Do rozważenia podczas rejestracji aplikacji
ALM Accelerator for Power Platform polega na rejestracji aplikacji w Microsoft Entra w celu komunikacji z wymaganymi usługami. W tym artykule omówiono kwestie, o których należy pamiętać oraz podejścia, które można podjąć podczas projektowania strategii rejestracji aplikacji dla akceleratora ALM Accelerator.
Wymagane uprawnienia interfejsu API
Należy umożliwić rejestracjom aplikacji korzystanie z odpowiednich interfejsów API dla akceleratora ALM Accelerator w celu komunikowania się z wymaganymi usługami. Wymagania dotyczące komunikacji z tymi usługami zależą od funkcjonalności akceleratora ALM Accelerator.
W poniższej tabeli pokazano, jakie uprawnienia interfejsu API są wymagane do różnych funkcji akceleratora ALM Accelerator.
| Funkcje | Uprawnienie interfejsu API | Typ uprawnienia | opis |
|---|---|---|---|
| Używanie łącznika niestandardowego CustomAzureDevOps | Azure DevOps - Używaj personifikacji | Delegowany | Aplikacja kanwy ALM Accelerator musi mieć uprawnienia interfejsu API Azure DevOps do komunikacji z Azure DevOps. |
| Wdróż potoki weryfikacji | Dynamics CRM - Używaj personifikacji | Delegowany | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Wdróż potoki weryfikacji | Power Apps Advisor - Analysis.All | Delegowany | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Wdróż potoki testowe | Dynamics CRM - Używaj personifikacji | Delegowany | Potok wdrażania rozwiązań w środowisku testowym wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Wdróż potoki produkcyjne | Dynamics CRM - Używaj personifikacji | Delegowany | Potok wdrażania rozwiązań w środowisku produkcyjnym wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Eksport potoku rozwiązania | Dynamics CRM - Używaj personifikacji | Delegowany | Potok eksportu rozwiązań ze środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Import potoku rozwiązania | Dynamics CRM - Używaj personifikacji | Delegowany | Potok importu rozwiązań z kontrolki źródłowej Azure Git do środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Usuń potok rozwiązania | Dynamics CRM - Używaj personifikacji | Delegowany | Potok usuwania rozwiązań w środowisku projektowym twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
Rozważania dotyczące strategii rejestracji aplikacji
Podczas projektowania strategii tworzenia i zarządzania rejestracjami aplikacji dla akceleratora ALM Accelerator należy rozważyć zarówno bezpieczeństwo, jak i obsługę.
Zasada najmniejszych uprawnień
Z punktu widzenia zabezpieczeń należy rozważyć zasadę najmniejszego uprawnienia. Każda rejestracja aplikacji powinna mieć najmniej uprawnień wymaganych do wykonywania niezbędnych operacji.
Prosta konserwacja
Z punktu widzenia obsługi klienta należy rozważyć strategię, która wymaga jak najmniejszych prac w celu utrzymania rejestracji aplikacji i usług, które z nich korzystają. Jednym z zadań związanych z konserwacją rejestracji aplikacji jest na przykład odświeżenie bieżącego rejestru i utworzenie nowego. Każdą usługę, która korzysta z rejestracji aplikacji, trzeba ponownie skonfigurować, gdy zostanie obracany kod. Im więcej jest rejestracji aplikacji, tym więcej pracy trzeba wykonać w celu ich obsługi.
Strategie rejestracje aplikacji systemu Azure
Strategie rejestrowania aplikacji z Microsoft Entra ID mają być używania przez zakres akceleratora ALM Accelerator od bardzo prostego do bardzo ziarnistego.
Rejestracja jednej aplikacji do wszystkiego
Najprostszą strategią jest utworzenie jednej rejestracji aplikacji służącej do realizacji wszystkich Twoich potrzeb. Ta strategia umożliwia użycie tej samej funkcji rejestracji aplikacji dla łącznika niestandardowego CustomAzureDevOps i wszystkich połączeń usługi Azure DevOps potrzebnych do uzyskania dostępu do środowisk Power Platform.
Ta strategia jest najłatwiejsza do zarządzania, ale stanowi naruszenie zasady najmniejszego uprawnienia. Rejestracja jednej aplikacji ma uprawnienia do wykonywania wszystkich wymaganych operacji za pośrednictwem łącznika niestandardowego i wszystkich skonfigurowanych połączeń usługi Azure DevOps.
| Rejestracja aplikacji | Uprawnienie i typ interfejsu API | opis |
|---|---|---|
| Rejestracja jednej aplikacji do wszystkich celów | Azure DevOps — user_impersonation — Delegowane | Aplikacja kanwy ALM Accelerator musi mieć uprawnienia interfejsu API Azure DevOps do komunikacji z Azure DevOps. |
| Rejestracja jednej aplikacji do wszystkich celów | Dynamics CRM — user_impersonation — Delegowane | Operacja mająca na celu wyeksportowanie rozwiązań z środowisk deweloperskich producentów i wdrożenie rozwiązań w środowiskach sprawdzania poprawności, testowania i produkcyjnego wymaga uprawnień, aby użyć interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązań. |
| Rejestracja jednej aplikacji do wszystkich celów | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
Jedna rejestracja aplikacji dla Azure DevOps i jedna dla Power Platform
Bardziej ziarnistą strategią jest utworzenie jednej rejestracji aplikacji dla łącznika niestandardowego CustomAzureDevOps i drugiej dla potoków, które mają komunikować się z środowiskami Power Platform.
