Aandachtspunten bij app-registratie
Het ALM Accelerator for Power Platform is afhankelijk van Microsoft Entra app-registraties om te communiceren met vereiste services. In dit artikel komen aandachtspunten aan de orde waarmee u rekening moet houden en benaderingen die u kunt volgen bij het ontwerpen van een app-registratiestrategie voor de ALM Accelerator.
Vereiste API-machtigingen
Sta app-registraties toe om de relevante API's te gebruiken om ervoor te zorgen dat ALM Accelerator met de vereiste services kan communiceren. Vereisten voor communicatie met deze services zijn afhankelijk van de functionaliteit van de ALM Accelerator.
De volgende tabel laat zien welke API-machtigingen vereist zijn voor de verschillende functionaliteiten van de ALM Accelerator.
| Functionaliteit | API-machtiging | Machtigingstype | Omschrijving |
|---|---|---|---|
| Aangepaste CustomAzureDevOps-connector | Azure DevOps - Imitatie van gebruiker | Gedelegeerd | De canvas-app ALM Accelerator heeft Azure DevOps API-machtigingen nodig om te communiceren met Azure DevOps. |
| Validatiepijplijnen implementeren | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Validatiepijplijnen implementeren | Power Apps Advisor - Analysis.All | Gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| Testpijplijnen implementeren | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te testen moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Productiepijplijnen implementeren | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen in de productieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Oplossingspipeline exporteren | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen te exporteren uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Oplossingspipeline importeren | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen te importeren uit Azure Git-broncodebeheer naar de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Oplossingspipeline verwijderen | Dynamics CRM - Imitatie van gebruiker | Gedelegeerd | De pijplijn om oplossingen te verwijderen uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
Aandachtspunten bij een app-registratiestrategie
Bij het ontwerpen van uw strategie voor het maken en beheren van app-registraties voor de ALM Accelerator moet u rekening houden met zowel de beveiliging als het onderhoud.
Principe van de minste bevoegdheden
Vanuit het oogpunt van beveiliging kunt u eraan denken het principe van de minste bevoegdheden toe te passen. Elke app-registratie moet de minimale bevoegdheden hebben die nodig zijn om de benodigde bewerkingen uit te voeren.
Eenvoud van onderhoud
Vanuit het oogpunt van onderhoud is het nuttig een strategie te overwegen waarbij u zo min mogelijk werk hoeft te doen om uw app-registraties en de services die ze gebruiken te onderhouden. Een van de taken voor het onderhouden van app-registraties is bijvoorbeeld geheimenroulatie, wat inhoudt dat het huidige geheim wordt ingetrokken en een nieuw geheim wordt gemaakt. Elke service die een app-registratie gebruikt, moet opnieuw worden geconfigureerd wanneer een geheim wordt gerouleerd. Hoe meer app-registraties u gebruikt, hoe meer werk er nodig is om ze te onderhouden.
Azure-app-registratiestrategieën
Strategieën voor het registreren van apps met Microsoft Entra ID voor gebruik door de ALM Accelerator variëren van zeer eenvoudig tot zeer gedetailleerd.
Eén app-registratie voor alles
De eenvoudigste strategie is om één app-registratie te maken voor alles wat u nodig hebt. Met deze strategie gebruikt u dezelfde app-registratie voor de aangepaste CustomAzureDevOps-connector en alle Azure DevOps-serviceverbindingen die u nodig hebt om toegang te krijgen tot uw Power Platform-omgevingen.
Hoewel deze strategie het gemakkelijkst te beheren is, volgt deze het principe van de minste bevoegdheden niet. Eén app-registratie heeft machtigingen om alle vereiste bewerkingen uit te voeren via de aangepaste connector en alle Azure DevOps-serviceverbindingen die u hebt geconfigureerd.
| App-registratie | API-machtiging en type | Omschrijving |
|---|---|---|
| Eén app-registratie voor alle doeleinden | Azure DevOps - imitatie van gebruiker - gedelegeerd | De canvas-app ALM Accelerator heeft Azure DevOps API-machtigingen nodig om te communiceren met Azure DevOps. |
| Eén app-registratie voor alle doeleinden | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren vanuit makeromgevingen en oplossingen te implementeren in de validatie-, test- en productieomgeving moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| Eén app-registratie voor alle doeleinden | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
Eén app-registratie voor Azure DevOps en één voor Power Platform
Een meer gedetailleerde strategie om één app-registratie voor de aangepaste CustomAzureDevOps-connector te maken en één voor de pijplijnen om te communiceren met Power Platform-omgevingen.
