Jaa

Todennus (esiversio)

  • Artikkeli

Tässä artikkelissa on yleiskatsaus Microsoft Entra -määrityksestä Power Platform -ohjelmointirajapinnan kutsumiseksi (esiversio). Jotta Power Platform API -liittymän kautta käytettävissä olevia resursseja voi käyttää, sinun on hankittava Microsoft Entra -haltijatunnus ja lähetettävä se otsikkona jokaisen pyynnön mukana. Tuetun tunnistetietotyypin (käyttäjän ja palvelun pääkäyttäjän) mukaan tämän haltijatunnuksen noutamiseen on erilaisia työnkulkuja, kuten tässä artikkelissa kuvataan.

Jotta haltijatunnus voidaan hankkia oikeilla käyttöoikeuksilla, toimi seuraavasti:

  1. Luo sovellusrekisteröinti Microsoft Entra -vuokraajassa
  2. API-oikeuksien määritys
  3. Julkisen asiakasohjelman määrittäminen (valinnainen)
  4. Varmenteiden ja salaisuuksien määrittäminen (valinnainen)
  5. Pyydä käyttöoikeustunnusta

Vaihe 1. Sovellusrekisteröinnin luominen

Siirry Microsoft Entra -sovellusrekisteröintisivulle ja luo uusi rekisteröinti. Anna sovellukselle nimi ja varmista, että Yksittäinen vuokraaja -vaihtoehto on valittuna. Voit ohittaa uudelleenohjauksen URI-asetukset.

Vaihe 2. API-oikeuksien määritys

Siirry uudessa sovellusrekisteröinnissä Hallitse - ohjelmointirajapinnan käyttöoikeudet -välilehteen. Valitse Määritä oikeudet -osasta Lisää oikeus. Valitse avautuvasta dialogi-ikkunasta Ohjelmointirajapinnat, joita organisaationi käyttää -välilehti, ja hae sitten Power Platform API. Näkyvissä voi olla useita merkintöjä, joilla on samanlainen nimi, joten varmista, että käytät merkintää, jolla on GUID-tunnus 8578e004-a5c6-46e7-913e-12f58912df43.

Jos GUID-tunnuksella haettaessa Power Platform -ohjelmointirajapintaa ei näy luettelossa, on mahdollista, että ohjelmointirajapinta on yhä käytettävissä, mutta näkyvyys ei ole päivittynyt. Voit pakottaa päivityksen suorittamalla alla olevan PowerShell-komentosarjan:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

Valitse tässä tarvittavat oikeudet. Nämä on ryhmitelty nimitilan mukaan. Nimitilassa näkyy resurssityyppejä ja toimintoja, kuten AppManagement.ApplicationPackages.Read, joka antaa sovelluspakettien lukuoikeudet. Lisätietoja on Käyttöoikeuksien viite -artikkelissa.

Muistiinpano

Power Platform -ohjelmointirajapinta käyttää delegoituja oikeuksia vain tällä hetkellä. Jos sovellus suoritetaan käyttäjän kontekstissa, pyydä delegoidut oikeudet vaikutusalue-parametrin avulla. Nämä oikeudet delegoivat sovellukseesi kirjautuneen käyttäjän oikeudet, joten se voi toimia käyttäjänä Power Platform API -päätepisteitä kutsuttaessa.

Palvelun päänimen tunnistetietoja varten sovellusoikeuksia ei käytetä. Palvelun pääkäyttäjät käsitellään sen sijaan Power Platform -järjestelmänvalvojina tällä hetkellä, ja niiden on oltava rekisteröityjä seuraavilla ohjeilla PowerShell – Luo palvelun pääkäyttäjä.

Kun tarvittavat oikeudet on lisätty sovellukseen, valitse Myönnä järjestelmänvalvojan hyväksyntä asennuksen valmistumista varten. Tämä on tarpeen silloin, kun haluat sallia käyttäjille sovelluksen käytön heti vuorovaikutteisen hyväksyntäkokemuksen sijasta. Jos voit tukea vuorovaikutteista suostumusta, suosittelemme noudattamaan Microsoft identiteettiympäristön ja OAuth 2.0-valtuutuskoodin kulkua.

