Del via

Lage et tjenestekontohaverprogram ved hjelp av API (forhåndsversjon)

  • Artikkel

[Denne artikkelen inneholder dokumentasjon for forhåndsversjonen og kan bli endret.]

Autentisering via brukernavn og passord er ofte ikke ideelt, spesielt med økningen av flerfaktorautentisering. I slike tilfeller foretrekkes autentisering av tjenestekontohaver (eller klientlegitimasjonsflyt). Du kan godkjenne hos en tjenestekontohaver ved å registrere et nytt tjenestekontohaverprogram i din egen Microsoft Entra-leier og deretter registrere det samme programmet med Power Platform.

Notat

Power Platform-CLI-en gir en enklere måte. Finn ut mer i Opprette et tjenestekontohaverprogram ved hjelp av PAC CLI.

Registrere et administrasjonsprogram for administratorer

Først må klientprogrammet registreres i Microsoft Entra-leieren. Se gjennom artikkelen om Autentisering for Power Platform-API-er for å lære hvordan.

Når klientprogrammet er registrert i Microsoft Entra ID, må det også registreres i Microsoft Power Platform. I dag kan du ikke gjøre dette via Power Platform-administrasjonssenteret. Det må gjøres programmatisk via Power Platform-API eller PowerShell for Power Platform-administratorer. En tjenestekontohaver kan ikke registrere seg selv. Som standard må en administrator som bruker brukernavn og passordkontekst registrere applikasjonen. Denne begrensningen sikrer at bare noen som er administrator for leierprogrammet, registreren programmet.

Hvis du vil registrere et nytt administrasjonsprogram, bruker du følgende forespørsel sammen med et bærertoken som hentes ved hjelp av brukernavn- og passordautentisering:

PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...

Utføre forespørsler som tjenestekontohaver

Nå som tjenestekontohaveren er registrert i Microsoft Power Platform, kan du autentisere som tjenestekontohaveren. Bruk forespørselen nedenfor til å spørre etter listen over administrasjonsprogram. Denne forespørselen kan bruke et bærertoken som hentes ved hjelp av autentiseringsflyten for klientlegitimasjon:

GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...

Lage et tjenestekontohaverprogram ved hjelp av PAC CLI

Bruk Microsoft Power Platform CLI (PAC CLI) til å legge til Microsoft Entra ID-program (SPN) og tilknyttet programbruker i Dataverse-miljøet. Kommandoen admin create-service-principal oppretter Microsoft Entra ID-applikasjon (SPN), og den registrerer den også med Microsoft Power Platform.

pac admin create-service-principal  --environment <environment id>

Finn ut mer om kommandoen pac admin create-service-principal og hvordan du installerer PAC CLI.

Begrensninger for tjenestekontohavere

For øyeblikket fungerer autentisering av tjenestekontohaver for miljøadministrasjon, leierinnstillinger og Power Apps-administrasjon. API-er som er knyttet til Flow, støttes ved tjenestekontohaverautentisering i situasjoner der en lisens ikke trengs, siden det ikke går an å tilordne lisenser til tjenestekontohaveridentiteter i Microsoft Entra ID.

Tjenestekontohaverprogrammer behandles i Power Platform på samme måte som vanlige brukere med Power Platform-rollen administrator tilordnet. Detaljerte roller og tillatelser kan ikke tilordnes for å begrense funksjonene. Programmet tildeles ikke noen spesiell rolle tildelt i Microsoft Entra ID, siden det er slik plattformtjenester behandler forespørsler fra tjenestekontohavere.