Deze strategie sluit beter aan bij het principe van de minste bevoegdheden. Alleen de app-registratie die voor de aangepaste CustomAzureDevOps-connector wordt gebruikt, kan toegang krijgen tot de Azure DevOps-API, en alleen de app-registratie waarmee verbinding wordt gemaakt met Power Platform, kan de Power Platform (Dynamics CRM)-API gebruiken.
| App-registratie | API-machtiging en type | Omschrijving |
|---|---|---|
| App-registratie voor Azure DevOps | Azure DevOps - imitatie van gebruiker - gedelegeerd | De canvas-app ALM Accelerator heeft Azure DevOps API-machtigingen nodig om te communiceren met Azure DevOps. |
| App-registratie voor Power Platform | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren vanuit makeromgevingen van makers en om oplossingen te implementeren in de validatieomgeving moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
Eén app-registratie voor Azure DevOps en meerdere voor Power Platform
Een nog gedetailleerdere strategie is om app-registraties te maken voor toegang tot verschillende Power Platform-omgevingen. U kunt één app-registratie maken voor elke omgeving waartoe u toegang moet hebben met behulp van de ALM Accelerator-pijplijnen. U kunt ook één app-registratie maken per Power Platform-project dat u ondersteunt via de ALM Accelerator.
Deze strategie sluit goed aan bij het principe van de minste bevoegdheden. Maar denk ook aan onderhoud. Zorg ervoor dat u op een gestructureerde manier vaststelt welke app-registratie voor elke omgeving wordt gebruikt. Deze informatie is nuttig wanneer u de geheimen voor de app-registraties gaat rouleren.
In de volgende tabel ziet u hoe u app-registraties per Power Platform-project kunt maken om de toegang tot uitsluitend de relevante omgeving te beperken.
| App-registratie | Bereik van Power Platform | API-machtiging en type | Omschrijving |
|---|---|---|---|
| App-registratie voor Azure DevOps | Niet van toepassing | Azure DevOps - imitatie van gebruiker - gedelegeerd | De canvas-app ALM Accelerator heeft Azure DevOps API-machtigingen nodig om te communiceren met Azure DevOps. |
| App-registratie voor Power Platform | Platform-project 1 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Project 1 | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Project 2 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Project 2 | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Developmentomgeving maker 1 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Developmentomgeving maker 2 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen |
De volgende tabel laat zien hoe u verder kunt afstemmen op het principe van de minste bevoegdheden door app-registraties te maken voor elke Power Platform-omgeving.
| App-registratie | Bereik van Power Platform | API-machtiging en type | Omschrijving |
|---|---|---|---|
| App-registratie voor Azure DevOps | Niet van toepassing | Azure DevOps - imitatie van gebruiker - gedelegeerd | De canvas-app ALM Accelerator heeft Azure DevOps API-machtigingen nodig om te communiceren met Azure DevOps. |
| App-registratie voor Power Platform | Project 1 - validatieomgeving | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Project 1 - validatieomgeving | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Project 1 - testomgeving | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Project 1 - productieomgeving | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Project 2 - validatieomgeving | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Project 2 - validatieomgeving | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Project 2 - testomgeving | Power Apps Advisor - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Apps Advisor-service te gebruiken om de taak voor oplossingscontrole uit te voeren. |
| App-registratie voor Power Platform | Project 2 - productieomgeving | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen in de validatieomgeving te implementeren moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Developmentomgeving maker 1 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |
| App-registratie voor Power Platform | Developmentomgeving maker 2 | Dynamics CRM - imitatie van gebruiker - gedelegeerd | De pijplijn om oplossingen te exporteren uit de makeromgeving van de maker moet machtigingen hebben om de Power Platform (Dynamics CRM)-API te gebruiken voor oplossingsbewerkingen. |