Κοινή χρήση μέσω

Γρήγορη εκκίνηση: Ρύθμιση παραμέτρων του Microsoft Entra για μια προσαρμοσμένη σύνδεση

  • Άρθρο

Αυτός ο οδηγός περιγράφει τα βήματα για τη ρύθμιση μιας εφαρμογής Microsoft Entra για χρήση με μια προσαρμοσμένη σύνδεση Power Query. Συνιστάται οι προγραμματιστές συνδέσεων να εξετάσουν τις έννοιες της πλατφόρμας ταυτότητας της Microsoft πριν προχωρήσουν.

Δεδομένου ότι ο όρος εφαρμογής χρησιμοποιείται σε πολλά περιβάλλοντα στην πλατφόρμα Microsoft Entra, αυτός ο οδηγός χρησιμοποιεί τους ακόλουθους όρους για να διακρίνει μεταξύ των αναγνωριστικών εφαρμογών σύνδεσης και προέλευσης δεδομένων:

  • Εφαρμογή προγράμματος-πελάτη: Τα αναγνωριστικά προγράμματος-πελάτη της Microsoft Entra που χρησιμοποιούνται από τη σύνδεση Power Query.
  • Εφαρμογή πόρου: Η καταχώρηση εφαρμογής Microsoft Entra για το τελικό σημείο στο οποίο συνδέεται η σύνδεση (δηλαδή, η υπηρεσία σας ή η προέλευση δεδομένων).

Η ενεργοποίηση της υποστήριξης του Microsoft Entra για μια προσαρμοσμένη σύνδεση περιλαμβάνει τα εξής:

  • Ορισμός μίας ή περισσότερων εμβέλειων στην εφαρμογή πόρου που χρησιμοποιείται από τη σύνδεση.
  • Προέγκριση των αναγνωριστικών προγράμματος-πελάτη Power Query για χρήση αυτών των εμβέλειων.
  • Ορισμός των σωστών Resource τιμών και Scopes στον ορισμό σύνδεσης.

Αυτός ο οδηγός προϋποθέτει ότι μια νέα εφαρμογή πόρων έχει καταχωρηθεί στο Microsoft Entra. Οι προγραμματιστές με μια υπάρχουσα εφαρμογή πόρων μπορούν να μεταπηδούν στην ενότητα Ρύθμιση παραμέτρων εμβέλειας .

Σημείωμα

Για περισσότερες λεπτομέρειες σχετικά με τη χρήση του Microsoft Entra στην υπηρεσία ή την εφαρμογή σας, μεταβείτε σε έναν από τους οδηγούς Γρήγορης εκκίνησης.

Καταχώρηση της εφαρμογής πόρου

Η προέλευση δεδομένων ή το τελικό σημείο API σας χρησιμοποιεί αυτή την εφαρμογή πόρων για να δημιουργήσει αξιοπιστία μεταξύ της υπηρεσίας σας και της πλατφόρμας ταυτότητας της Microsoft.

Ακολουθήστε τα παρακάτω βήματα για να καταχωρήσετε μια νέα εφαρμογή πόρων:

  1. Εισέλθετε στο κέντρο διαχείρισης του Microsoft Entra ως τουλάχιστον διαχειριστής εφαρμογών cloud.
  2. Μεταβείτε στην ενότητα Καταχωρήσεις εφαρμογών ταυτότητας>> και επιλέξτε Νέα καταχώρηση.
  3. Εισαγάγετε ένα εμφανιζόμενο όνομα για την εφαρμογή σας.
  4. Για τους υποστηριζόμενους τύπους λογαριασμού, επιλέξτε Λογαριασμοί σε αυτόν τον κατάλογο οργανισμού μόνο εάν το τελικό σημείο σας είναι προσβάσιμο μόνο μέσα από τον οργανισμό σας. Επιλέξτε Λογαριασμοί σε οποιονδήποτε κατάλογο οργανισμού για δημόσια προσβάσιμες, πολλαπλών υπηρεσιών.
  5. Επιλέξτε Καταχώρηση.

Δεν χρειάζεται να καθορίσετε μια τιμή URI ανακατεύθυνσης.

