Udostępnij za pośrednictwem

Szybki start: konfigurowanie usługi Microsoft Entra dla łącznika niestandardowego

  • Artykuł

W tym przewodniku opisano kroki konfigurowania aplikacji Microsoft Entra do użycia z łącznikiem niestandardowym dodatku Power Query. Zalecamy, aby deweloperzy łączników przejrzeli pojęcia Platforma tożsamości Microsoft przed kontynuowaniem.

Ponieważ termin aplikacji jest używany w wielu kontekstach na platformie Microsoft Entra, w tym przewodniku użyto następujących terminów, aby odróżnić identyfikatory aplikacji łącznika i źródła danych:

  • Aplikacja kliencka: identyfikatory klientów firmy Microsoft Entra, które są używane przez łącznik Power Query.
  • Aplikacja zasobów: rejestracja aplikacji Microsoft Entra dla punktu końcowego, z którą łącznik nawiązuje połączenie (czyli z usługą lub źródłem danych).

Włączenie obsługi usługi Microsoft Entra dla łącznika niestandardowego obejmuje:

  • Definiowanie co najmniej jednego zakresu w aplikacji zasobów używanej przez łącznik.
  • Wstępne uwierzytelnianie identyfikatorów klientów dodatku Power Query w celu używania tych zakresów.
  • Ustawianie poprawnych Resource wartości i Scopes w definicji łącznika.

W tym przewodniku założono, że nowa aplikacja zasobów jest zarejestrowana w usłudze Microsoft Entra. Deweloperzy z istniejącą aplikacją zasobów mogą przejść do sekcji Konfigurowanie zakresu .

Uwaga

Aby uzyskać więcej informacji na temat korzystania z witryny Microsoft Entra w usłudze lub aplikacji, przejdź do jednego z przewodników Szybki start.

Rejestrowanie aplikacji zasobów

Źródło danych lub punkt końcowy interfejsu API używa tej aplikacji zasobów do ustanawiania zaufania między usługą a Platforma tożsamości Microsoft.

Wykonaj następujące kroki, aby zarejestrować nową aplikację zasobów:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.
  3. Wprowadź nazwę wyświetlaną aplikacji.
  4. W obszarze Obsługiwane typy kont wybierz pozycję Konta w tym katalogu organizacyjnym tylko wtedy, gdy punkt końcowy jest dostępny tylko z poziomu organizacji. Wybierz pozycję Konta w dowolnym katalogu organizacyjnym dla publicznie dostępnych usług wielodostępnych.
  5. Wybierz pozycję Zarejestruj.

Nie musisz określać wartości identyfikatora URI przekierowania.

Strona Przegląd aplikacji jest wyświetlana po zakończeniu rejestracji. Zanotuj identyfikator katalogu (dzierżawy) i wartości identyfikatora aplikacji (klienta), ponieważ będą one używane w kodzie źródłowym usługi. Postępuj zgodnie z jednym z przewodników w przykładach kodu Platforma tożsamości Microsoft przypominających środowisko usługi i architekturę, aby określić sposób konfigurowania i używania nowej aplikacji.

Ustawianie identyfikatora URI identyfikatora aplikacji

Aby można było skonfigurować zakres dla punktu końcowego, należy ustawić identyfikator URI identyfikatora aplikacji dla aplikacji zasobów. Ten identyfikator będzie używany przez Resource pole rekordu w łączniku Aad . Wartość jest ustawiona na główny adres URL usługi. Możesz również użyć wartości domyślnej wygenerowanej przez firmę Microsoft Entra — api://{clientId} gdzie {clientId} jest identyfikatorem klienta aplikacji zasobów.

  1. Przejdź do strony Przegląd aplikacji zasobów.
  2. Na środkowym ekranie w obszarze Podstawy wybierz pozycję Dodaj identyfikator URI identyfikatora aplikacji.
  3. Wprowadź identyfikator URI lub zaakceptuj wartość domyślną na podstawie identyfikatora aplikacji.
  4. Wybierz przycisk Zapisz i kontynuuj.

W przykładach w tym przewodniku założono, że używasz domyślnego formatu identyfikatora URI aplikacji (na przykład — api://00001111-aaaa-2222-bbbb-3333cccc4444).

Konfigurowanie zakresu

Zakresy służą do definiowania uprawnień lub możliwości uzyskiwania dostępu do interfejsów API lub danych w usłudze. Lista obsługiwanych zakresów jest specyficzna dla usługi. Chcesz określić minimalny zestaw zakresów wymaganych przez łącznik. Należy wstępnie uwierzytelnić co najmniej jeden zakres dla identyfikatorów klientów dodatku Power Query.

Jeśli aplikacja zasobów ma już zdefiniowane zakresy, możesz przejść do następnego kroku.

Jeśli usługa nie używa uprawnień opartych na zakresie, nadal możesz zdefiniować pojedynczy zakres używany przez łącznik. Możesz (opcjonalnie) korzystać z tego zakresu w kodzie usługi w przyszłości.

W tym przykładzie zdefiniujesz pojedynczy zakres o nazwie Data.Read.

  1. Przejdź do strony Przegląd aplikacji zasobów.
  2. W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API > Dodaj zakres.
  3. W polu Nazwa zakresu wprowadź wartość Data.Read.
  4. W obszarze Kto może wyrazić zgodę, wybierz opcję Administratorzy i użytkownicy .
  5. Wypełnij pozostałe pola nazwa wyświetlana i opis.
  6. Upewnij się, że ustawienie Stan ma wartość Włączone.
  7. Wybierz Dodaj zakres.

