Condividi tramite

Distribuire le pipeline come entità servizio o del proprietario della pipeline

  • Articolo

Le distribuzioni delegate possono essere eseguite come entità servizio o proprietario della fase della pipeline. Se abilitata, la fase della pipeline viene distribuita come delegato (entità servizio o proprietario della fase pipeline) anziché come produttore richiedente.

Distribuire con un'entità servizio

Prerequisiti

  • Account utente Microsoft Entra Se non si possiede già un account, è possibile Creare un account gratuitamente.
  • Uno dei seguenti ruoli di Microsoft Entra: Amministratore applicazioni cloud o Amministratore applicazione.
  • È necessario essere proprietari dell'applicazione aziendale (entità servizio) in Microsoft Entra ID.

Per una distribuzione delegata con un'entità servizio, attenersi alla seguente procedura.

  1. Creare un'applicazione aziendale (entità servizio) in Microsoft Entra ID.

    Importante

    Chiunque abiliti o modifichi le configurazioni dell'entità servizio nelle pipeline deve essere un proprietario dell'applicazione aziendale (entità servizio) in Microsoft Entra ID.

  2. Aggiungi l'applicazione aziendale come utente server-to-server (S2S) nell'ambiente host della pipeline e in ogni ambiente di destinazione in cui viene distribuita.

  3. Assegnare il ruolo di sicurezza Amministratore delle pipeline di distribuzione all'utente S2S all'interno dell'host delle pipeline e il ruolo di sicurezza amministratore di sistema all'interno degli ambienti di destinazione. I ruoli di sicurezza con autorizzazioni inferiori non possono distribuire plug-in e altri componenti di codice.

  4. Scegli (seleziona) La distribuzione è delegata in una fase della pipeline, seleziona Entità servizio e inserisci l'ID cliente. Seleziona Salva.

  5. Facoltativamente, Consenti richieste di condivisione in modo che i richiedenti della distribuzione possano specificare quali gruppi di sicurezza possono accedere agli oggetti distribuiti all'interno dell'ambiente di destinazione. Le richieste di condivisione fanno parte della richiesta di distribuzione e possono essere approvate o rifiutate.

Importante

I responsabili dell'approvazione della distribuzione sono tenuti a esaminare attentamente le informazioni sulla condivisione e sul ruolo di sicurezza. Quando una distribuzione viene approvata, le pipeline assegnano automaticamente le autorizzazioni utilizzando l'identità del servizio principale che esegue la distribuzione.
>

  1. Creare un flusso cloud all'interno dell'ambiente host delle pipeline. Sistemi alternativi possono essere integrati utilizzando le API Microsoft Dataverse delle pipeline.

  2. Seleziona il trigger OnApprovalStarted.

  3. Aggiungi passaggi per la logica personalizzata desiderata.

  4. Inserisci un passaggio per l'approvazione. Utilizzare il contenuto dinamico per inviare informazioni sulla richiesta di distribuzione agli approvatori.

  5. Inserire una condizione.

  6. Creare una connessione Dataverse per l'entità servizio. Hai bisogno di un ID cliente e di un segreto.

  7. Aggiungi Dataverse Esegui un'azione non vincolata utilizzando le impostazioni mostrate qui.
    Nome azione: UpdateApprovalStatus ApprovalComments: Inserisci contenuto dinamico. I commenti sono visibili al richiedente della distribuzione. ApprovalStatus: 20 = approvato, 30 = rifiutato ApprovalProperties: Inserisci contenuto dinamico. Informazioni di amministrazione accessibili dall'host delle pipeline.

    Importante

    L'azione UpdateApprovalStatus deve utilizzare la connessione dell'entità servizio.

    Connettiti all'entità servizio

    Suggerimento

    Per migliorare l'esperienza di debug, seleziona ApprovalProperties e inserisci workflow() dal menu del contenuto dinamico. Ciò collega l'esecuzione del flusso all'esecuzione della fase della pipeline (cronologia di esecuzione).

