Delen via

Pijplijnen implementeren als service-principal of pijplijnfase-eigenaar

  • Artikel

Gedelegeerde implementaties kunnen worden uitgevoerd als service-principal of pijplijnfase-eigenaar. Indien ingeschakeld, wordt de pijplijnfase geïmplementeerd als de gedelegeerde (service-principal of eigenaar van de pijplijnfase) in plaats van als de aanvragende maker.

Implementeren met een service-principal

Vereisten

  • Een Microsoft Entra-gebruikersaccount Als u er geen heeft, kunt u gratis een account maken.
  • Een van de volgende Microsoft Entra rollen: Cloud Application Administrator of Application Administrator.
  • U moet eigenaar zijn van de ondernemingstoepassing (service-principal) in Microsoft Entra ID.

Volg deze stappen voor een gedelegeerde implementatie met een service-principal.

  1. Maak een ondernemingstoepassing (service-principal) in Microsoft Entra ID.

    Belangrijk

    Iedereen die service-principal-configuraties in pijplijnen inschakelt of wijzigt, moet eigenaar zijn van de ondernemingstoepassing (service-principal) in Microsoft Entra ID.

  2. Voeg de ondernemingstoepassing toe als server-naar-server-gebruiker (S2S) in uw pipeline-hostomgeving en elke doelomgeving waarin deze wordt geïmplementeerd.

  3. Wijs de beveiligingsrol Beheerder van implementatiepipeline toe aan de S2S-gebruiker binnen de pijplijnhost, en de beveiligingsrol Systeembeheerder binnen doelomgevingen. Beveiligingsrollen met lagere rechten kunnen geen invoegtoepassingen en andere codeonderdelen implementeren.

  4. Kies (vink aan) Is gedelegeerde implementatie in een pijplijnfase, selecteer Service-principal en voer de client-id in. Selecteer Opslaan.

  5. U kunt optioneel Aanvragen voor delen toestaan, zodat aanvragers van implementaties kunnen opgeven welke beveiligingsgroepen toegang hebben tot geïmplementeerde objecten binnen de doelomgeving. Verzoeken om te delen maken deel uit van de implementatieaanvraag en kunnen worden goedgekeurd of afgewezen.

Belangrijk

Implementatiegoedkeurders zijn verantwoordelijk voor het zorgvuldig controleren van informatie over delen en beveiligingsrollen. Wanneer een implementatie wordt goedgekeurd, wijzen pijplijnen automatisch machtigingen toe op basis van de identiteit van de implementerende serviceprincipal.pal.
>

  1. Maak een cloudstroom binnen de omgeving van de pijplijnhost. Alternatieve systemen kunnen worden geïntegreerd met behulp van Microsoft Dataverse-API's van pijplijnen.

  2. Selecteer de trigger OnApprovalStarted.

  3. Voeg stappen toe voor uw gewenste aangepaste logica.

  4. Voeg een goedkeuringsstap in. Gebruik dynamische inhoud voor het verzenden van informatie over implementatieaanvragen naar de goedkeurder(s).

  5. Voeg een voorwaarde in.

  6. Maak een Dataverse-verbinding voor de service-principal. U hebt een klant-id en -geheim nodig.

  7. Voeg Dataverse Een ongebonden actie uitvoeren uit met behulp van de hier weergegeven instellingen.
    Actienaam: UpdateApprovalStatus ApprovalComments: Dynamische inhoud invoegen. Opmerkingen zijn zichtbaar voor de aanvrager van de implementatie. ApprovalStatus: 20 = goedgekeurd, 30 = afgewezen ApprovalProperties: Dynamische inhoud invoegen. Beheerdersinformatie toegankelijk vanuit de pijplijnhost.

    Belangrijk

    De actie UpdateApprovalStatus moet gebruikmaken van de verbinding van de service-principal.

    Verbinden met service-principal

    Fooi

    Om de foutopsporingservaring te verbeteren, selecteert u ApprovalProperties en voegt u werkstroom() in het menu dynamische inhoud toe. Zo verbindt u de stroomuitvoering met de pipeline-fase-uitvoering (uitvoeringsgeschiedenis).

  8. Sla op en test vervolgens de pijplijn.

Hier volgt een schermopname van een canonieke goedkeuringsstroom.