Ta strategia jest lepiej dopasowana do zasady najmniejszego uprawnienia. Tylko rejestracja aplikacji używana dla łącznika niestandardowego CustomAzureDevOps może uzyskać dostęp do interfejsu API Azure DevOps i tylko rejestracja aplikacji użyta do połączenia do Power Platform może używać interfejsu API Power Platform (Dynamics CRM).
| Rejestracja aplikacji | Uprawnienie i typ interfejsu API | opis |
|---|---|---|
| Rejestrowanie aplikacji dla Azure DevOps | Azure DevOps — user_impersonation — Delegowane | Aplikacja kanwy ALM Accelerator musi mieć uprawnienia interfejsu API Azure DevOps do komunikacji z Azure DevOps. |
| Rejestrowanie aplikacji dla Power Platform | Dynamics CRM — user_impersonation — Delegowane | Operacja mająca na celu wyeksportowanie rozwiązań z środowisk deweloperskich producentów i wdrożenie rozwiązań w środowiskach sprawdzania środowiska wymaga uprawnień, aby użyć interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązań. |
| Rejestrowanie aplikacji dla Power Platform | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
Jedna rejestracja aplikacji dla Azure DevOps i kilka dla Power Platform
Jeszcze bardziej ziarnistą strategią jest tworzenie rejestracji aplikacji w celu uzyskania dostępu do różnych środowisk Power Platform. Można utworzyć jedną rejestrację aplikacji dla każdego środowiska, do których trzeba uzyskać dostęp przy użyciu potoków akceleratora ALM Accelerator. Możesz też utworzyć jedną rejestrację aplikacji dla każdego projektu Power Platform, który obsługujesz, używając akceleratora ALM Accelerator.
Ta strategia jest bliżej dopasowana do zasady najmniejszego uprawnienia. Należy również rozważyć konserwację. Pamiętaj, aby zachować ustrukturalną strukturę rejestracji aplikacji używanej w poszczególnych środowiskach. Te informacje będą przydatne, gdy pojawi się tajne rejestru aplikacji.
W poniższej tabeli pokazano, jak można tworzyć rejestracje aplikacji dla każdego projektu Power Platform w celu ograniczenia dostępu tylko do odpowiedniego środowiska.
| Rejestracja aplikacji | Zakres Power Platform | Uprawnienie i typ interfejsu API | opis |
|---|---|---|---|
| Rejestrowanie aplikacji dla Azure DevOps | Nie dotyczy | Azure DevOps — user_impersonation — Delegowane | Aplikacja kanwy ALM Accelerator musi mieć uprawnienia interfejsu API Azure DevOps do komunikacji z Azure DevOps. |
| Rejestrowanie aplikacji dla Power Platform | Projekt platformy 1 | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 1 | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Środowisko projektowe twórcy 1 | Dynamics CRM — user_impersonation — Delegowane | Potok eksportu rozwiązań ze środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Środowisko projektowe twórcy 2 | Dynamics CRM — user_impersonation — Delegowane | Potok eksportu rozwiązań ze środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu operacji rozwiązania |
W poniższej tabeli pokazano, jak można dalej wyrównać z zasadą najmniejszego uprawnienia przez utworzenie rejestracji aplikacji dla każdego środowiska Power Platform.
| Rejestracja aplikacji | Zakres Power Platform | Uprawnienie i typ interfejsu API | opis |
|---|---|---|---|
| Rejestrowanie aplikacji dla Azure DevOps | Nie dotyczy | Azure DevOps — user_impersonation — Delegowane | Aplikacja kanwy ALM Accelerator musi mieć uprawnienia interfejsu API Azure DevOps do komunikacji z Azure DevOps. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 1 — Środowisko walidacji | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 1 — Środowisko walidacji | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 1 - Środowisko testowe | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 1 - Środowisko produkcyjne | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 — Środowisko walidacji | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 — Środowisko walidacji | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 - Środowisko testowe | Power Apps Advisor — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z usługi doradcy Power Apps w celu uruchamiania zadania sprawdzania rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Projekt 2 - Środowisko produkcyjne | Dynamics CRM — user_impersonation — Delegowane | Potok wdrażania rozwiązań w środowisku sprawdzania poprawności wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Środowisko projektowe twórcy 1 | Dynamics CRM — user_impersonation — Delegowane | Potok eksportu rozwiązań ze środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |
| Rejestrowanie aplikacji dla Power Platform | Środowisko projektowe twórcy 2 | Dynamics CRM — user_impersonation — Delegowane | Potok eksportu rozwiązań ze środowiska projektowego twórcy wymaga uprawnień do korzystania z interfejsu API Power Platform (Dynamics CRM) w celu wykonywania operacji rozwiązania. |