Creación de una aplicación de entidad de servicio usando API (versión preliminar)
[Este artículo es documentación preliminar y está sujeto a modificaciones].
La autenticación mediante nombre de usuario y contraseña a menudo no es lo ideal, especialmente con el aumento de la autenticación multifactor. En tales casos, se prefiere la autenticación de la entidad de servicio (o el flujo de credenciales del cliente). Para autenticarse con una entidad de servicio, registre una nueva aplicación de entidad de servicio en su propio inquilino de Microsoft Entra y, a continuación, registre esa misma aplicación con Power Platform.
Nota
La CLI de Power Platform proporciona una manera más fácil. Más información en Creación de una aplicación de entidad de servicio mediante PAC CLI.
Registro de una aplicación de gestión administrativa
Primero, la aplicación cliente debe estar registrada en su inquilino de Microsoft Entra. Para más información, revise el artículo Autenticación para API de Power Platform.
Después de que su solicitud de cliente esté registrada en Microsoft Entra ID, también debe estar registrado con Microsoft Power Platform. Hoy, no hay forma de hacer esto a través del centro de administración de Power Platform; debe hacerse mediante programación a través de la API de Power Platform o PowerShell para administradores de Power Platform. Una entidad de servicio no se puede registrar a sí misma. Por diseño, un administrador que utilice el contexto de nombre de usuario y contraseña debe registrar la aplicación. Esto garantiza que la aplicación es creada a sabiendas por alguien que es administrador del inquilino.
Para registrar una nueva aplicación de administración, utilice la siguiente Solicitud con un token de portador obtenido mediante autenticación de nombre de usuario y contraseña:
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Realizar solicitudes como principal de servicio
Ahora que la entidad de servicio se ha registrado con Microsoft Power Platform, puede autenticarse como la propia entidad de servicio. Utilice la siguiente solicitud para consultar su lista de aplicaciones de administración. Esta solicitud puede usar un token de portador obtenido mediante el flujo de autenticación de credenciales de cliente:
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Creación de una aplicación de entidad de servicio usando PAC CLI
Utilice Microsoft Power Platform CLI (PAC CLI) para agregar una aplicación de Microsoft Entra ID (SPN) y un usuario de aplicación asociado al entorno Dataverse. El comando admin create-service-principal crea una aplicación Microsoft Entra ID (SPN) y también la registra con Microsoft Power Platform.
pac admin create-service-principal --environment <environment id>
más información sobre el comando pac admin create-service-principal y cómo instalar PAC CLI.
Limitaciones de los directores de servicio
Actualmente, la autenticación de la entidad de servicio funciona para la administración del entorno, la configuración de inquilinos y administración de Power Apps. Las API relacionadas con Flow son compatibles con la autenticación de entidad de servicio en situaciones en las que no se requiere una licencia, ya que no es posible asignar licencias a identidades de entidad de servicio en Microsoft Entra ID.
Las aplicaciones de entidad de servicio se tratan dentro de Power Platform de forma similar a cómo se tratan los usuarios normales con el rol de administrador de Power Platform asignado. No se pueden asignar roles y permisos granulares para limitar sus capacidades. La aplicación no tiene asignada ningún rol especial en Microsoft Entra ID, ya que así es como los servicios de la plataforma tratan las solicitudes realizadas por las entidades de servicio.