Udostępnij za pośrednictwem

Tworzenie podmiotu głównego usługi za pośrednictwem API (wersja zapoznawcza)

  • Artykuł

[Ten artykuł stanowi wstępną wersję dokumentacji i może ulec zmianie.]

Uwierzytelnianie za pomocą nazw użytkowników i haseł często nie jest idealne, szczególnie wraz z wzrostem uwierzytelniania wieloetapowego. W takim przypadku jest preferowane uwierzytelnianie przez podmiot główny usługi (lub przepływ poświadczeń klienta). Możesz uwierzytelnić się przy użyciu jednostki usługi, rejestrując nową aplikację jednostki usługi we własnym dzierżawcy Microsoft Entra, a następnie rejestrując tę samą aplikację w programie Power Platform.

Notatka

Interfejs wiersza polecenia Power Platform zapewnia łatwiejszy sposób. Dowiedz się więcej w temacie Tworzenie aplikacji jednostki usługi przy użyciu interfejsu wiersza polecenia PAC.

Rejestrowanie aplikacji do zarządzania dla administratora

Najpierw należy zarejestrować aplikację klienta w dzierżawie Microsoft Entra. Zapoznaj się z artykułem dotyczącym uwierzytelniania interfejsów API Power Platform, aby dowiedzieć się, jak to zrobić.

Po zarejestrowaniu aplikacji klienckiej w Microsoft Entra ID, należy ją również zarejestrować w Microsoft Power Platform. Obecnie nie można tego zrobić za pośrednictwem centrum administracyjnego Power Platform. Musi to być wykonywane programistycznie za pośrednictwem interfejsu API Power Platform lub PowerShell dla administratorów Power Platform. Jednostka usługi nie może się zarejestrować. Zgodnie z projektem administrator korzystający z kontekstu nazwy użytkownika i hasła musi zarejestrować aplikację. To ograniczenie zapewnia, że tylko osoba będąca administratorem aplikacji dzierżawcy rejestruje aplikację.

Aby zarejestrować nową aplikację zarządzania, należy użyć następującego żądania z tokenem nośnika uzyskanego przy użyciu uwierzytelniania nazw użytkowników i haseł:

PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...

Tworzenie żądań jako podmiot główny usługi

Po zarejestrowaniu jednostki usługi w Microsoft Power Platform można uwierzytelnić się jako jednostka usługi. Do zapytania listy zarządzania aplikacjami należy użyć następującego żądania: To żądanie może użyć tokenu elementu nośnego, który jest uzyskiwany przy użyciu przepływu uwierzytelniania poświadczeń klienta:

GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...

Tworzenie aplikacji jednostki usługi za pośrednictwem PAC CLI

Użyj produktu Microsoft Power Platform CLI (PAC CLI), aby dodać aplikację Microsoft Entra ID (SPN) i skojarzonego użytkownika aplikacji do środowiska Dataverse. Polecenie admin create-service-principal tworzy aplikację Microsoft Entra ID (SPN), a także ją rejestruje w Microsoft Power Platform.

pac admin create-service-principal  --environment <environment id>

Dowiedz się więcej o poleceniu pac admin create-service-principal i o tym, jak zainstalować PAC CLI.

Ograniczenia podmiotu głównego usługi

Obecnie uwierzytelnianie podmiotu głównego usługi działa na potrzeby zarządzania środowiskiem, ustawieniami dzierżawy oraz zarządzania Power Apps. Polecenia Cmdlet związane z przepływem są obsługiwane dla uwierzytelniania dyrektorów usług w sytuacjach, w których licencja nie jest wymagana, ponieważ nie ma możliwości przypisania licencji do tożsamości dyrektorów usług w Microsoft Entra ID.

Główne aplikacje usługi są traktowane w Power Platform w podobny sposób jak normalni użytkownicy z przypisaną rolą Administrator usługi Power Platform. Nie można przypisać ról i uprawnień ziarnistości w celu ograniczenia ich możliwości. Aplikacja nie ma przypisanej specjalnej roli w Microsoft Entra ID, ponieważ jest to sposób, w jaki usługi platformy traktują żądania wykonane przez jednostki usługi.