Η σελίδα Επισκόπηση της εφαρμογής εμφανίζεται όταν ολοκληρωθεί η καταχώρηση. Σημειώστε το αναγνωριστικό καταλόγου (μισθωτή) και τις τιμές αναγνωριστικού εφαρμογής (πελάτη), καθώς θα χρησιμοποιηθούν στον πηγαίο κώδικα της υπηρεσίας σας. Ακολουθήστε έναν από τους οδηγούς στα δείγματα κώδικα πλατφόρμας ταυτότητας της Microsoft που μοιάζουν με το περιβάλλον και την αρχιτεκτονική της υπηρεσίας σας για να προσδιορίσετε τον τρόπο ρύθμισης παραμέτρων και χρήσης της νέας εφαρμογής σας.

Ορισμός URI αναγνωριστικού εφαρμογής

Για να μπορέσετε να ρυθμίσετε μια εμβέλεια για το τελικό σημείο σας, πρέπει να ορίσετε ένα URI αναγνωριστικού εφαρμογής για την εφαρμογή πόρου σας. Αυτό το αναγνωριστικό θα χρησιμοποιηθεί από το Resource πεδίο της Aad εγγραφής στη σύνδεσή σας. Η τιμή ορίζεται στη διεύθυνση URL ρίζας της υπηρεσίας σας. Μπορείτε επίσης να χρησιμοποιήσετε την προεπιλογή που δημιουργείται από το Microsoft Entra - api://{clientId} - όπου {clientId} είναι το αναγνωριστικό προγράμματος-πελάτη της εφαρμογής πόρου σας.

  1. Μεταβείτε στη σελίδα Επισκόπηση της εφαρμογής πόρου.
  2. Στην κεντρική οθόνη, στην περιοχή Essentials, επιλέξτε Προσθήκη αναγνωριστικού εφαρμογής URI.
  3. Εισαγάγετε ένα URI ή αποδεχτείτε την προεπιλογή με βάση το αναγνωριστικό εφαρμογής σας.
  4. Επιλέξτε Αποθήκευση και συνέχεια.

Τα παραδείγματα σε αυτόν τον οδηγό προϋποθέτουν ότι χρησιμοποιείτε την προεπιλεγμένη μορφή URI αναγνωριστικού εφαρμογής (για παράδειγμα - api://00001111-aaaa-2222-bbbb-3333cccc4444).

Ρύθμιση παραμέτρων εμβέλειας

Οι εμβέλειες χρησιμοποιούνται για τον ορισμό δικαιωμάτων ή δυνατοτήτων για πρόσβαση σε API ή δεδομένα στην υπηρεσία σας. Η λίστα των υποστηριζόμενων εμβέλειων αφορά συγκεκριμένη υπηρεσία. Θέλετε να προσδιορίσετε ένα ελάχιστο σύνολο εμβέλειων που απαιτούνται από τη σύνδεσή σας. Πρέπει να εξουσιοδοτήσετε εκ των προτέρων τουλάχιστον μία εμβέλεια για τα αναγνωριστικά προγράμματος-πελάτη Power Query.

Εάν η εφαρμογή πόρου σας έχει ήδη καθορισμένες εμβέλειες, μπορείτε να προχωρήσετε στο επόμενο βήμα.

Εάν η υπηρεσία σας δεν χρησιμοποιεί δικαιώματα που βασίζονται σε εμβέλεια, εξακολουθείτε να μπορείτε να ορίσετε μία εμβέλεια που χρησιμοποιείται από τη σύνδεση. Μπορείτε (προαιρετικά) να χρησιμοποιήσετε αυτή την εμβέλεια στον κωδικό υπηρεσίας σας στο μέλλον.

Σε αυτό το παράδειγμα, ορίζετε μια μοναδική εμβέλεια με την ονομασία Data.Read.

