |
| Lösungspipeline löschen | Dynamics CRM - user_impersonation | Delegiert | Die Pipeline zum Löschen von Lösungen in der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
Überlegungen zu einer App-Registrierungsstrategie
Beim Entwerfen Ihrer Strategie zum Erstellen und Verwalten von App-Registrierungen für ALM Accelerator sollten Sie sowohl Sicherheits- als auch Wartungsaspekte berücksichtigen.
Prinzip des geringsten Privilegs
Berücksichtigen Sie unter dem Gesichtspunkt der Sicherheit das Prinzip der geringsten Rechte. Eine Azure-App-Registrierung sollte über die geringsten Rechte verfügen, die zum Ausführen der notwendigen Vorgänge erforderlich sind.
Einfachheit der Wartung
Unter dem Gesichtspunkt der Wartung ziehen Sie eine Strategie in Betracht, bei der Sie möglichst wenig Arbeit aufwenden müssen, um App-Registrierungen und die Services zu warten, die sie verwenden. Eine der Aufgaben bei der Wartung von App-Registrierungen ist zum Beispiel die Geheimnisrotation, bei der das aktuelle Geheimnis widerrufen und ein neues erstellt wird. Jeder Service, der eine App-Registrierung verwendet, muss neu konfiguriert werden, wenn ein Geheimnis rotiert wird. Je mehr App-Registrierungen Sie verwenden, desto mehr Arbeit müssen Sie in die Wartung stecken.
Strategien für die Azure-App-Registrierung
Die Strategien zur Registrierung von Apps bei Microsoft Entra ID zur Verwendung durch den ALM Accelerator reichen von sehr einfachen bis sehr detaillierten.
Eine App-Registrierung für alles
Die einfachste Strategie besteht darin, eine einzige App-Registrierung für alle Ihre Bedürfnisse zu erstellen. Bei dieser Strategie verwenden Sie dieselbe App-Registrierung für den benutzerdefinierten CustomAzureDevOps-Connector und alle Azure DevOps-Serviceverbindungen, die Sie für den Zugriff auf Ihre Power Platform-Umgebungen benötigen.
Obwohl diese Strategie am einfachsten zu handhaben ist, verstößt sie gegen das Prinzip der geringsten Rechte. Eine App-Registrierung verfügt über Berechtigungen zum Ausführen aller erforderlichen Vorgänge über den benutzerdefinierten Connector und alle Azure DevOps Serviceverbindungen, die Sie konfiguriert haben.
| App-Registrierung | API-Berechtigung und -Typ | Beschreibung |
|---|---|---|
| Eine App-Registrierung für alle Zwecke | Azure DevOps - user_impersonation - Delegiert | Die ALM Accelerator Canvas-App benötigt Azure DevOps API-Berechtigungen für die Kommunikation mit Azure DevOps. |
| Eine App-Registrierung für alle Zwecke | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus Entwicklungsumgebungen von Erstellenden und zum Bereitstellen von Lösungen an die Überprüfungs-, Test- und Produktionsumgebungen muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsoperationen durchzuführen. |
| Eine App-Registrierung für alle Zwecke | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
Eine App-Registrierung für Azure DevOps und eine für Power Platform
Bei dieser detaillierteren Strategie wird eine App-Registrierung für den benutzerdefinierten CustomAzureDevOps-Connector und einer für die Pipelines für die Kommunikation mit Power Platform-Umgebungen erstellt.
