Creazione di un'applicazione entità servizio tramite API (anteprima)
[Questo articolo fa parte della documentazione non definitiva, pertanto è soggetto a modifiche.]
Spesso l'autenticazione tramite nome utente e password non è l'ideale, soprattutto con l'avvento dell'autenticazione a più fattori. In questi casi, è preferibile l'autenticazione dell'entità servizio (o del flusso di credenziali client). È possibile eseguire l'autenticazione con un'entità servizio registrando una nuova applicazione entità servizio nel proprio tenant Microsoft Entra e quindi registrando la stessa applicazione con Power Platform.
Nota
L'interfaccia Power Platform CLI offre un modo più semplice. Per altre informazioni, vedi Creazione di un'applicazione entità servizio con l'interfaccia CLI PAC.
Registrazione di un'applicazione di gestione amministrativa
Innanzitutto, l'applicazione client deve essere registrata nel tenant di Microsoft Entra. Rivedi l'articolo Autenticazione per le API di Power Platform per altre informazioni.
Dopo che l'applicazione client è stata registrata in Microsoft Entra ID, deve anche essere registrata con Microsoft Power Platform. Oggi non c'è modo di farlo tramite l'interfaccia di amministrazione di Power Platform, ma deve essere effettuato a livello di programmazione tramite l'API di Power Platform o PowerShell per gli amministratori di Power Platform. Un'entità servizio non può registrarsi. Per impostazione predefinita, un amministratore che utilizza il contesto nome utente e password deve registrare l'applicazione. Ciò garantisce che solo qualcuno che è un amministratore per l'applicazione del tenant registri l'applicazione.
Per registrare una nuova applicazione di gestione, utilizza la seguente richiesta con un token di connessione ottenuto utilizzando l'autenticazione con nome utente e password:
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Effettuare richieste come entità servizio
Ora che è stata effettuata l'entità servizio con Microsoft Power Platform, puoi eseguire l'autenticazione come l'entità servizio stessa. Utilizza la seguente richiesta per eseguire una query per l'elenco delle applicazioni di gestione. Questa richiesta può utilizzare un token di connessione ottenuto utilizzando il flusso di autenticazione delle credenziali client:
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Creazione di un'applicazione entità servizio mediante CLI PAC
Utilizza Microsoft Power Platform CLI (PAC CLI) per aggiungere l'applicazione Microsoft Entra ID (SPN) e l'utente dell'applicazione associato all'ambiente Dataverse. Il comando admin create-service-principal crea l'applicazione Microsoft Entra ID (SPN) e la registra anche con Microsoft Power Platform.
pac admin create-service-principal --environment <environment id>
Ulteriori informazioni sul comando pac admin create-service-principal e su come installare CLI PAC.
Limitazioni delle entità di servizio
Attualmente, l'autenticazione dell'entità servizio funziona per la gestione dell'ambiente, le impostazioni del tenant e la gestione di Power Apps. Le API correlate a Flow sono supportate per l'autenticazione dell'entità servizio in situazioni in cui non è richiesta una licenza, poiché non è possibile assegnare licenze alle identità dell'entità servizio in Microsoft Entra ID.
Le applicazioni dell'entità servizio sono trattate in Power Platform in modo simile a come lo sono gli utenti normali con il ruolo Amministratore di Power Platform assegnato. Non è possibile assegnare ruoli e autorizzazioni granulari per limitarne le capacità. All'applicazione non viene assegnato alcun ruolo speciale in Microsoft Entra ID, poiché questo è il modo in cui i servizi della piattaforma trattano le richieste effettuate dalle entità servizio.