Delen via

Quickstart: Microsoft Entra configureren voor een aangepaste connector

  • Artikel

In deze handleiding worden de stappen beschreven voor het configureren van een Microsoft Entra-toepassing voor gebruik met een aangepaste Power Query-connector. Het is raadzaam dat connectorontwikkelaars de concepten van het Microsoft Identity Platform bekijken voordat ze verdergaan.

Omdat de toepassingsterm wordt gebruikt in meerdere contexten in het Microsoft Entra-platform, gebruikt deze handleiding de volgende termen om onderscheid te maken tussen connector - en gegevensbrontoepassings-id's :

  • Clienttoepassing: de Client-id's van Microsoft Entra die worden gebruikt door de Power Query-connector.
  • Resourcetoepassing: De registratie van de Microsoft Entra-toepassing voor het eindpunt waarmee de connector verbinding maakt (dat wil gezegd, uw service of gegevensbron).

Het inschakelen van Microsoft Entra-ondersteuning voor een aangepaste connector omvat:

  • Een of meer bereiken definiëren in de resourcetoepassing die door de connector wordt gebruikt.
  • De Power Query-client-id's vooraf verifiëren om deze bereiken te gebruiken.
  • De juiste Resource waarden Scopes instellen in de definitie van de connector.

In deze handleiding wordt ervan uitgegaan dat er een nieuwe resourcetoepassing is geregistreerd in Microsoft Entra. Ontwikkelaars met een bestaande resourcetoepassing kunnen doorgaan naar de sectie Een bereik configureren.

Notitie

Ga naar een van de quickstartgidsen voor meer informatie over het gebruik van Microsoft Entra in uw service of toepassing.

De resourcetoepassing registreren

Uw gegevensbron of API-eindpunt maakt gebruik van deze resourcetoepassing om een vertrouwensrelatie tot stand te brengen tussen uw service en het Microsoft Identity Platform.

Volg deze stappen om een nieuwe resourcetoepassing te registreren:

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Identiteitstoepassingen>> App-registraties en selecteer Nieuwe registratie.
  3. Voer een weergavenaam voor uw toepassing in.
  4. Selecteer voor ondersteunde accounttypen alleen Accounts in deze organisatiemap als uw eindpunt alleen toegankelijk is vanuit uw organisatie. Selecteer Accounts in een organisatiemap voor openbaar toegankelijke, multitenant-services.
  5. Selecteer Registreren.

U hoeft geen omleidings-URI-waarde op te geven.

De overzichtspagina van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de id van de map (tenant) en de waarden voor de toepassings-id (client ) omdat deze worden gebruikt in de broncode van uw service. Volg een van de handleidingen in de codevoorbeelden van het Microsoft Identity Platform die lijkt op uw serviceomgeving en -architectuur om te bepalen hoe u uw nieuwe toepassing configureert en gebruikt.

Een URI voor de toepassings-id instellen

Voordat u een bereik voor uw eindpunt kunt configureren, moet u een URI voor de toepassings-id instellen voor uw resourcetoepassing. Deze id wordt gebruikt door het Resource veld van de Aad record in uw connector. De waarde wordt ingesteld op de hoofd-URL van uw service. U kunt ook de standaardwaarde gebruiken die wordt gegenereerd door Microsoft Entra: api://{clientId} waar {clientId} is de client-id van uw resourcetoepassing.

  1. Ga naar de overzichtspagina van de resourcetoepassing.
  2. Selecteer in het middelste scherm onder Essentials de optie Een toepassings-id-URI toevoegen.
  3. Voer een URI in of accepteer de standaardwaarde op basis van uw app-id.
  4. Selecteer Opslaan en doorgaan.

In de voorbeelden in deze handleiding wordt ervan uitgegaan dat u de standaard URI-indeling voor de toepassings-id gebruikt (bijvoorbeeld - api://00001111-aaaa-2222-bbbb-3333cccc4444).

Een bereik configureren

Bereiken worden gebruikt om machtigingen of mogelijkheden te definiëren voor toegang tot API's of gegevens in uw service. De lijst met ondersteunde bereiken is specifiek voor de service. U wilt een minimale set bereiken bepalen die vereist zijn voor uw connector. U moet ten minste één bereik voor de Power Query-client-id's vooraf verifiëren.

Als uw resourcetoepassing al bereiken heeft gedefinieerd, kunt u doorgaan met de volgende stap.

Als uw service geen machtigingen op basis van bereiken gebruikt, kunt u nog steeds één bereik definiëren dat door de connector wordt gebruikt. U kunt dit bereik (optioneel) gebruiken in uw servicecode in de toekomst.

In dit voorbeeld definieert u één bereik met de naam Data.Read.

  1. Ga naar de overzichtspagina van de resourcetoepassing.
  2. Selecteer onder Beheren de optie Een API > beschikbaar maken en een bereik toevoegen.
  3. Voer Data.Read in als bereiknaam.
  4. Voor wie toestemming kan geven, selecteert u de optie Beheerders en gebruikers .
  5. Vul de resterende weergavenaam en beschrijvingsvakken in.
  6. Zorg ervoor dat Status is ingesteld op Ingeschakeld.
  7. Selecteer Bereik toevoegen.