  8. Salvare e quindi testare la pipeline.

Di seguito è riportato uno screenshot di un flusso di approvazione canonico.

Flusso di approvazione canonica

Distribuire come proprietario della fase della pipeline

Anche gli utenti regolari, compresi quelli utilizzati come account di servizio, possono fungere da delegati. La configurazione è più semplice rispetto alle entità servizio, ma non è possibile distribuire soluzioni contenenti riferimenti a connessioni oAuth.

Per eseguire la distribuzione come proprietario della fase della pipeline, attenersi alla seguente procedura.

  1. Assegnare il ruolo di sicurezza Amministratore delle pipeline di distribuzione al proprietario della fase della pipeline all'interno dell'host delle pipeline e assegna il ruolo di sicurezza amministratore di sistema all'interno degli ambienti di destinazione.

    I ruoli di sicurezza con autorizzazioni inferiori non possono distribuire plug-in e altri componenti di codice.

  2. Accedere come proprietario della fase della pipeline. Solo il proprietario può abilitare o modificare queste impostazioni. La proprietà del team non è consentita.

  3. Selezionare È una distribuzione delegata in una fase della pipeline, quindi selezionare Proprietario della fase.

    • L'identità del proprietario della fase della pipeline verrà utilizzata per tutte le distribuzioni in questa fase.
    • Allo stesso modo, questa identità deve essere utilizzata per approvare le distribuzioni.

  4. Creare un flusso cloud in una soluzione all'interno dell'ambiente host delle pipeline.

    1. Seleziona il trigger OnApprovalStarted.
    2. Inserisci le azioni che desideri. Ad esempio, un'approvazione.
    3. Aggiungi Dataverse Esegui un'azione non associata.
      Nome azione: UpdateApprovalStatus (20 = completato, 30 = rifiutato)

Esempi di distribuzione delegati

Importante

La funzionalità fornita in questi esempi è ora supportata in modo nativo nel prodotto, ma questi esempi potrebbero fornire spunti su come estendere la funzionalità di condivisione nativa.

Questo download contiene flussi cloud di esempio per la gestione delle approvazioni e la condivisione di app e flussi canvas distribuiti all'interno dell'ambiente di destinazione. Download della soluzione di esempio

Scarica e quindi importa la soluzione gestita nell'ambiente host delle pipeline. La soluzione può quindi essere personalizzata per soddisfare le esigenze della tua organizzazione.

Domande frequenti

In che modo i produttori possono accedere agli oggetti distribuiti all'interno degli ambienti di destinazione?

La condivisione durante la distribuzione è una funzionalità nativa delle distribuzioni delegate con principi di servizio. Evita che gli amministratori debbano assegnare manualmente i ruoli di sicurezza e condividano app, flussi, copiloti e così via distribuiti all'interno dell'interfaccia di amministrazione di Power Platform. Invece, gli amministratori devono solo approvare la richiesta di distribuzione e la condivisione viene eseguita automaticamente dal sistema.

Quali tipi di oggetti possono essere condivisi durante la distribuzione?

Attualmente sono supportati i ruoli di sicurezza, le app canvas e i flussi cloud. A seconda dell'area geografica, potrebbe essere disponibile anche la condivisione con Copilot.

Posso aggiornare la condivisione quando vengono distribuite nuove versioni?

La condivisione è disponibile la prima volta che un oggetto viene distribuito nell'ambiente di destinazione. La condivisione non può essere aggiornata quando vengono distribuite nuove versioni. Assicurarsi di selezionare un gruppo di sicurezza appropriato durante la prima distribuzione. Gestire l'accesso in corso tramite i gruppi di sicurezza.

Quali autorizzazioni sono assegnate per le app canvas e i flussi?

Pipelines assegna i privilegi minimi richiesti per eseguire app e flussi. Se si desiderano privilegi più elevati, è possibile estendere le pipeline. Ti consigliamo di abilitare la funzionalità "Blocca personalizzazioni non gestite" quando assegni autorizzazioni più elevate.

