Implementar pipelines como um principal de serviço ou proprietário do pipeline
As implementações delegadas podem ser executadas como um principal de serviço ou proprietário de fase do pipeline. Quando ativada, a fase do pipeline implementa como o delegado (principal de serviço ou proprietário da fase do pipeline), em vez do criador do pedido.
Implementar com u, principal de serviço
Pré-requisitos
- Uma conta de utilizador do Microsoft Entra. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
- Uma das seguintes Microsoft Entra funções: Cloud Application Administrator ou Application Administrator.
- Tem de ser um proprietário da aplicação empresarial (principal de serviço) no ID do Microsoft Entra.
Para uma implementação delegada com um principal do serviço, siga estes passos.
Crie uma aplicação empresarial (principal de serviço) no ID do Microsoft Entra.
Importante
Qualquer pessoa que ative ou modifique configurações do principal de serviço em pipelines tem de ser proprietária da aplicação empresarial (principal de serviço) no ID do Microsoft Entra.
Adicione a aplicação empresarial como um utilizador de servidor para servidor (S2S) no ambiente de anfitrião de pipelines e em cada ambiente de destino em que é implementado.
Atribua o direito de acesso de Administrador de Pipeline de Implementação ao utilizador S2S dentro do anfitrião de pipelines e o direito de acesso de Administrador de Sistemas dentro de ambientes de destino. Direitos de acesso com permissões mais baixas não podem implementar plug-ins e outros componentes de código.
Escolha (marque) É implementação delegada numa fase de pipeline, selecione Principal de Serviço e introduza o ID de Cliente. Selecione Guardar.
Opcionalmente, Permita pedidos de partilha para que os requerentes da implementação possam especificar quais grupos de segurança podem aceder os objetos implementados no ambiente de destino. As solicitações de compartilhamento fazem parte da solicitação de implantação e podem ser aprovadas ou rejeitadas.
Importante
Os aprovadores de implantação são responsáveis por analisar cuidadosamente as informações de compartilhamento e de função de segurança. Quando uma implantação é aprovada, os pipelines atribuem automaticamente permissões usando a identidade da entidade de serviço de implantação.
>
Crie um fluxo de cloud no ambiente de anfitrião dos pipelines. Os sistemas alternativos podem ser integrados utilizando APIs do Microsoft Dataverse dos pipelines.
Selecione o acionador OnApprovalStarted.
Adicione passos à sua lógica personalizada pretendida.
Insira um passo de aprovação. Utilize conteúdo Dinâmico para enviar informações de pedidos de implementação para os aprovadores.
Inserir uma condição.
Criar uma ligação do Dataverse para o principal de serviço. Precisa de um ID de cliente e segredo.
Adicione Efetuar uma ação não vinculada do Dataverse utilizando as definições mostradas aqui.
Nome da Ação: UpdateApprovalStatus ApprovalComments: Inserir Conteúdo Dinâmico. Os comentários estão visíveis para quem pediu a implementação. ApprovalStatus: 20 = aprovado, 30 = rejeitado ApprovalProperties: Inserir Conteúdo Dinâmico. Informações de administração acessíveis a partir do anfitrião de pipelines.Importante
A ação UpdateApprovalStatus tem de utilizar a ligação do principal de serviço.
Gorjeta
Para melhorar a experiência de depuração, selecione ApprovalProperties e insira workflow() no menu de conteúdo dinâmico. Isto associa a execução do fluxo à execução de fase do pipeline (histórico de execução).
Guarde e, em seguida, teste o pipeline.
Eis uma captura de ecrã de um fluxo de aprovação canónico.
Implementar como o proprietário da fase de pipelines
Os utilizadores regulares, incluindo os utilizados como contas de serviço, também podem servir como delegados. A configuração é mais simples quando comparada com os principais de serviço, mas as soluções que contêm referências de ligação para ligações OAuth não podem ser implementadas.
Para implementar como o proprietário da fase de pipelines, siga estes passos.
Atribua o direito de acesso de Administrador de Pipeline de Implementação ao proprietário da fase de pipeline dentro do anfitrião de pipelines e atribua o direito de acesso de Administrador de Sistemas dentro de ambientes de destino.
Direitos de acesso com permissões mais baixas não podem implementar plug-ins e outros componentes de código.
Inicie sessão como o proprietário da fase de pipelines. Só o proprietário pode ativar ou modificar estas definições. A propriedade da equipa não é permitida.
Selecione É implementação delegada numa fase de pipelines e selecione Proprietário da Fase.
- A identidade do proprietário da fase de pipelines é utilizada por todas as implementações para esta fase.
- Do mesmo modo, esta identidade tem de ser utilizada para aprovar implementações.
Crie um fluxo de cloud numa solução no ambiente de anfitrião dos pipelines.
- Selecione o acionador OnApprovalStarted.
- Insira as ações como pretendido. Por exemplo, uma aprovação.
- Adicione Efetuar uma ação não vinculada do Dataverse.
Nome da Ação: UpdateApprovalStatus (20 = concluído, 30 = rejeitado)
Exemplos de implementação delegada
Importante
A funcionalidade fornecida nesses exemplos agora é suportada nativamente no produto, mas esses exemplos podem fornecer informações sobre como estender a funcionalidade de compartilhamento nativa.