  1. Μεταβείτε στη σελίδα Επισκόπηση της εφαρμογής πόρου.
  2. Στην περιοχή Διαχείριση, επιλέξτε Έκθεση API > Προσθήκη εμβέλειας.
  3. Για όνομα εμβέλειας, πληκτρολογήστε Data.Read.
  4. Για Ποιοι μπορούν να δίνουν τη συγκατάθεσή τους, επιλέξτε Διαχειριστές και χρήστες .
  5. Συμπληρώστε το υπόλοιπο εμφανιζόμενο όνομα και τα πλαίσια περιγραφής.
  6. Βεβαιωθείτε ότι η State έχει οριστεί σε Ενεργοποιημένη.
  7. Επιλέξτε Προσθήκη πεδίου.

Προέγκριση των εφαρμογών προγράμματος-πελάτη Power Query

Οι συνδέσεις Power Query χρησιμοποιούν δύο διαφορετικά αναγνωριστικά προγράμματος-πελάτη Microsoft Entra. Η προέγκριση εμβέλειων για αυτά τα αναγνωριστικά προγράμματος-πελάτη απλοποιεί την εμπειρία σύνδεσης.

Αναγνωριστικό πελάτη Όνομα εφαρμογής Χρησιμοποιείται από
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query για Excel Περιβάλλοντα επιφάνειας εργασίας
b52893c8-bc2e-47fc-918b-77022b299bbc Ανανέωση δεδομένων Του Power BI Περιβάλλοντα υπηρεσίας

Για να εξουσιοδοτήσετε εκ των προτέρων τα αναγνωριστικά προγράμματος-πελάτη Power Query:

  1. Μεταβείτε στη σελίδα Επισκόπηση της εφαρμογής πόρου.
  2. Στην περιοχή Διαχείριση, επιλέξτε Έκθεση API.
  3. Επιλέξτε Προσθήκη εφαρμογής προγράμματος-πελάτη.
  4. Εισαγάγετε ένα από τα αναγνωριστικά προγράμματος-πελάτη του Power Query.
  5. Επιλέξτε τις κατάλληλες Εξουσιοδοτημένες εμβέλειες.
  6. Επιλέξτε Προσθήκη εφαρμογής.
  7. Επαναλάβετε τα βήματα 3 - 6 για κάθε αναγνωριστικό προγράμματος-πελάτη Power Query.

Ενεργοποίηση του τύπου ελέγχου ταυτότητας Aad στη σύνδεσή σας

Η υποστήριξη αναγνωριστικού Microsoft Entra ενεργοποιείται για τη σύνδεσή σας, προσθέτοντας το Aad είδος ελέγχου ταυτότητας στην εγγραφή προέλευσης δεδομένων της σύνδεσής σας.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Αντικαταστήστε την {YourApplicationIdUri} τιμή με την τιμή URI αναγνωριστικού εφαρμογής για την εφαρμογή του πόρου σας, για παράδειγμα, api://00001111-aaaa-2222-bbbb-3333cccc4444.

Σε αυτό το παράδειγμα:

  • AuthorizationUri: Η διεύθυνση URL του Microsoft Entra που χρησιμοποιείται για την εκκίνηση της ροής ελέγχου ταυτότητας. Οι περισσότερες συνδέσεις μπορούν να κωδικοποιήσουν αυτήν την τιμή σε https://login.microsoftonline.com/common/oauth2/authorize, όμως μπορούν επίσης να καθοριστούν δυναμικά εάν η υπηρεσία σας υποστηρίζει λογαριασμούς Azure B2B/Επισκέπτες. Για περισσότερες πληροφορίες, μεταβείτε στα δείγματα.
  • Πόρος: Το αναγνωριστικό εφαρμογής URI της σύνδεσής σας.
  • Εμβέλεια: Χρησιμοποιήστε την .προεπιλεγμένη εμβέλεια για να λαμβάνετε αυτόματα όλες τις εκ των προτέρων εξουσιοδοτημένες εμβέλειες. Η χρήση .default της σάς επιτρέπει να αλλάζετε τις απαιτούμενες εμβέλειες σύνδεσης στην καταχώρηση της εφαρμογής πόρου, χωρίς να χρειάζεται να ενημερώσετε τη σύνδεσή σας.