Gli autori possono condividere con utenti singoli?

Attualmente, no. Si consiglia di gestire l'accesso dei singoli utenti tramite gruppi di sicurezza dopo la prima distribuzione dell'oggetto.

Viene visualizzato un errore La fase di distribuzione non è proprietaria dell'entità servizio (<AppId>). Solo i proprietari dell'entità servizio possono usarla per le distribuzioni delegate.

Verifica di essere il proprietario di Applicazioni aziendali (Entità servizio) in Microsoft Entra ID (precedentemente Azure AD). Potresti essere solo il proprietario della registrazione dell'app e non dell'applicazione aziendale.

Applicazioni aziendali

Per le distribuzioni delegate basate sul proprietario della fase, perché non posso assegnare un altro utente come distributore?

Per motivi di sicurezza, è necessario accedere come l'utente che verrà impostato come proprietario della fase della pipeline. Ciò impedisce l'aggiunta di un utente non consenziente come distributore.

Per le distribuzioni delegate basate sul proprietario della fase, posso utilizzare un file DeploymentSettings.json personalizzato?

Al momento non disponibile nell'esperienza del maker.

Perché le mie distribuzioni delegate sono bloccate in uno stato in sospeso?

Tutte le distribuzioni delegate sono in sospeso fino all'approvazione. Assicurati che il tuo amministratore abbia configurato un flusso Power Automate di approvazione o altra automazione, che funzioni correttamente e che la distribuzione sia stata approvata.

Chi possiede gli oggetti della soluzione distribuita?

L'identità di distribuzione. Per le distribuzioni delegate, il proprietario è l'entità servizio delegata o il proprietario della fase della pipeline.

Posso aggiungere passaggi di approvazione personalizzati?

Sì. Ad esempio, le approvazioni Power Automate possono essere personalizzate per soddisfare le esigenze della tua organizzazione. Potresti anche integrare altri sistemi di approvazione.

Perché devo essere il proprietario dell'entità servizio?

Questa norma viene applicata per motivi di sicurezza. È anche possibile creare pipeline utilizzando un account di servizio e aggiungere come proprietario lo stesso account di servizio. Un'altra opzione è quella di assegnare al service principal (utente dell'applicazione) il ruolo di proprietario della fase della pipeline e di proprietario dell'applicazione Enterprise in Microsoft Entra. Tuttavia, l'assegnazione della proprietà della fase della pipeline a un'applicazione deve essere effettuata tramite l'API nell'host delle pipeline. Dataverse

Viene visualizzato un errore Le distribuzioni delegate di tipo "ServicePrincipal" possono essere solo approvate o rifiutate dall'entità servizio configurata nella fase di distribuzione.

Assicurarsi che l'azione personalizzata Dataverse UpdateApprovalStatus sia chiamata dall'entità servizio. Se si utilizzano le approvazioni Power Automate, assicurarsi che questa azione sia configurata per utilizzare la connessione dell'entità servizio delegato.

Viene visualizzato un errore Le distribuzioni delegate di tipo "Owner" possono essere solo approvate o rifiutate dal proprietario della fase di distribuzione.

Assicurarsi che l'azione personalizzata Dataverse UpdateApprovalStatus sia chiamata dal proprietà della fase della pipeline. Se si utilizzano le approvazioni Power Automate, assicurarsi che questa azione sia configurata per utilizzare la connessione del proprietario della fase della pipeline.

Ricevo un errore nel flusso di approvazione Impossibile trovare l'attributo dello stato di approvazione per il record di esecuzione della fase.

Ciò accade quando lo stato di approvazione non è ancora in sospeso. Assicurati che si tratti di una distribuzione delegata e di utilizzare il trigger OnApprovalStarted nel flusso di approvazione.

È possibile utilizzare entità servizio diverse per pipeline e fasi diverse?

Sì.