Créer une application de principal de service via l’API (version préliminaire)
[Cet article fait partie de la documentation préliminaire et peut faire l’objet de modifications.]
L’authentification via nom d’utilisateur et mot de passe n’est souvent pas idéale, en particulier avec la montée en puissance de l’authentification multifactorielle. Dans de tels cas, l’authentification du principal de service (ou du flux d’informations d’identification du client) est préférable. Pour ce faire, enregistrez une nouvelle application du principal de service dans votre propre client Microsoft Entra, puis enregistrez cette même application avec Power Platform.
Enregistrement d’une application de gestion administrative
Tout d’abord, l’application cliente doit être enregistrée dans votre client Microsoft Entra. Pour configurer cela, consultez l’article Authentification pour les API Power Platform.
Une fois votre application client enregistrée dans Microsoft Entra ID, elle doit également être enregistrée auprès de Microsoft Power Platform. Aujourd’hui, il n’y a aucun moyen de le faire via le centre d’administration Power Platform ; cela doit être fait par programmation via l’API Power Platform ou PowerShell pour les administrateurs Power Platform. Un principal de service ne peut pas s’enregistrer. De par sa conception, l’application doit être enregistrée dans un contexte de nom d’utilisateur et de mot de passe Administrateur. Cela garantit que l’application est créée par quelqu’un qui est un administrateur pour le client.
Pour enregistrer une nouvelle application de gestion, utilisez la requête suivante avec un jeton de support obtenu à l’aide de l’authentification par nom d’utilisateur et mot de passe :
Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Faire des demandes en tant que principal du service
Maintenant qu’il a été enregistré avec Microsoft Power Platform, vous pouvez vous authentifier en tant que principal du service lui-même. Utilisez la demande suivante pour rechercher votre liste d’applications de gestion. Cela peut utiliser un jeton de support obtenu à l’aide du flux d’authentification des informations d’identification du client :
Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Limitations des principaux de service
Actuellement, l’authentification du principal de service fonctionne pour la gestion de l’environnement, les paramètres du client et la gestion Power Apps. Les API liées à Flow sont prises en charge pour l’authentification du principal du service dans les situations où une licence n’est pas requise, car il n’est pas possible d’attribuer des licences aux identités du principal du service dans Microsoft Entra ID.
Les applications du principal de service sont traitées dans Power Platform de la même manière que les utilisateurs normaux avec le rôle Administrateur Power Platform attribué. Des rôles et des autorisations granulaires ne peuvent pas être attribués pour limiter leurs capacités. Aucun rôle spécial n’est attribué à l’application dans Microsoft Entra ID, car c’est la façon dont les services de la plateforme traitent les demandes effectuées par les principaux de service.