Udostępnij za pośrednictwem

Wdrażanie potoków jako tożsamości właściciela głównej usługi lub etapu potoku

  • Artykuł

Delegowane wdrożenia można uruchomić jako właściciel głównej usługi lub etapu potoku. Po włączeniu tej opcji etap potoku jest wdrażany jako delegat (główna usługa lub właściciel etapu potoku) zamiast twórcy żądania.

Wdrażanie za pomocą nazwy głównej usługi

Wymagania wstępne

  • Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz Założyć konto za darmo.
  • Jedna z następujących ról Microsoft Entra: Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Musisz być właścicielem aplikacji korporacyjnej (jednostki usługi) w Microsoft Entra ID.

W przypadku wdrożenia delegowanego z podmiotem głównym usługi wykonaj następujące kroki.

  1. Utwórz aplikację dla przedsiębiorstwa (jednostka usługi) w Microsoft Entra ID.

    Ważne

    Każda osoba włączająca lub modyfikująca konfiguracje jednostki usługi w potokach musi być właścicielem aplikacji korporacyjnej (jednostki usługi) w Microsoft Entra ID.

  2. Dodaj aplikację dla przedsiębiorstwa jako użytkownika serwer-serwer (S2S) w środowisku hosta potoków i każdym środowisku docelowym, w którym zostanie wdrożona.

  3. Przypisywanie roli zabezpieczeń administratora potoku wdrażania użytkownikowi usługi S2S w hoście potoków i w rola zabezpieczeń administratora środowisk docelowych. Niższe role zabezpieczeń uprawnień nie mogą wdrażać dodatków plug-in i innych składników kodu.

  4. Wybierz (sprawdź) Jest delegowane wdrożenie na etapie potoku, wybierz nazwę główną usługi i wprowadź identyfikator klienta. Wybierz pozycję Zapisz.

  5. Opcjonalnie Zezwalaj na żądania udostępniania, aby osoby żądające wdrożenia mogły określić, które grupy zabezpieczeń mogą uzyskiwać dostęp do wdrożonych obiektów w środowisku docelowym. Żądania udostępniania są częścią żądania wdrożenia i mogą zostać zatwierdzone lub odrzucone.

Ważne

Osoby zatwierdzające wdrożenie są odpowiedzialne za dokładne przeglądanie informacji o udostępnianiu i rolach zabezpieczeń. Po zatwierdzeniu wdrożenia potoki automatycznie przypisują uprawnienia przy użyciu tożsamości jednostki usługi wdrażania.
>

  1. Tworzenie przepływu chmury w środowisku hosta potoków. Alternatywne systemy można zintegrować przy użyciu interfejsów API Microsoft Dataverse potoku.

  2. Wybierz wyzwalacz OnApprovalStarted.

  3. Dodaj kroki wymaganej logiki niestandardowej.

  4. Wstaw krok zatwierdzania. Użycie zawartości dynamicznej do wysyłania informacji o żądaniu wdrożenia do osób zatwierdzających.

  5. Wstaw warunek.

  6. Tworzenie połączenia Dataverse z jednostką usługi Potrzebny będzie identyfikator klienta oraz identyfikator klienta.

  7. Dodaj Przeprowadź niepowiązaną akcję Dataverse, używając pokazane poniżej ustawienia.
    Nazwa akcji: UpdateApprovalStatus ApprovalComments: Wstaw zawartość dynamiczną. Komentarze będą widoczne dla osoby żądacej wdrożenia. ApprovalStatus: 20 = zatwierdzony, 30 = odrzucone ApprovalProperties: wstaw zawartość dynamiczną. Informacje administracyjne dostępne z poziomu hosta potoków.

    Ważne

    Akcja UpdateApprovalStatus musi używać połączenia głównej usługi.

    Połącz z nazwą głównej usługi

    Porada

    Aby usprawnić debugowanie, w menu zawartości dynamicznej wybierz opcję ApprovalProperties i wstaw workflow(). Łączy przebieg przepływu z uruchomieniem etapu potoku (historia uruchamiania).

  8. Zapisz, a następnie przetestuj potok.

Poniżej znajduje się zrzut ekranu alfabetycznego przepływu zatwierdzeń.