Canonieke goedkeuringsstroom

Implementeren als eigenaar van de pijplijnfase

Vaste gebruikers, inclusief degenen die als serviceaccounts worden gebruikt, kunnen ook als afgevaardigden optreden. Configuratie is eenvoudiger in vergelijking met service-principals, maar oplossingen die verbindingsverwijzingen bevatten voor oAuth-verbindingen kunnen niet worden geïmplementeerd.

Volg deze stappen om te implementeren als eigenaar van de pijplijnfase.

  1. Wijs de beveiligingsrol Beheerder van implementatiepipeline toe aan de eigenaar van de pijplijnfase binnen de pijplijnhost, en wijs de beveiligingsrol Systeembeheerder toe binnen doelomgevingen.

    Beveiligingsrollen met lagere rechten kunnen geen invoegtoepassingen en andere codeonderdelen implementeren.

  2. Aanmelden als eigenaar van de pijplijnfase. Alleen de eigenaar kan deze instellingen inschakelen of wijzigen. Teameigendom is niet toegestaan.

  3. Selecteer Is gedelegeerde implementatie voor een pijplijnfase en vervolgens Eigenaar van fase.

    • De identiteit van de eigenaar van de pipelinefase wordt gebruikt voor alle implementaties tot deze fase.
    • Op dezelfde manier moet deze identiteit worden gebruikt om implementaties goed te keuren.

  4. Maak een cloudstroom in een oplossing binnen de omgeving van de pijplijnhost.

    1. Selecteer de trigger OnApprovalStarted.
    2. Voeg naar wens acties in. Bijvoorbeeld, een goedkeuring.
    3. Voeg Dataverse Een ongebonden actie uitvoeren toe.
      Actienaam: UpdateApprovalStatus (20 = voltooid, 30 = afgewezen)

Voorbeelden van gedelegeerde implementatie

Belangrijk

De functionaliteit die in deze voorbeelden wordt geboden, wordt nu standaard ondersteund in het product, maar deze voorbeelden bieden mogelijk inzicht in hoe de ingebouwde deelfunctionaliteit kan worden uitgebreid.

Deze download bevat voorbeeldcloudstromen voor het beheren van goedkeuringen en het delen van geïmplementeerde canvas-apps en -stromen binnen de doelomgeving. Voorbeeldoplossing downloaden

Download en importeer de beheerde oplossing in uw pijplijn-hostomgeving. De oplossing kan vervolgens worden aangepast aan de behoeften van uw organisatie.

Veelgestelde vragen

Hoe kunnen makers toegang krijgen tot geïmplementeerde objecten binnen doelomgevingen?

Delen tijdens implementatie is een ingebouwde functie van gedelegeerde implementaties met serviceprincipals. Hierdoor hoeven beheerders niet handmatig beveiligingsrollen toe te wijzen en geïmplementeerde apps, stromen, copilots en dergelijke te delen in het Power Platform beheercentrum. In plaats daarvan hoeven beheerders alleen de implementatieaanvraag goed te keuren, waarna het delen automatisch door het systeem wordt uitgevoerd.

Welke objecttypen kunnen worden gedeeld tijdens de implementatie?

Momenteel worden beveiligingsrollen, canvas-apps en cloudstromen ondersteund. Afhankelijk van uw regio is het delen van een Copilot mogelijk ook beschikbaar.

Kan ik Delen bijwerken wanneer er nieuwe versies worden geïmplementeerd?

Delen is beschikbaar zodra een object voor het eerst wordt geïmplementeerd in de doelomgeving. Delen kan niet worden bijgewerkt wanneer er nieuwe versies worden geïmplementeerd. Zorg ervoor dat u tijdens de eerste implementatie een geschikte beveiligingsgroep selecteert. Beheer doorlopende toegang via beveiligingsgroepen.

Welke machtigingen zijn toegewezen voor canvas-apps en workflows?

Pijplijnen kennen de minimale rechten toe die nodig zijn om apps en workflows uit te voeren. Indien hogere rechten gewenst zijn, kunnen pijplijnen worden uitgebreid. Wij raden u aan de functie 'Onbeheerde aanpassingen blokkeren' in te schakelen wanneer u hogere machtigingen toewijst.

Kunnen makers delen met individuele gebruikers?