Για περισσότερες λεπτομέρειες και επιλογές για τη ρύθμιση παραμέτρων της υποστήριξης Microsoft Entra στη σύνδεσή σας, μεταβείτε στη σελίδα δειγμάτων ελέγχου ταυτότητας αναγνωριστικού Microsoft Entra.

Επαναδόμηση της σύνδεσής σας και θα πρέπει τώρα να μπορείτε να κάνετε έλεγχο ταυτότητας με την υπηρεσία σας χρησιμοποιώντας το αναγνωριστικό Του Microsoft Entra.

Αντιμετώπιση προβλημάτων

Αυτή η ενότητα περιγράφει συνήθη σφάλματα που μπορεί να λάβετε εάν η εφαρμογή σας Microsoft Entra έχει ρυθμιστεί εσφαλμένα.

Η εφαρμογή Power Query δεν έχει προεγκρισθεί

access_denied: AADSTS650057: Μη έγκυρος πόρος. Το πρόγραμμα-πελάτης έχει ζητήσει πρόσβαση σε έναν πόρο που δεν παρατίθεται στα δικαιώματα που ζητήθηκαν στην καταχώρηση εφαρμογής του προγράμματος-πελάτη. Αναγνωριστικό εφαρμογής προγράμματος-πελάτη: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query για Excel). Τιμή πόρου από αίτηση: 00001111-aaaa-2222-bbbb-3333cc444. Αναγνωριστικό εφαρμογής πόρου: 00001111-aaaa-2222-bbbb-3333cc4444

Αυτό το σφάλμα ενδέχεται να εμφανιστεί εάν η εφαρμογή πόρων σας δεν έχει προεγκρίνει τις εφαρμογές-πελάτες Power Query. Ακολουθήστε τα βήματα για να εξουσιοδοτήσετε εκ των προτέρων τα αναγνωριστικά προγράμματος-πελάτη του Power Query.

Από την εγγραφή Aad της σύνδεσης απουσιάζει μια τιμή εμβέλειας

access_denied: AADSTS650053: Η εφαρμογή "Microsoft Power Query για Excel" ζήτησε εμβέλεια "user_impersonation" που δεν υπάρχει στον πόρο "00001111-aaaa-2222-bbbb-3333cccc4444". Επικοινωνήστε με τον προμηθευτή της εφαρμογής.

Το Power Query ζητά την user_impersonation εμβέλεια εάν η εγγραφή της Aad σύνδεσης δεν ορίζει ένα Scope πεδίο ή η Scope τιμή είναι null. Μπορείτε να επιλύσετε αυτό το πρόβλημα ορίζοντας μια Scope τιμή στη σύνδεση. Συνιστάται η χρήση της .default εμβέλειας, αλλά μπορείτε επίσης να καθορίσετε εμβέλειες στο επίπεδο σύνδεσης (για παράδειγμα - Data.Read).

Η εμβέλεια ή η εφαρμογή προγράμματος-πελάτη απαιτεί έγκριση διαχειριστή

Χρειάζεστε έγκριση διαχειριστή. <Ο μισθωτής> χρειάζεται δικαιώματα πρόσβασης σε πόρους στον οργανισμό σας που μόνο ένας διαχειριστής μπορεί να εκχωρήσει. Ζητήστε από έναν διαχειριστή να εκχωρήσει δικαιώματα σε αυτή την εφαρμογή προτού τη χρησιμοποιήσετε.

Ένας χρήστης μπορεί να λάβει αυτό το σφάλμα κατά τη διάρκεια της ροής ελέγχου ταυτότητας, εάν η εφαρμογή πόρου απαιτεί δικαιώματα με περιορισμούς διαχειριστή ή ο μισθωτής του χρήστη δεν επιτρέπει σε μη διαχειριστές να συναινέσουν σε νέες αιτήσεις δικαιωμάτων εφαρμογής. Μπορείτε να αποφύγετε αυτό το πρόβλημα διασφαλίζοντας ότι η σύνδεσή σας δεν απαιτεί εμβέλειες περιορισμένες από τον διαχειριστή και εξουσιοδοτώντας εκ των προτέρων τα αναγνωριστικά προγράμματος-πελάτη Power Query για την εφαρμογή πόρου σας.