Esta transferência contém exemplos de fluxos de cloud para gerir aprovações e partilhar aplicações de tela e fluxos implementados no ambiente de destino. Transferir solução de amostra
Transfira e importe a solução gerida para o seu ambiente anfitrião de pipelines. Em seguida, a solução pode ser personalizada para se adequar às necessidades da sua organização.
Perguntas mais frequentes
Como é que os criadores podem aceder a objetos implementados nos ambientes de destino?
A partilha durante a implantação é uma capacidade nativa de implementações delegadas com principais de serviço. Evita que os administradores precisem de atribuir manualmente os direitos de acesso e partilhem aplicações, fluxos, Copilotos, etc., implementados no centro de administração do Power Platform. Em vez disso, os administradores só precisam aprovar a solicitação de implantação e o compartilhamento é realizado automaticamente pelo sistema.
Quais tipos de objeto podem ser compartilhados durante a implantação?
Atualmente, há suporte para diretos de acesso, aplicações de tela e fluxos de cloud. A partilha do Copilot também pode estar disponível dependendo da sua região.
Posso atualizar o compartilhamento quando novas versões são implantadas?
O compartilhamento está disponível na primeira vez que um objeto é implantado no ambiente de destino. O compartilhamento não pode ser atualizado quando novas versões são implantadas. Certifique-se de selecionar um grupo de segurança apropriado durante a primeira implantação. Gerencie o acesso contínuo por meio de grupos de segurança.
Que permissões são atribuídas para aplicações de tela e fluxos?
Pipelines atribui os privilégios mínimos necessários para executar aplicativos e fluxos. Se forem desejados privilégios mais altos, os pipelines podem ser estendidos. Recomendamos que ative a funcionalidade 'Bloquear personalizações não geridas' ao atribuir permissões superiores.
Os criadores podem partilhar com utilizadores individuais?
Atualmente, não. Recomendamos gerenciar o acesso de usuários individuais por meio de grupos de segurança após a primeira implantação do objeto.
Estou a receber um erro A fase de implementação não é proprietária do principal de serviço (<AppId>). Apenas os proprietários do principal de serviço podem usá-la para implementações delegadas.
Certifique-se de que é o proprietário da Aplicação Empresarial (Principal de Serviço) no Microsoft Entra ID (antigo Azure AD). Pode ser apenas o proprietário do Registo de Aplicações e não da Aplicação Empresarial.
Para implementações delegadas baseadas no proprietário da fase, por que não posso atribuir outro utilizador como implementador?
Por motivos de segurança, deve fazer iniciar sessão com o utilizador que será definido como proprietário da fase do pipeline. Isto evita a adição de um utilizador como implementador sem consentimento.
Para implantações delegadas baseadas no proprietário do estágio, posso usar um arquivo de DeploymentSettings.json personalizado?
Atualmente não está dentro da experiência do criador.
Por que é que as minhas implementações delegadas estão no estado pendente?
Todas as implementações delegadas ficam pendentes até serem aprovadas. Verifique se o administrador configurou um fluxo de aprovação do Power Automate ou outra automatização, se está a funcionar corretamente e se a implementação foi aprovada.
Quem é o proprietário dos objetos da solução implementados?
A identidade que implementa. Para implementações delegadas, o proprietário é o principal de serviço ou proprietário da fase do pipeline delegado.
Posso adicionar etapas de aprovação personalizadas?
Sim. Por exemplo, as aprovações do Power Automate podem ser personalizadas para atender às necessidades da sua organização. Também pode integrar outros sistemas de aprovação.
Por que tenho que ser o proprietário do principal de serviço?
Isto é aplicado por razões de segurança. Também pode criar pipelines utilizando uma conta de serviço e adicionar a mesma conta de serviço como o proprietário. Outra opção é atribuir o principal de serviço (utilizador da aplicação) como o proprietário da fase do pipeline e como um proprietário de si mesmo (Aplicação empresarial) no Microsoft Entra. No entanto, a atribuição da propriedade do estágio do pipeline a um aplicativo deve ser feita por meio da Dataverse API no host dos pipelines.
Estou a receber um erro Implementações delegadas do tipo "ServicePrincipal" só podem ser aprovadas e rejeitadas pelo Principal de Serviço configurado na fase de implementação.
Certifique-se de que a ação personalizada do Dataverse UpdateApprovalStatus
é chamada pelo principal de serviço. Se estiver a usar aprovações do Power Automate, certifique-se de que esta ação está configurada para usar a ligação do principal de serviço delegado.
Estou a receber um erro Implementações delegadas do tipo "Proprietário" só podem ser aprovadas e rejeitadas pelo proprietário da fase de implementação.
Certifique-se de que a ação personalizada do Dataverse UpdateApprovalStatus
é chamada pelo proprietário da fase do pipeline. Se estiver a usar aprovações do Power Automate, certifique-se de que esta ação está configurada para usar a ligação do proprietário da fase do pipeline delegado.
Estou a receber um erro no meu fluxo de aprovação Não é possível encontrar o atributo de estado de aprovação para o registo de execução da fase.
Isto acontece quando o estado de aprovação ainda não está pendente. Verifique se esta é uma implementação delegada e se está a usar o acionador OnApprovalStarted
no seu fluxo de aprovação.
Posso utilizar principais de serviço diferentes para pipelines e fases diferentes?
Sim.