Jaa

Palvelun päänimen sovelluksen luominen PowerShellin avulla

  • Artikkeli

Todentaminen käyttäjänimellä ja salasanalla ei usein ole paras ratkaisu, erityisesti usean tekijän todentamisen yhteydessä. Tällöin suositellaan palvelun päänimen (tai asiakkaan tunnistetietojen työnkulun) todentamista. Tämä voidaan tehdä sekä rekisteröimällä uusi palvelun päänimen sovellus omassa Microsoft Entra -vuokraajassasi ja rekisteröimällä sama sovellus sitten Power Platformiin.

Järjestelmänvalvojan hallintasovelluksen rekisteröiminen

Ensin asiakassovellus on rekisteröitävä Microsoft Entra -vuokraajaan. Voit määrittää tämän tarkistamalla Power Platform -ohjelmointirajapintojen todentamisartikkelin, koska PowerShell edellyttää samaa sovelluksen määritystä.

Kun asiakassovellus on rekisteröity Microsoft Entra ID:ssä, se on rekisteröitävä myös Microsoft Power Platformissa. Tällä hetkellä tätä ei voi tehdä Power Platform -hallintakeskuksen kautta, vaan se on tehtävä ohjelmallisesti Power Platformin ohjelmointirajapinnan tai PowerShell for Power Platform järjestelmänvalvojille -ratkaisun avulla. Palvelun päänimi ei voi rekisteröidä itseään. Oletusarvoisesti sovellus on rekisteröitävä järjestelmänvalvojan käyttäjänimen ja salasanan kontekstissa. Näin varmistetaan, että sovelluksen luo henkilö, joka on vuokraajan järjestelmänvalvoja.

Jos haluat rekisteröidä uuden hallintasovelluksen, käytä seuraavaa komentosarjaa:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Pyyntöjen tekeminen palvelun päänimenä

Kun rekisteröinti on Microsoft Power Platformin kanssa on tehty, voit todentaa sen palvelun päänimeksi. Seuraavan komentosarjan avulla voit tehdä kyselyjä ympäristöluetteloa varten:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Palveluiden päänimien rajoitukset

Tällä hetkellä palvelun päänimen todentaminen toimii ympäristön hallinnassa, vuokraajan asetuksissa ja Power Appsin hallinnassa. Työnkulkuun liittyviä Cmdlets-komentoja tuetaan palvelun päänimen todennukseen tilanteissa, joissa käyttöoikeus ei ole pakollinen, koska palvelun päänimen identiteeteille ei voi määrittää käyttöoikeuksia Microsoft Entra ID:ssä.

Palvelun päänimen sovelluksia käsitellään Power Platformissa samalla tavalla kuin tavallisia käyttäjiä, joille on määritetty Power Platformin järjestelmänvalvojan rooli. Yksityiskohtaisia rooleja ja oikeuksia ei voida määrittää heidän mahdollisuuksiensa rajoittamiseksi. Sovellukselle ei määritetä erityistä roolia Microsoft Entra ID:ssä, koska tämä on tapa, jolla ympäristöpalvelut käsittelevät palvelun päänimen esittämät pyynnöt.