Vaihe 3. Julkisen asiakasohjelman määrittäminen (valinnainen)

Jos sovelluksesi edellyttää resurssien lukemista ja kirjoittamista käyttäjän puolesta, ota Julkinen asiakasohjelma -asetus käyttöön. Tämä on ainoa tapa, jolla Microsoft Entra ID hyväksyy käyttäjänimi- ja salasanaominaisuudet tunnuspyynnön tekstissä. Huomaa myös, että jos aiot käyttää tätä ominaisuutta, se ei toimi tileillä, joissa on käytössä monivaiheinen todennus.

Ota se käyttöön Hallinta – todennus -välilehdessä. Määritä Lisäasetukset-osassa Julkinen asiakasohjelma -asetuksen arvoksi Kyllä.

Vaihe 4. Varmenteiden ja salaisuuksien määrittäminen (valinnainen)

Jos sovellus edellyttää resurssien lukemista ja kirjoittamista sellaisenaan eli palvelun päänimenä, todentamista varten on kaksi tapaa. Jos haluat käyttää varmenteita, siirry Hallinta – Varmenteet ja salaisuudet -välilehteen. Lataa Varmenteet-osassa x509-varmenne, jonka avulla voit todentautua. Voit myös luoda asiakassalaisuuden Salaisuudet-osassa. Tallenna salainen koodi turvalliseen paikkaan automaattisia toimintoja varten. Varmenteen tai salaisen koodin valintojen avulla voit tehdä todentamisen Microsoft Entra:n kanssa ja saada tämän asiakasohjelman tunnuksen. Sitä käytetään REST API:en tai PowerShellin cmdlet-komentojen kanssa.

Vaihe 5. Pyydä käyttöoikeustunnusta

Käyttöoikeuden haltijatunnuksen voi hankkia kahdella tavalla. Toinen on käyttäjätunnus ja salasana, toinen palvelun päänimiä varten.

Käyttäjänimi ja salasana -työnkulku

Lue yllä oleva Julkinen asiakasohjelma -osa. Lähetä sitten POST-pyyntö HTTP:n kautta Microsoft Entra ID:hen käyttäjänimellä ja salasanalla.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

Yllä olevassa esimerkissä on paikkamerkkejä, jotka voi noutaa Microsoft Entra ID:n asiakassovelluksesta. Saat vastauksen, jonka avulla voit tehdä seuraavat kutsut Power Platformin ohjelmointirajapintaan.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Käytä access_token-arvoa seuraavissa Power Platformin ohjelmointirajapinnan kutsuissa käyttämällä Authorization -HTTP-otsikkoa.

Palvelun päänimen työnkulku

Lue yllä oleva Varmenteet ja salasanat -osa. Lähetä sitten POST-pyyntö HTTP:n kautta Microsoft Entra ID:hen asiakasohjelman salaisen koodin tiedoilla. Tätä kutsutaan usein palvelun päänimen todentamiseksi.

Tärkeää

Tätä voidaan käyttää vasta, kun olet rekisteröinyt tämän asiakassovelluksen tunnuksen Microsoft Power Platformissa noudattamalla joko asianmukaisia PowerShell- tai REST-ohjeita.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

Yllä olevassa esimerkissä on paikkamerkkejä, jotka voi noutaa Microsoft Entra ID:n asiakassovelluksesta. Saat vastauksen, jonka avulla voit tehdä seuraavat kutsut Power Platformin ohjelmointirajapintaan.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Käytä access_token-arvoa seuraavissa Power Platformin ohjelmointirajapinnan kutsuissa käyttämällä Authorization -HTTP-otsikkoa. Kuten edellä on mainittu, Palvelun päänimen työnkulku ei käytä sovelluksen käyttöoikeuksia, vaan sitä käsitellään nyt Power Platform -järjestelmänvalvojana kaikissa kutsuissa.

Katso myös

Palvelun päänimen sovelluksen luominen ohjelmointirajapinnan avulla (esiversio)
PowerShell - Luo palvelun päänimi