Partilhar via


Considerações sobre o registo de aplicação

O ALM Accelerator for Power Platform depende dos registos de aplicações do Microsoft Entra para comunicar com os serviços necessários. Este artigo debate considerações que deve ter em consideração e as abordagens que pode tomar ao estruturar uma estratégia de registo de aplicação para o ALM Accelerator.

Permissões de API necessárias

Necessita de permitir que os registos de aplicações utilizem as APIs relevantes para o ALM Accelerator comunicar com os serviços necessários. Os requisitos para comunicação com estes serviços dependem da funcionalidade do ALM Accelerator.

A tabela seguinte mostra que permissões de API são necessárias para as diferentes funcionalidades do ALM Accelerator.

Caraterística Permissão de API Tipo de permissão Descrição
Conector personalizado CustomAzureDevOps Azure DevOps – representação de utilizador Delegado A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps.
Implementar pipelines de validação Dynamics CRM – representação de utilizador Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Implementar pipelines de validação Assistente do Power Apps — Analysis.All Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Implementar pipelines de teste Dynamics CRM – representação de utilizador Delegado O pipeline para implementar soluções para o ambiente de teste necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Implementar pipelines de produção Dynamics CRM – representação de utilizador Delegado O pipeline para implementar soluções para o ambiente de produção necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Exportar pipeline da solução Dynamics CRM – representação de utilizador Delegado O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Importar pipeline da solução Dynamics CRM – representação de utilizador Delegado O pipeline para importar soluções do controlo de origem do Azure Git para o criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Eliminar o pipeline da solução Dynamics CRM – representação de utilizador Delegado O pipeline para eliminar soluções no ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.

Considerações para uma estratégia de registo de aplicação

Ao estruturar a sua estratégia para criar e gerir registos de aplicações para o ALM Accelerator, deverá considerar a segurança e a manutenção.

Princípio do menor privilégio

A partir de uma perspetiva de segurança, considere o princípio do privilégio mínimo. Qualquer registo de aplicação deverá ter os privilégios mínimos necessários para efetuar as respetivas operações necessárias.

Simplicidade da manutenção

A partir de uma perspetiva de manutenção, considere uma estratégia que requer que realize o mínimo trabalho para manter os seus registos de aplicações e os serviços que os utilizam. Por exemplo, uma das tarefas de manutenção dos registos de aplicações é a revogação do segredo — revogar o segredo atual e criar um novo. Cada serviço que utiliza um registo de aplicação tem de ser reconfigurado quando um cliente é rodado. Quanto mais registos de aplicações utilizar, maior será o trabalho necessário para os manter.

Estratégias de registo de aplicação do Azure

As estratégias para registar aplicações com o Microsoft Entra ID para utilização pelo ALM Accelerator variam de entre muito simples a muito granulares.

Um registo de aplicação para tudo

A estratégia mais simples é criar um único registo de aplicação para todas as suas necessidades. Com esta estratégia, utiliza o mesmo registo de aplicação para o conector personalizado CustomAzureDevOps e todas as ligações de Serviço do Azure DevOps de que necessita para aceder aos seus ambientes do Power Platform.

Embora esta estratégia seja a mais fácil de gerir, viola o princípio de privilégio mínimo. Um registo de aplicação tem permissões para efetuar todas as operações necessárias através do conector personalizado e todas as ligações do Serviço do Azure DevOps que configurou.

Registo de aplicações Permissão e tipo da API Descrição
Registo de aplicação único para todos os efeitos Azure DevOps – representação de utilizador – Delegado A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps.
Registo de aplicação único para todos os efeitos Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções a partir de ambientes de programação de criadores e implementar soluções para ambientes de validação, teste e produção necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações da solução.
Registo de aplicação único para todos os efeitos Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.

Um registo de aplicação para o Azure DevOps e outro para o Power Platform

Uma estratégia mais granular é criar um registo de aplicação para o conector personalizado CustomAzureDevOps e outro para os pipelines comunicarem com ambientes do Power Platform.

Esta estratégia alinha-se melhor com o princípio de privilégio mínimo. Apenas o registo de aplicação utilizado para o conector personalizado CustomAzureDevOps pode aceder à API do Azure DevOps e só o registo de aplicação que é utilizador para ligar o Power Platform pode utilizar a API do Power Platform (Dynamics CRM).

Registo de aplicações Permissão e tipo da API Descrição
Registo de aplicação para o Azure DevOps Azure DevOps – representação de utilizador – Delegado A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps.
Registo de aplicação para o Power Platform Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções a partir de ambientes de programação de criadores e implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações da solução.
Registo de aplicação para o Power Platform Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.

Um registo de aplicação para o Azure DevOps e vários para o Power Platform

Uma estratégia ainda mais granular é a criação de um registo de aplicação para aceder a diferentes ambientes do Power Platform. Poderá criar um registo de aplicação para cada ambiente a que necessita de aceder utilizando os pipelines do ALM Accelerator. Ou crie um formulário de registo de aplicação para cada projeto do Power Platform que suporta utilizando o ALM Accelerator.

Esta estratégia alinha-se mais aproximadamente com o princípio de privilégio mínimo. No entanto, deve considerar também a manutenção. Certifique-se de que mantém uma forma estruturada de identificar que registo de aplicação é utilizado para cada ambiente. Estas informações serão úteis quando rodar os segredos do registo de aplicação.

A tabela seguinte mostra como pode criar registos de aplicações para cada projeto do Power Platform, de forma a restringir o acesso apenas ao ambiente relevante.

Registo de aplicações Âmbito do Power Platform Permissão e tipo da API Descrição
Registo de aplicação para o Azure DevOps Não aplicável Azure DevOps – representação de utilizador – Delegado A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps.
Registo de aplicação para o Power Platform do Power Platform Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Projeto 1 Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Projeto 2 Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Projeto 2 Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Ambiente de desenvolvimento de criador 1 Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Ambiente de desenvolvimento de criador 2 Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução

A tabela seguinte mostra como pode alinhar-se ainda mais com o princípio do privilégio mínimo criando registos de aplicações para cada ambiente do Power Platform.

Registo de aplicações Âmbito do Power Platform Permissão e tipo da API Descrição
Registo de aplicação para o Azure DevOps Não aplicável Azure DevOps – representação de utilizador – Delegado A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps.
Registo de aplicação para o Power Platform Projeto 1 – Ambiente de Validação Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Projeto 1 – Ambiente de Validação Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Projeto 1 – Ambiente de Teste Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Projeto 1 – Ambiente de Produção Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Projeto 2 – Ambiente de Validação Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Projeto 2 – Ambiente de Validação Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Projeto 2 – Ambiente de Teste Assistente do Power Apps – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções.
Registo de aplicação para o Power Platform Projeto 2 – Ambiente de Produção Dynamics CRM – representação de utilizador – Delegado O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Ambiente de desenvolvimento de criador 1 Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.
Registo de aplicação para o Power Platform Ambiente de desenvolvimento de criador 2 Dynamics CRM – representação de utilizador – Delegado O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução.

Próximos passos