Udostępnij za pośrednictwem

Tworzenie podmiotu głównego usługi za pośrednictwem API (wersja zapoznawcza)

  • Artykuł

[Ten artykuł stanowi wstępną wersję dokumentacji i może ulec zmianie.]

Uwierzytelnianie za pomocą nazw użytkowników i haseł często nie jest idealne, szczególnie wraz z wzrostem uwierzytelniania wieloetapowego. W takim przypadku jest preferowane uwierzytelnianie przez podmiot główny usługi (lub przepływ poświadczeń klienta). Można to zrobić zarówno przez zarejestrowanie nowej głównej aplikacji usługi we własnej dzierżawie Microsoft Entra następnie zarejestrowanie tej samej aplikacji w Power Platform.

Rejestrowanie aplikacji do zarządzania dla administratora

Najpierw należy zarejestrować aplikację klienta w dzierżawie Microsoft Entra. Aby skonfigurować tę usługę, należy zapoznać się z artykułem dot. uwierzytelniania interfejsów API Power Platform.

Po zarejestrowaniu aplikacji klienckiej w Microsoft Entra ID, należy ją również zarejestrować w Microsoft Power Platform. Obecnie nie można tego zrobić za pośrednictwem centrum administracyjnego Power Platform. Musi to być wykonywane programistycznie za pośrednictwem interfejsu API Power Platform lub PowerShell dla administratorów Power Platform. Podmiot główny usługi nie może się sam zarejestrować — aplikacja musi być domyślnie zarejestrowana przez nazwę użytkownika administratora i hasło. Dzięki temu aplikacja jest tworzona przez osobę, którą jest administrator dzierżawy.

Aby zarejestrować nową aplikację zarządzania, należy użyć następującego żądania z tokenem nośnika uzyskanego przy użyciu uwierzytelniania nazw użytkowników i haseł:

Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01

Tworzenie żądań jako podmiot główny usługi

Po zarejestrowaniu się w Microsoft Power Platform, można uwierzytelnić się jako podmiot główny usługi. Do zapytania listy zarządzania aplikacjami należy użyć następującego żądania: Może to być użycie tokenu posiadacza, który jest uzyskiwany przy użyciu przepływu uwierzytelniania poświadczeń klienta:

Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01

Ograniczenia podmiotu głównego usługi

Obecnie uwierzytelnianie podmiotu głównego usługi działa na potrzeby zarządzania środowiskiem, ustawieniami dzierżawy oraz zarządzania Power Apps. Polecenia Cmdlet związane z przepływem są obsługiwane dla uwierzytelniania dyrektorów usług w sytuacjach, w których licencja nie jest wymagana, ponieważ nie ma możliwości przypisania licencji do tożsamości dyrektorów usług w Microsoft Entra ID.

Główne aplikacje usługi są traktowane w Power Platform w podobny sposób jak normalni użytkownicy z przypisaną rolą Administrator usługi Power Platform. Nie można przypisać ról i uprawnień ziarnistości w celu ograniczenia ich możliwości. Aplikacja nie ma przypisanej specjalnej roli w Microsoft Entra ID, ponieważ jest to sposób, w jaki usługi platformy traktują żądania wykonane przez jednostki usługi.