Criação de um aplicativo de entidade de serviço usando API (versão preliminar)
[Este artigo faz parte da documentação de pré-lançamento e está sujeito a alterações.]
A autenticação por meio de nome de usuário e senha geralmente não é ideal, especialmente com o aumento da autenticação multifator. Nesses casos, a autenticação da entidade de serviço (ou fluxo de credenciais de cliente) é preferencial. Você pode autenticar-se com uma entidade de serviço registrando um novo aplicativo de entidade de serviço em seu próprio locatário do Microsoft Entra e, em seguida, registrando esse mesmo aplicativo com o Power Platform.
Observação
O Power Platform CLI fornece uma maneira mais fácil. Saiba mais em Criando um aplicativo de entidade de serviço usando a PAC CLI.
Registro de um aplicativo de gerenciamento de administrador
Primeiro, o aplicativo cliente precisa ser registrado em seu locatário do Microsoft Entra. Revise o artigo Autenticação das APIs do Power Platform para saber como.
Depois que seu aplicativo cliente for registrado no Microsoft Entra ID, ele também precisará ser registrado no Microsoft Power Platform. Hoje, não há como fazer isso por meio do centro de administração do Power Platform; deve ser feito programaticamente por meio da API do Power Platform ou do PowerShell para administradores do Power Platform. Uma entidade de serviço não pode se registrar. Por design, um administrador usando o contexto de nome de usuário e senha deve registrar o aplicativo. Esta restrição garante que somente quem é administrador do aplicativo do locatário registra o aplicativo.
Para registrar um novo aplicativo de gerenciamento, use a seguinte Solicitação com um token de portador obtido usando a autenticação de nome de usuário e senha:
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Fazer solicitações como a entidade de serviço
Agora que a entidade de serviço está registrada com o Microsoft Power Platform, você poderá se autenticar como a própria entidade de serviço. Use a seguinte solicitação para consultar sua lista de aplicativos de gerenciamento. Esta solicitação pode usar um token de portador obtido usando o fluxo de autenticação de credencial do cliente:
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01
Host: api.bap.microsoft.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOi...
Criação de um aplicativo de entidade de serviço usando PAC CLI
Use o Microsoft Power Platform CLI (PAC CLI) para adicionar o aplicativo Microsoft Entra ID (SPN) e o usuário do aplicativo associado ao ambiente do Dataverse. O comando admin create-service-principal cria o aplicativo Microsoft Entra ID (SPN) e também o registra no Microsoft Power Platform.
pac admin create-service-principal --environment <environment id>
Saiba mais sobre o comando pac admin create-service-principal e como instalar a PAC CLI.
Limitações de entidades de serviço
Atualmente, a autenticação de entidade de serviço funciona para gerenciamento de ambiente, configurações de locatário e gerenciamento do Power Apps. As APIs relacionadas ao Flow são compatíveis com a autenticação de entidade de serviço em situações em que uma licença não é necessária, pois não é possível atribuir licenças a identidades de entidade de serviço no Microsoft Entra ID.
Os aplicativos da entidade de serviço são tratados no Power Platform semelhante à forma como os usuários normais são com a função Administrador do Power Platform atribuída. Funções e permissões granulares não podem ser atribuídas para limitar seus recursos. O aplicativo não recebe nenhuma função especial atribuída no Microsoft Entra ID, pois é assim que os serviços da plataforma tratam as solicitações feitas pelas entidades de serviço.