De Power Query-clienttoepassingen vooraf verifiëren

Power Query-connectors gebruiken twee verschillende Client-id's van Microsoft Entra. Het vooraf verifiëren van bereiken voor deze client-id's vereenvoudigt de verbindingservaring.

Client ID Naam van de toepassing Gebruikt door
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query voor Excel Bureaubladomgevingen
b52893c8-bc2e-47fc-918b-77022b299bbc Power BI-gegevens vernieuwen Serviceomgevingen

De Power Query-client-id's vooraf verifiëren:

  1. Ga naar de overzichtspagina van de resourcetoepassing.
  2. Selecteer onder Beheren Een API beschikbaar maken.
  3. Selecteer Een clienttoepassing toevoegen.
  4. Voer een van de Power Query-client-id's in.
  5. Selecteer de juiste geautoriseerde bereiken.
  6. Selecteer Toepassing toevoegen.
  7. Herhaal stap 3 tot en met 6 voor elke Power Query-client-id.

Het type Aad-verificatie inschakelen in uw connector

Microsoft Entra ID-ondersteuning is ingeschakeld voor uw connector door het verificatietype toe te voegen aan de Aad gegevensbronrecord van uw connector.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Vervang de {YourApplicationIdUri} waarde door de URI-waarde van de toepassings-id voor uw resourcetoepassing, api://00001111-aaaa-2222-bbbb-3333cccc4444bijvoorbeeld.

In dit voorbeeld:

  • AuthorizationUri: de Microsoft Entra-URL die wordt gebruikt om de verificatiestroom te initiëren. De meeste connectors kunnen deze waarde hardcoderen, https://login.microsoftonline.com/common/oauth2/authorizemaar deze kunnen ook dynamisch worden bepaald als uw service Azure B2B/Gastaccounts ondersteunt. Ga naar voorbeelden voor meer informatie.
  • Resource: de URI van de toepassings-id van uw connector.
  • Bereik: Gebruik het standaardbereik om automatisch alle vooraf geverifieerde bereiken te ontvangen. Met het gebruik .default kunt u de vereiste connectorbereiken in de registratie van uw resourcetoepassing wijzigen zonder dat u de connector hoeft bij te werken.

Ga naar de pagina Met verificatievoorbeelden voor Microsoft Entra-id's voor meer informatie en opties voor het configureren van Microsoft Entra-ondersteuning in uw connector.

Bouw uw connector opnieuw en u moet nu kunnen verifiëren met uw service met behulp van Microsoft Entra ID.

Probleemoplossing

In deze sectie worden veelvoorkomende fouten beschreven die u kunt ontvangen als uw Microsoft Entra-toepassing onjuist is geconfigureerd.

Power Query-toepassing is niet vooraf geverifieerd

access_denied: AADSTS650057: Ongeldige resource. De client heeft toegang aangevraagd tot een resource die niet wordt vermeld in de aangevraagde machtigingen in de toepassingsregistratie van de client. Client-app-id: a672d62c-fc7b-4e81-a576-e60dc46e951d (Microsoft Power Query voor Excel). Resourcewaarde van aanvraag: 00001111-aaaa-2222-bbbb-3333cccc44444. Resource-app-id: 00001111-aaaa-2222-bbbb-3333cccc44444

Deze fout kan optreden als uw resourcetoepassing de Power Query-clienttoepassingen niet vooraf heeft geverifieerd. Volg de stappen om de Power Query-client-id's vooraf te verifiëren.

De Aad-record van de connector ontbreekt in een bereikwaarde

access_denied: AADSTS650053: De toepassing 'Microsoft Power Query voor Excel' vroeg om bereik 'user_impersonation' die niet bestaat op de resource '00001111-aaaa-2222-bbbb-333cccc44444'. Neem contact op met de leverancier van de app.

Power Query vraagt het user_impersonation bereik aan als de record van Aad de connector geen veld definieert Scope of de Scope waarde is null. U kunt dit probleem oplossen door een Scope waarde in de connector te definiëren. Het gebruik van het .default bereik wordt aanbevolen, maar u kunt ook bereiken opgeven op connectorniveau (bijvoorbeeld - Data.Read).

Voor het bereik of de clienttoepassing is goedkeuring van de beheerder vereist

Beheerdersgoedkeuring nodig. <tenant> heeft toestemming nodig voor toegang tot resources in uw organisatie die alleen een beheerder kan verlenen. Vraag een beheerder om toestemming te verlenen aan deze app voordat u deze kunt gebruiken.

Een gebruiker kan deze fout ontvangen tijdens de verificatiestroom als uw resourcetoepassing beheerdersmachtigingen vereist of de tenant van de gebruiker voorkomt dat niet-beheerders toestemming geven voor nieuwe aanvragen voor toepassingsmachtigingen. U kunt dit probleem voorkomen door ervoor te zorgen dat voor uw connector geen door beheerders beperkte bereiken zijn vereist en de Power Query-client-id's vooraf worden geverifieerd voor uw resourcetoepassing.