Del via

Distribuere pipeliner som tjenestekontohaver eller pipeline-eier

  • Artikkel

Delegerte distribusjoner kan kjøres som tjenestekontohaver eller pipelinefaseeier. Når pipeline-fasen er aktivert, installeres den som representant (tjenestekontohaver eller pipelinefaseeier) i stedet for personen som forespør den.

Distribuere med en tjenestekontohaver

Forutsetning

  • En Microsoft Entra-brukerkonto. Hvis du ikke allerede har en, kan du opprette en konto.
  • En av følgende Microsoft Entra-roller: skyprogramadministrator eller programadministrator.
  • Du må vøre eier av virksomhetsprogrammet (tjenestekontohaveren) i Microsoft Entra ID.

Følg denne fremgangsmåten for en delegert distribusjon med en tjenestekontohaver.

  1. Opprett et virksomhetsprogram (tjenestekontohaver) i Microsoft Entra ID.

    Viktig

    Alle som aktiverer eller modifiserer tjenesteprinsippkonfigurasjoner i kanaler, må være eiere av virksomhetsprogrammet (tjenestekontohaveren) i Microsoft Entra ID.

  2. Legg til virksomhetsprogrammet som en server-til-server-bruker (S2S) i vertsmiljøet for pipeliner og hvert målmiljø den distribueres til.

  3. Tilordne sikkerhetsrollen Administrator av utrullingspipeline til S2S-brukeren i pipelineverten, og sikkerhetsrollen Systemadministrator i målmiljøer. Sikkerhetsroller for lavere tillatelser kan ikke distribuere plugin-moduler og andre kodekomponenter.

  4. Velg (merk av) Er delegert distribusjon i en pipelinefase, velg Tjenestekontohaver, og angi klient-IDen. Velg Lagre.

  5. Du kan eventuelt tillate delingsforespørsler, slik at distribusjonsanmodere kan angi hvilke sikkerhetsgrupper som kan få tilgang til distribuerte objekter i målmiljøet. Delingsforespørsler er en del av distribusjonsforespørselen og kan godkjennes eller avvises.

Viktig!

Distribusjonsgodkjennere er ansvarlige for å gå nøye gjennom informasjon om deling og sikkerhetsrolle. Når en distribusjon er godkjent, tilordner pipeliner automatisk tillatelser ved hjelp av identiteten til distribusjonstjenestekontohaveren.
>

  1. Opprett en skyflyt i pipelinevertmiljøet. Alternative systemer kan integreres ved hjelp av Microsoft Dataverse-API-ene for kanaler.

  2. Velg OnApprovalStarted-utløseren.

  3. Legg til trinn for den ønskede egendefinerte logikken.

  4. Sett inn et godkjenningstrinn. Bruk dynamisk innhold til å sende informasjonforespørselsinformasjon til godkjennere.

  5. Sett inn en betingelse.

  6. Opprett en Dataverse-tilkobling for tjenestekontohaveren. Du trenger en klient-ID og hemmelighet.

  7. Legg til Dataverse Utfør en ubundet handling ved hjelp av innstillingene som vises her.
    Handlingsnavn: UpdateApprovalStatus ApprovalComments: Sett inn dynamisk innhold. Kommentarer vises for personen som forespurte distribusjonen. ApprovalStatus: 20 = godkjent, 30 = avvist ApprovalProperties: Sett inn dynamisk innhold. Administratorinformasjon tilgjengelig fra pipelineverten.

    Viktig

    UpdateApprovalStatus-handlingen må bruke tilkoblingen til tjenestekontohaveren.

    Koble til tjenestekontohaver

    Tips

    Hvis du vil forbedre feilsøkingsopplevelsen, velger du ApprovalProperties og setter inn arbeidsflyt() på menyen for dynamisk innhold. Dette kobler flytkjøringen til pipelinefasekjøringen (kjørelogg).

  8. Lagre, og test deretter pipelinen.

Her er et skjermbilde av en kanonisk godkjenningsflyt.

Kanonisk godkjenningsflyt

Distribuere som eier av pipelinefasen

Vanlige brukere, inkludert de som brukes som tjenestekontoer, kan også fungere som delegerte. Konfigurasjonen er enklere sammenlignet med tjenestekontohavere, men løsninger som inneholder tilkoblingsreferanser for oAuth-koblinger kan ikke distribueres.

Følg denne fremgangsmåten for å distribuere som eieren av pipelinefasen.

  1. Tilordne sikkerhetsrollen Administrator av utrullingspipeline til pipelinefasebrukeren i pipelineverten, og tilordne sikkerhetsrollen Systemadministrator i målmiljøer.

    Sikkerhetsroller for lavere tillatelser kan ikke distribuere plugin-moduler og andre kodekomponenter.

  2. Logg deg på som eier av kanalfasen. Bare eieren kan aktivere eller endre disse innstillingene. Lageierskap er ikke tillatt.

  3. Velg Er delegert distribusjon i en kanalfase, og velg Faseeier.

    • Eieren av pipelinefasen brukes for alle distribusjoner til denne fasen.
    • På samme måte må denne identiteten brukes til å godkjenne distribusjoner.

  4. Opprett en skyflyt i en løsning i pipelinevertmiljøet.

    1. Velg OnApprovalStarted-utløseren.
    2. Sett inn ønskede handlinger. For eksempel en godkjenning.
    3. Legg til Dataverse Utfør en ubundet handling.
      Handlingsnavn: UpdateApprovalStatus (20 = fullført, 30 = avvist)

Eksempler på delegert distribusjon

Viktig!

Funksjonaliteten i disse eksemplene støttes nå opprinnelig i produktet, men disse eksemplene kan gi innsikt i utvidelse av opprinnelig delingsfunksjonalitet.