Kanoniczne zatwierdzanie przepływu

Wdrażanie jako właściciel etapu potoku

Regularni użytkownicy, w tym również pełniący funkcję kont usługowych, mogą również pełnić funkcję delegatów. Konfiguracja jest bardziej prosta w porównaniu z jednostkami usługi, ale nie można wdrożyć rozwiązań zawierających odwołania do połączeń oAuth.

Aby wdrożyć jako właściciela etapu potoku, wykonaj poniższe kroki.

  1. Przypisywanie roli zabezpieczeń administratora potoków wdrażania właścicielowi etapu potoku w hoście potoków i przypisywanie roli zabezpieczeń administratora systemu w środowiskach docelowych.

    Niższe role zabezpieczeń uprawnień nie mogą wdrażać dodatków plug-in i innych składników kodu.

  2. Zaloguj się jako właściciel etapu potoku. Tylko właściciel może włączyć lub zmodyfikować te ustawienia. Własność zespołowa nie jest dozwolona.

  3. Wybierz Jest delegowanym wdrożeniem na etapie potoku i wybierz opcję Właściciel etapu.

    • Tożsamość właściciela etapu potoku będzie używana we wszystkich wdrożeniach na tym etapie.
    • Ta tożsamość musi być używana do zatwierdzania wdrożeń.

  4. Tworzenie przepływu chmury w rozwiązaniu w środowisku hosta potoków.

    1. Wybierz wyzwalacz OnApprovalStarted.
    2. Wstaw odpowiednie akcje. Na przykład zatwierdzenie.
    3. Dodaj Wykonaj akcję anulowania powiązania Dataverse.
      Nazwa akcji: UpdateApprovalStatus (20 = zakończono, 30 = odrzucono)

Delegowane próbki wdrożeniem

Ważne

Funkcje dostępne w tych przykładach są teraz obsługiwane natywnie w produkcie, ale te przykłady mogą zawierać szczegółowe informacje na temat rozszerzania funkcji udostępniania natywnego.

Ten plik do pobrania zawiera przykładowe przepływy w chmurze służące do zarządzania zatwierdzeniem oraz udostępnianiem wdrożonych aplikacji kanw i przepływów w środowisku docelowym. Pobierz przykładowe rozwiązanie

Pobierz to zarządzane rozwiązanie i zaimportuj je do środowiska hosta potoków. Następnie można je dostosować do potrzeb organizacji.

Często zadawane pytania

Jak twórcy mogą uzyskać dostęp do wdrożonych obiektów w środowiskach docelowych?

Udostępnianie podczas wdrażania jest natywną funkcją wdrożeń delegowanych z jednostkami usługi. Dzięki temu administratorzy nie muszą ręcznie przypisywać ról zabezpieczeń i udostępniać wdrożonych aplikacji, przepływów, pomocników itd. w centrum administracyjnym Power Platform. Zamiast tego administratorzy muszą tylko zatwierdzić żądanie wdrożenia, a udostępnianie jest wykonywane automatycznie przez system.

Które typy obiektów mogą być współużytkowane podczas wdrażania?

Obecnie obsługiwane są role zabezpieczeń, aplikacje kanwy i przepływy w chmurze. Udostępnianie Copilot może być również dostępne w zależności od regionu.

Czy mogę zaktualizować udostępnianie, gdy zostaną wdrożone nowe wersje?

Udostępnianie jest dostępne przy pierwszym wdrożeniu obiektu w środowisku docelowym. Udostępniania nie można zaktualizować, gdy zostaną wdrożone nowe wersje. Pamiętaj, aby wybrać odpowiednią grupę zabezpieczeń podczas pierwszego wdrożenia. Zarządzaj bieżącym dostępem za pośrednictwem grup zabezpieczeń.

Jakie uprawnienia są przypisywane do aplikacji kanwy i przepływów?

Potoki przypisują minimalne uprawnienia wymagane do uruchamiania aplikacji i przepływów. Jeśli wymagane są wyższe uprawnienia, potoki można rozszerzać. Zalecamy włączenie funkcji „Blokuj niezarządzane dostosowania” podczas przypisywania wyższych uprawnień.

Czy twórcy mogą udostępniać indywidualnym użytkownikom?