Diese Strategie passt besser zum Prinzip der geringsten Rechte. Nur App-Registrierungen, die für den benutzerdefinierten CustomAzureDevOps-Connector verwendet werden, können auf die Azure DevOps-Api zuzugreifen, und nur die App-Registrierung, mit der eine Verbindung mit Power Platform hergestellt wird, kann die Power Platform-API (Dynamics CRM) verwenden.
| App-Registrierung | API-Berechtigung und -Typ | Beschreibung |
|---|---|---|
| App-Registrierung für Azure DevOps | Azure DevOps - user_impersonation - Delegiert | Die ALM Accelerator Canvas-App benötigt Azure DevOps API-Berechtigungen für die Kommunikation mit Azure DevOps. |
| App-Registrierung für Power Platform | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus Entwicklungsumgebungen von Erstellenden und zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsoperationen durchzuführen. |
| App-Registrierung für Power Platform | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
Eine App-Registrierung für Azure DevOps und mehrere für Power Platform
Bei einer noch detaillierteren Strategie werden App-Registrierungen für den Zugriff auf verschiedene Power Platform Umgebungen erstellt. Sie können für jede Umgebung, auf die Sie mithilfe der ALM Accelerator-Pipelines zugreifen müssen, eine App-Registrierung erstellen. Erstellen Sie andernfalls eine App-Registrierung für jedes Power Platform-Projekt, das Sie über den ALM Accelerator unterstützen.
Diese Strategie passt sehr gut zum Prinzip der geringsten Rechte. Allerdings sollten Sie auch an die Wartung denken. Stellen Sie sicher, dass Sie eine strukturierte Methode beibehalten, um zu identifizieren, welche App-Registrierung für jede Umgebung verwendet wird. Diese Informationen werden sich als praktisch erweisen, wenn Sie Geheimnisse für App-Registrierungen rotieren.
In der folgenden Tabelle wird gezeigt, wie Sie App-Registrierungen für jedes Power Platform-Projekt erstellen, um den Zugriff auf relevante Umgebungen zu beschränken.
| App-Registrierung | Power Platform-Umfang | API-Berechtigung und -Typ | Beschreibung |
|---|---|---|---|
| App-Registrierung für Azure DevOps | Nicht zutreffend | Azure DevOps - user_impersonation - Delegiert | Die ALM Accelerator Canvas-App benötigt Azure DevOps API-Berechtigungen für die Kommunikation mit Azure DevOps. |
| App-Registrierung für Power Platform | Plattform Projekt 1 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Projekt 1 | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Projekt 2 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Projekt 2 | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Herstellerentwicklungsumgebung 1 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Herstellerentwicklungsumgebung 2 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge vorzunehmen |
In der folgenden Tabelle wird gezeigt, wie Sie das Prinzip der geringsten Rechte noch weiter anpassen können, indem Sie App-Registrierungen für jede einzelne Power Platform-Umgebung erstellen.
| App-Registrierung | Power Platform-Umfang | API-Berechtigung und -Typ | Beschreibung |
|---|---|---|---|
| App-Registrierung für Azure DevOps | Nicht zutreffend | Azure DevOps - user_impersonation - Delegiert | Die ALM Accelerator Canvas-App benötigt Azure DevOps API-Berechtigungen für die Kommunikation mit Azure DevOps. |
| App-Registrierung für Power Platform | Projekt 1 - Validierungsumgebung | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Projekt 1 - Validierungsumgebung | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Projekt 1 - Testumgebung | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Projekt 1 - Produktionsumgebung | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Projekt 2 - Validierungsumgebung | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Projekt 2 - Validierungsumgebung | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Projekt 2 - Testumgebung | Power Apps - Berater - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden des Power Apps Berater-Services verfügen, um die Lösungsüberprüfungsaufgabe auszuführen. |
| App-Registrierung für Power Platform | Projekt 2 - Produktionsumgebung | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Bereitstellen von Lösungen in der Prüfungsumgebung muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Herstellerentwicklungsumgebung 1 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |
| App-Registrierung für Power Platform | Herstellerentwicklungsumgebung 2 | Dynamics CRM - user_impersonation - Delegiert | Die Pipeline zum Exportieren von Lösungen aus der Entwicklungsumgebung des Erstellenden muss über Berechtigungen zum Verwenden der Power Platform-API (Dynamics CRM) verfügen, um Lösungsvorgänge durchzuführen. |