Wstępne uwierzytelnianie aplikacji klienckich Power Query

Łączniki dodatku Power Query używają dwóch różnych identyfikatorów klientów firmy Microsoft Entra. Wstępne uwierzytelnianie zakresów dla tych identyfikatorów klientów upraszcza środowisko połączenia.

Client ID Nazwa aplikacji Używane przez
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query dla programu Excel Środowiska pulpitu
b52893c8-bc2e-47fc-918b-77022b299bbc Odświeżanie danych usługi Power BI Środowiska usługi

Aby wstępnie uwierzytelnić identyfikatory klientów dodatku Power Query:

  1. Przejdź do strony Przegląd aplikacji zasobów.
  2. W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API.
  3. Wybierz Dodaj aplikację klienta.
  4. Wprowadź jeden z identyfikatorów klienta dodatku Power Query.
  5. Wybierz odpowiednie autoryzowane zakresy.
  6. Wybierz Dodaj aplikację.
  7. Powtórz kroki 3– 6 dla każdego identyfikatora klienta dodatku Power Query.

Włączanie rodzaju uwierzytelniania usługi Aad w łączniku

Obsługa identyfikatora Entra firmy Microsoft jest włączona dla łącznika przez dodanie Aad rodzaju uwierzytelniania do rekordu źródła danych łącznika.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Zastąp {YourApplicationIdUri} wartość wartością identyfikatora URI aplikacji dla aplikacji zasobów, na przykład api://00001111-aaaa-2222-bbbb-3333cccc4444.

W tym przykładzie:

  • AuthorizationUri: adres URL entra firmy Microsoft używany do inicjowania przepływu uwierzytelniania. Większość łączników może trwale zakodować tę wartość na https://login.microsoftonline.com/common/oauth2/authorizewartość , ale można ją również określić dynamicznie, jeśli usługa obsługuje konta B2B/gości platformy Azure. Aby uzyskać więcej informacji, przejdź do przykładów.
  • Zasób: identyfikator URI identyfikatora aplikacji łącznika.
  • Zakres: Użyj zakresu domyślnego, aby automatycznie odbierać wszystkie wstępnie uwierzytelnione zakresy. Użycie .default umożliwia zmianę wymaganych zakresów łącznika w rejestracji aplikacji zasobów bez konieczności aktualizowania łącznika.

Aby uzyskać więcej szczegółów i opcji konfigurowania pomocy technicznej firmy Microsoft Entra w łączniku, przejdź do strony przykładów uwierzytelniania identyfikatora entra firmy Microsoft.

Skompiluj łącznik i teraz powinno być możliwe uwierzytelnienie w usłudze przy użyciu identyfikatora Entra firmy Microsoft.

Rozwiązywanie problemów

W tej sekcji opisano typowe błędy, które mogą wystąpić, jeśli aplikacja Firmy Microsoft Entra jest nieprawidłowo skonfigurowana.

Aplikacja Power Query nie została wstępnie uwierzytelniona

access_denied: AADSTS650057: Nieprawidłowy zasób. Klient zażądał dostępu do zasobu, który nie znajduje się na liście żądanych uprawnień w rejestracji aplikacji klienta. Identyfikator aplikacji klienckiej: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query dla programu Excel). Wartość zasobu z żądania: 0000111-aaaa-2222-bbbb-3333cc4444. Identyfikator aplikacji zasobu: 00001111-aaaa-2222-bbbb-3333cc44444

Ten błąd może wystąpić, jeśli aplikacja zasobów nie wstępnie uwierzytelniła aplikacji klienckich dodatku Power Query. Wykonaj kroki, aby wstępnie uwierzytelnić identyfikatory klientów dodatku Power Query.

W rekordzie usługi Aad łącznika brakuje wartości Zakresu

access_denied: AADSTS650053: aplikacja "Microsoft Power Query dla programu Excel" poprosiła o zakres "user_impersonation", który nie istnieje w zasobie "00001111-aaaa-2222-bbbb-3333cc4444". Skontaktuj się z dostawcą aplikacji.

Dodatek Power Query żąda user_impersonation zakresu, jeśli rekord łącznika Aad nie definiuje Scope pola lub Scope wartość to null. Ten problem można rozwiązać, definiując Scope wartość w łączniku. .default Korzystanie z zakresu jest zalecane, ale można również określić zakresy na poziomie łącznika (na przykład — Data.Read).

Zakres lub aplikacja kliencka wymaga zatwierdzenia przez administratora

Potrzebna jest zgoda administratora. <Dzierżawa> musi mieć uprawnienia dostępu do zasobów w organizacji, które może udzielić tylko administrator. Poproś administratora o udzielenie uprawnień do tej aplikacji, zanim będzie można jej używać.

Użytkownik może otrzymać ten błąd podczas przepływu uwierzytelniania, jeśli aplikacja zasobów wymaga uprawnień ograniczonych przez administratora lub dzierżawa użytkownika uniemożliwia użytkownikom niebędącym administratorem wyrażanie zgody na nowe żądania uprawnień aplikacji. Ten problem można uniknąć, upewniając się, że łącznik nie wymaga żadnych zakresów ograniczonych przez administratora i wstępnego uwierzytelniania identyfikatorów klientów dodatku Power Query dla aplikacji zasobów.