Obecnie nie. Zalecamy zarządzanie dostępem poszczególnych użytkowników za pośrednictwem grup zabezpieczeń po pierwszym wdrożeniu obiektu.

Otrzymuję błąd Etap wdrażania nie jest właścicielem jednostki usługi (<AppId>). Tylko właściciele jednostki usługi mogą używać jej do delegowanych wdrożeń.

Upewnij się, że jesteś właścicielem aplikacji dla przedsiębiorstw (jednostka usługi) w Microsoft Entra ID (dawniej Azure AD). Możesz być właścicielem tylko rejestracji aplikacji, a nie aplikacji dla przedsiębiorstw.

Aplikacje dla przedsiębiorstw

Dlaczego w przypadku delegowanych wdrożeń opartych na właścicielu etapu nie mogę przypisać innego użytkownika jako wdrożeniowca?

Ze względów bezpieczeństwa należy zalogować się jako użytkownik, który zostanie ustawiony jako właściciel etapu potoku. Zapobiega to dodaniu użytkownika, który nie wyraża zgody, jako wdrażającego.

Czy w przypadku wdrożeń delegowanych opartych na właścicielu etapu mogę użyć niestandardowego pliku DeploymentSettings.json?

Obecnie nie jest to w środowisku twórcy.

Dlaczego moje delegowane wdrożenia utknęły w stanie oczekiwania?

Wszystkie delegowane wdrożenia oczekują na zatwierdzenie. Upewnij się, że administrator skonfigurował przepływ zatwierdzania Power Automate lub inną automatyzację, że działa ona poprawnie i że wdrożenie zostało zatwierdzone.

Kto jest właścicielem wdrożonych obiektów rozwiązania?

Tożsamość wdrażająca. W przypadku delegowanych wdrożeń właścicielem jest delegowany podmiot usługi lub właściciel etapu potoku.

Czy mogę dodać niestandardowe kroki zatwierdzania?

Tak. Na przykład zatwierdzenia Power Automate można dostosować do potrzeb organizacji. Można również zintegrować inne systemy zatwierdzania.

Dlaczego muszę być właścicielem jednostki usługi?

Jest to wymuszane ze względów bezpieczeństwa. Możesz również tworzyć potoki przy użyciu konta usługi i dodawać to samo konto usługi co właściciel. Inną opcją jest przypisanie jednostki usługi (użytkownika aplikacji) jako właściciela etapu potoku i jako właściciela samego siebie (aplikacji Enterprise) w Microsoft Entra. Jednak przypisanie własności etapu potoku do aplikacji musi odbywać się za pośrednictwem interfejsu API Dataverse na hoście potoków.

Otrzymuję błąd Delegowane wdrożenia typu "ServicePrincipal" mogą być zatwierdzane lub odrzucane wyłącznie przez jednostkę usługi skonfigurowanego na etapie wdrożenia.

Upewnij się, że akcja niestandardowa Dataverse UpdateApprovalStatus jest wywoływana przez jednostkę usługi. Jeśli korzystasz z zatwierdzeń Power Automate, upewnij się, że ta akcja jest skonfigurowana do korzystania z połączenia jednostki usługi delegata.

Otrzymuję błąd Delegowane wdrożenia typu "Owner" mogą być zatwierdzane lub odrzucane wyłącznie przez właściciela skonfigurowanego na etapie wdrożenia.

Upewnij się, że akcja niestandardowa Dataverse UpdateApprovalStatus jest wywoływana przez właściciela etapu potoku. Jeśli korzystasz z zatwierdzeń Power Automate, upewnij się, że ta akcja jest skonfigurowana do korzystania z połączenia właściciela etapu potoku delegatów.

Otrzymuję błąd w moim przepływie zatwierdzania Nie można znaleźć atrybutu statusu zatwierdzenia dla rekordu przebiegu etapu.

Dzieje się tak, gdy status zatwierdzenia nie jest jeszcze w stanie oczekującym. Upewnij się, że jest to delegowane wdrożenie i używasz wyzwalacza OnApprovalStarted w przepływie zatwierdzania.

Czy do różnych potoków i etapów można używać różnych jednostek usługi?

Tak.