Considerações sobre o registo de aplicação
O ALM Accelerator for Power Platform depende dos registos de aplicações do Microsoft Entra para comunicar com os serviços necessários. Este artigo debate considerações que deve ter em consideração e as abordagens que pode tomar ao estruturar uma estratégia de registo de aplicação para o ALM Accelerator.
Permissões de API necessárias
Necessita de permitir que os registos de aplicações utilizem as APIs relevantes para o ALM Accelerator comunicar com os serviços necessários. Os requisitos para comunicação com estes serviços dependem da funcionalidade do ALM Accelerator.
A tabela seguinte mostra que permissões de API são necessárias para as diferentes funcionalidades do ALM Accelerator.
Caraterística | Permissão de API | Tipo de permissão | Descrição |
---|---|---|---|
Conector personalizado CustomAzureDevOps | Azure DevOps – representação de utilizador | Delegado | A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps. |
Implementar pipelines de validação | Dynamics CRM – representação de utilizador | Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Implementar pipelines de validação | Assistente do Power Apps — Analysis.All | Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Implementar pipelines de teste | Dynamics CRM – representação de utilizador | Delegado | O pipeline para implementar soluções para o ambiente de teste necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Implementar pipelines de produção | Dynamics CRM – representação de utilizador | Delegado | O pipeline para implementar soluções para o ambiente de produção necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Exportar pipeline da solução | Dynamics CRM – representação de utilizador | Delegado | O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Importar pipeline da solução | Dynamics CRM – representação de utilizador | Delegado | O pipeline para importar soluções do controlo de origem do Azure Git para o criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Eliminar o pipeline da solução | Dynamics CRM – representação de utilizador | Delegado | O pipeline para eliminar soluções no ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Considerações para uma estratégia de registo de aplicação
Ao estruturar a sua estratégia para criar e gerir registos de aplicações para o ALM Accelerator, deverá considerar a segurança e a manutenção.
Princípio do menor privilégio
A partir de uma perspetiva de segurança, considere o princípio do privilégio mínimo. Qualquer registo de aplicação deverá ter os privilégios mínimos necessários para efetuar as respetivas operações necessárias.
Simplicidade da manutenção
A partir de uma perspetiva de manutenção, considere uma estratégia que requer que realize o mínimo trabalho para manter os seus registos de aplicações e os serviços que os utilizam. Por exemplo, uma das tarefas de manutenção dos registos de aplicações é a revogação do segredo — revogar o segredo atual e criar um novo. Cada serviço que utiliza um registo de aplicação tem de ser reconfigurado quando um cliente é rodado. Quanto mais registos de aplicações utilizar, maior será o trabalho necessário para os manter.
Estratégias de registo de aplicação do Azure
As estratégias para registar aplicações com o Microsoft Entra ID para utilização pelo ALM Accelerator variam de entre muito simples a muito granulares.
Um registo de aplicação para tudo
A estratégia mais simples é criar um único registo de aplicação para todas as suas necessidades. Com esta estratégia, utiliza o mesmo registo de aplicação para o conector personalizado CustomAzureDevOps e todas as ligações de Serviço do Azure DevOps de que necessita para aceder aos seus ambientes do Power Platform.
Embora esta estratégia seja a mais fácil de gerir, viola o princípio de privilégio mínimo. Um registo de aplicação tem permissões para efetuar todas as operações necessárias através do conector personalizado e todas as ligações do Serviço do Azure DevOps que configurou.
Registo de aplicações | Permissão e tipo da API | Descrição |
---|---|---|
Registo de aplicação único para todos os efeitos | Azure DevOps – representação de utilizador – Delegado | A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps. |
Registo de aplicação único para todos os efeitos | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções a partir de ambientes de programação de criadores e implementar soluções para ambientes de validação, teste e produção necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações da solução. |
Registo de aplicação único para todos os efeitos | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Um registo de aplicação para o Azure DevOps e outro para o Power Platform
Uma estratégia mais granular é criar um registo de aplicação para o conector personalizado CustomAzureDevOps e outro para os pipelines comunicarem com ambientes do Power Platform.
Esta estratégia alinha-se melhor com o princípio de privilégio mínimo. Apenas o registo de aplicação utilizado para o conector personalizado CustomAzureDevOps pode aceder à API do Azure DevOps e só o registo de aplicação que é utilizador para ligar o Power Platform pode utilizar a API do Power Platform (Dynamics CRM).
Registo de aplicações | Permissão e tipo da API | Descrição |
---|---|---|
Registo de aplicação para o Azure DevOps | Azure DevOps – representação de utilizador – Delegado | A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps. |
Registo de aplicação para o Power Platform | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções a partir de ambientes de programação de criadores e implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações da solução. |
Registo de aplicação para o Power Platform | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Um registo de aplicação para o Azure DevOps e vários para o Power Platform
Uma estratégia ainda mais granular é a criação de um registo de aplicação para aceder a diferentes ambientes do Power Platform. Poderá criar um registo de aplicação para cada ambiente a que necessita de aceder utilizando os pipelines do ALM Accelerator. Ou crie um formulário de registo de aplicação para cada projeto do Power Platform que suporta utilizando o ALM Accelerator.
Esta estratégia alinha-se mais aproximadamente com o princípio de privilégio mínimo. No entanto, deve considerar também a manutenção. Certifique-se de que mantém uma forma estruturada de identificar que registo de aplicação é utilizado para cada ambiente. Estas informações serão úteis quando rodar os segredos do registo de aplicação.
A tabela seguinte mostra como pode criar registos de aplicações para cada projeto do Power Platform, de forma a restringir o acesso apenas ao ambiente relevante.
Registo de aplicações | Âmbito do Power Platform | Permissão e tipo da API | Descrição |
---|---|---|---|
Registo de aplicação para o Azure DevOps | Não aplicável | Azure DevOps – representação de utilizador – Delegado | A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps. |
Registo de aplicação para o Power Platform | do Power Platform | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Projeto 1 | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Projeto 2 | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Projeto 2 | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Ambiente de desenvolvimento de criador 1 | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Ambiente de desenvolvimento de criador 2 | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução |
A tabela seguinte mostra como pode alinhar-se ainda mais com o princípio do privilégio mínimo criando registos de aplicações para cada ambiente do Power Platform.
Registo de aplicações | Âmbito do Power Platform | Permissão e tipo da API | Descrição |
---|---|---|---|
Registo de aplicação para o Azure DevOps | Não aplicável | Azure DevOps – representação de utilizador – Delegado | A aplicação de tela ALM Accelerator precisa de permissões da API do Azure DevOps para comunicar com o Azure DevOps. |
Registo de aplicação para o Power Platform | Projeto 1 – Ambiente de Validação | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Projeto 1 – Ambiente de Validação | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Projeto 1 – Ambiente de Teste | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Projeto 1 – Ambiente de Produção | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Projeto 2 – Ambiente de Validação | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Projeto 2 – Ambiente de Validação | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Projeto 2 – Ambiente de Teste | Assistente do Power Apps – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar o serviço do Assistente do Power Apps para executar a tarefa de verificador de soluções. |
Registo de aplicação para o Power Platform | Projeto 2 – Ambiente de Produção | Dynamics CRM – representação de utilizador – Delegado | O pipeline para implementar soluções para o ambiente de validação necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Ambiente de desenvolvimento de criador 1 | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |
Registo de aplicação para o Power Platform | Ambiente de desenvolvimento de criador 2 | Dynamics CRM – representação de utilizador – Delegado | O pipeline para exportar soluções do ambiente de programação do criador necessita de permissões para utilizar a API do Power Platform (Dynamics CRM) para efetuar operações de solução. |