Denne nedlastingen inneholder eksempelskyflyter for behandling av godkjenninger og deling av distribuerte lerretsapper og flyter i målmiljøet. Last ned eksempelløsning

Last ned og importer den administrerte løsningen til vertsmiljøet for pipeliner. Løsningen kan deretter tilpasses etter behovene i organisasjonen.

Vanlige spørsmål

Hvordan kan utviklere få tilgang til distribuerte objekter i målmiljøer?

Deling under distribusjon er en opprinnelig funksjon for delegerte distribusjoner med tjenestekontohavere. Med dette slipper administratorer å tilordne sikkerhetsroller manuelt og dele distribuerte apper, flyter, kopiloter og så videre i Power Platform-administrasjonssenteret. I stedet trenger administratorer bare å godkjenne distribusjonsforespørselen, og delingen utføres automatisk av systemet.

Hvilke objekttyper kan deles under distribusjonen?

For øyeblikket støttes sikkerhetsroller, lerretsapper og skyflyter. Copilot-deling kan også være tilgjengelig, avhengig av regionen din.

Kan jeg oppdatere deling når nye versjoner distribueres?

Deling er tilgjengelig første gang et objekt distribueres til målmiljøet. Deling kan ikke oppdateres når nye versjoner distribueres. Pass på at du velger en passende sikkerhetsgruppe under den første distribusjonen. Administrer kontinuerlig tilgang via sikkerhetsgrupper.

Hvilke tillatelser er tilordnet for lerretsapper og flyter?

Pipeliner tilordner minimumsrettighetene som kreves for å kjøre apper og flyter. Hvis du ønsker høyere rettigheter, kan pipeliner forlenges. Vi anbefaler at du aktiverer funksjonen Blokker uadministrerte tilpassinger når du tilordner høyere tillatelser.

Kan opprettere dele med individuelle brukere?

Ikke for øyeblikket. Vi anbefaler at du administrerer individuell brukertilgang via sikkerhetsgrupper etter den første distribusjonen av objektet.

Jeg får feilen Distribusjonsfasen er ikke en eier av tjenestekontohaveren (<AppId>). Bare eiere av tjenestekontohaveren kan bruke den til delegerte distribusjoner.

Kontroller at du er eieren av Enterprise-programmet (tjenestekontohaveren) i Microsoft Entra ID (tidligere kalt Azure AD). Du er kanskje bare eieren av appregistreringen, og ikke Enterprise-programmet.

Enterprise-programmer

Hvorfor kan jeg ikke tilordne en annen bruker som distributør for delegerte distribusjoner basert på faseeier?

Du må av hensyn til sikkerheten logge deg på som brukeren som skal angis som eier av pipelinefasen. Dette forhindrer tilføying av en bruker som ikke samtykker i å være distributør.

Kan jeg bruke en egendefinert DeploymentSettings.json fil for faseeierbaserte delegerte distribusjoner?

Ikke i utvikleropplevelsen for øyeblikket.

Hvorfor står de delegerte distribusjonene fast i en ventende tilstand?

Alle delegerte distribusjoner venter til de er godkjent. Sørg for at administratoren har konfigurert en Power Automate-godkjenningsflyt eller annen automatisering, at den fungerer som den skal, og at distribusjonen ble godkjent.

Hvem eier distribuerte løsningsobjekter?

Distribusjonsidentiteten. Når det gjelder delegerte distribusjoner, er eieren den delegerte tjenestekontohaveren eller eieren av pipelinefasen.

Kan jeg legge til egendefinerte godkjenningstrinn?

Ja. Power Automate-godkjenninger kan for eksempel tilpasses for å oppfylle behovene til organisasjonen. Du kan også integrere andre godkjenningssystemer.

Hvorfor må jeg eie tjenestekontohaveren?

Dette er obligatorisk av sikkerhetsmessige årsaker. Du kan også opprette pipeliner ved hjelp av en tjenestekonto og legge til samme tjenestekonto som eieren. Et annet alternativ er å tilordne tjenestekontohaveren (programbrukeren) som eier av pipelinefasen og som eier av seg selv (Enterprise-program) i Microsoft Entra. Tilordning av eierskap til pipelinefasen til et program må imidlertid gjøres via Dataverse-API-en i pipelineverten.

Jeg får feilen Delegerte distribusjoner av typen ServicePrincipal kan bare godkjennes eller avvises av tjenestekontohaveren konfigurert i distribusjonsfasen.

Sørg for at den egendefinerte Dataverse-handlingen UpdateApprovalStatus kalles opp av tjenestekontohaveren. Hvis du bruker Power Automate-godkjenninger, sørger du for at denne handlingen er konfigurert slik at den bruker den delegerte tjenestekontohaverens tilkobling.

Jeg får feilen Delegerte distribusjoner av typen Eier kan bare godkjennes eller avvises av eieren av distribusjonsfasen.

Sørg for at den egendefinerte Dataverse-handlingen UpdateApprovalStatus kalles opp av eieren av pipelinefasen. Hvis du bruker Power Automate-godkjenninger, sørger du for at denne handlingen er konfigurert slik at den bruker tilkoblingen til den delegerte eieren av pipelinefasen.

Jeg får feilen Finner ikke attributtet for godkjenningsstatus for fasekjøringsposten i godkjenningsflyten.

Dette skjer når godkjenningsstatusen ennå ikke er i ventende tilstand. Sørg for at dette er en delegert distribusjon, og at du bruker utløseren OnApprovalStarted i godkjenningsflyten.

Kan jeg bruke ulike tjenestekontohavere for ulike pipeliner og faser?

Ja.