Momenteel niet. Wij raden aan om de toegang van individuele gebruikers te beheren via beveiligingsgroepen na de eerste implementatie van het object.

Ik krijg een foutmelding De implementatiefase is geen eigenaar van de service-principal (<AppId>). Alleen eigenaren van de service-principal mogen deze gebruiken voor gedelegeerde implementaties.

Zorg ervoor dat u eigenaar bent van de ondernemingstoepassing (service-principal) in Microsoft Entra ID (voorheen Azure AD). Mogelijk bent u alleen de eigenaar van de app-registratie en niet van de ondernemingstoepassing.

Ondernemingstoepassingen

Waarom kan ik voor op fase-eigenaar gebaseerde gedelegeerde implementaties geen andere gebruiker toewijzen als implementeerder?

Om veiligheidsredenen moet u zich aanmelden als de gebruiker die wordt ingesteld als eigenaar van de pipelinefase. Hierdoor wordt voorkomen dat een niet-toestemmende gebruiker als implementeerder wordt toegevoegd.

Kan ik voor gedelegeerde implementaties op basis van de fase-eigenaar een aangepast DeploymentSettings.json-bestand gebruiken?

Momenteel niet beschikbaar in de maker-ervaring.

Waarom blijven mijn gemachtigde implementaties hangen in de status In behandeling?

Alle gemachtigde implementaties zijn in behandeling totdat ze zijn goedgekeurd. Zorg ervoor dat uw beheerder een Power Automate-goedkeuringsproces of andere automatisering heeft geconfigureerd, dat deze goed werkt en dat de implementatie is goedgekeurd.

Wie is de eigenaar van geïmplementeerde oplossingsobjecten?

De identiteit die de implementatie uitvoert. Voor gedelegeerde implementaties is de eigenaar de gedelegeerde service-principal of eigenaar van de pipelinefase.

Kan ik aangepaste goedkeuringsstappen toevoegen?

Ja. Zo kunnen bijvoorbeeld Power Automate-goedkeuringen worden aangepast aan de behoeften van uw organisatie. Mogelijk integreert u ook andere goedkeuringssystemen.

Waarom moet ik de service-principal bezitten?

Dit wordt gedaan om veiligheidsredenen. U kunt ook pijplijnen maken met behulp van een service-account en hetzelfde service-account toevoegen als de eigenaar. Een andere optie is om de serviceprincipal (toepassingsgebruiker) toe te wijzen als eigenaar van de pijplijnfase en als eigen eigenaar (ondernemingstoepassing) Microsoft Entra. Het toewijzen van het eigendom van een pijplijnfase aan een toepassing moet echter via de Dataverse API in de pijplijnhost worden gedaan.

Ik krijg een foutmelding Gemachtiged implementaties van het type 'ServicePrincipal' kunnen alleen worden goedgekeurd of afgewezen door de service-principal die is geconfigureerd in de implementatiefase.

Zorg ervoor dat de aangepaste Dataverse-actie UpdateApprovalStatus wordt aangeroepen door de service-principal. Als u Power Automate-goedkeuringen gebruikt, zorg er dan voor dat deze actie is geconfigureerd om de verbinding van de gemachtigde service-principal te gebruiken.

Ik krijg een foutmelding Gemachtiged implementaties van het type 'Eigenaar' kunnen alleen worden goedgekeurd of afgewezen door de eigenaar die is geconfigureerd in de implementatiefase.

Zorg ervoor dat de aangepaste Dataverse-actie UpdateApprovalStatus wordt aangeroepen door de eigenaar van de pipelinefase. Als u Power Automate-goedkeuringen gebruikt, zorg er dan voor dat deze actie is geconfigureerd om de verbinding van de gemachtigde eigenaar van de pipelinefase te gebruiken.

Ik krijg een foutmelding in mijn goedkeuringsproces Kan het kenmerk goedkeuringsstatus niet vinden voor fase-uitvoeringsrecord.

Dit gebeurt wanneer de goedkeuringsstatus nog niet de status In behandeling heeft. Zorg ervoor dat dit een gemachtigde implementatie is en dat u de trigger OnApprovalStarted gebruikt in uw goedkeuringsstroom.

Kan ik verschillende service-principals gebruiken voor verschillende pipelines en fasen?

Ja.