Поделиться через


Соображения относительно регистрации приложений

ALM Accelerator for Power Platform использует регистрации приложений Microsoft Entra для взаимодействия с необходимыми службами. В этой статье обсуждаются соображения, которые следует принимать в расчет, и подходы, которые можно использовать при разработке стратегии регистрации приложений для ALM Accelerator.

Требуемые разрешения для API

Необходимо разрешить регистрациям приложений использовать соответствующие API для ALM Accelerator, чтобы они могли взаимодействовать с необходимыми службами. Требования к взаимодействию с этими службами зависят от используемых функций ALM Accelerator.

В следующей таблице показано, какие разрешения для API требуются для тех или иных функций ALM Accelerator.

Функция Разрешение для API Тип разрешения Описание:
Пользовательский соединитель CustomAzureDevOps Azure DevOps — олицетворение пользователя Делегировано Приложение на основе холста ALM Accelerator должно иметь предусмотренные в Azure DevOps разрешения для API для взаимодействия с Azure DevOps.
Конвейеры развертывания для проверки Dynamics CRM — олицетворение пользователя Делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Конвейеры развертывания для проверки Power Apps Advisor — Analysis.All Делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Конвейеры развертывания для тестирования Dynamics CRM — олицетворение пользователя Делегировано Конвейер для развертывания решений в тестовой среде должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Конвейеры развертывания для рабочей среды Dynamics CRM — олицетворение пользователя Делегировано Конвейер для развертывания решений в рабочей среде должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Конвейер экспорта решения Dynamics CRM — олицетворение пользователя Делегировано Конвейер для экспорта решений из среды разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Конвейер импорта решения Dynamics CRM — олицетворение пользователя Делегировано Конвейер для импорта решений из системы управления версиями Azure Git в среду разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Конвейер удаления решения Dynamics CRM — олицетворение пользователя Делегировано Конвейер для удаления решений в среде разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.

Соображения относительно стратегии регистрации приложений

При разработке стратегии для создания регистраций приложений для ALM Accelerator и управления ими следует в равной мере принимать в расчет вопросы безопасности и обслуживания.

Принцип наименьших привилегий

С точки зрения безопасности стоит придерживаться принципа наименьших привилегий. Любая регистрация приложения должна иметь минимальный набор привилегий, достаточный для выполнения необходимых операций.

Простота обслуживания

С позиций обслуживания рекомендуется рассмотреть стратегию, которая потребует от вас минимального объема работ по обслуживанию регистраций приложений и использующих их служб. Например, одной из задач обслуживания регистраций приложений является чередование секретов — отмена текущего секрета и создание нового. При смене секрета каждую службу, использующую регистрацию приложения, требуется перенастраивать. Чем больше регистраций приложений вы используете, тем больше всего нужно делать для их обслуживания.

Стратегии регистрации приложений Azure

Стратегии регистрации приложений в Microsoft Entra ID, используемые ALM Accelerator, могут быть как очень простыми, так и очень детализированными.

Одна регистрация приложения для всего

Самая простая стратегия — создать одну регистрацию приложения для всех ваших нужд. При такой стратегии одна и та же регистрация приложения используется и для настраиваемого соединителя CustomAzureDevOps, и для всех подключений к службам Azure DevOps, которые вам нужны для доступа к вашим средам Power Platform.

Этой стратегией проще всего управлять, но она не соответствует принципу наименьших привилегий. Одна регистрация приложения обладает разрешениями на выполнение всех необходимых операций через настраиваемый соединитель и все настроенные вами подключения к службам Azure DevOps.

Регистрация приложения Разрешение для API и его тип Описание:
Одна регистрация приложения для всех целей Azure DevOps — олицетворение_пользователя — делегировано Приложение на основе холста ALM Accelerator должно иметь предусмотренные в Azure DevOps разрешения для API для взаимодействия с Azure DevOps.
Одна регистрация приложения для всех целей Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из сред разработки создателя и развертывания решений в проверочной, тестовой и рабочей средах должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Одна регистрация приложения для всех целей Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.

Одна регистрация приложения для Azure DevOps и одна для Power Platform

Более избирательная стратегия заключается в создании одной регистрации приложения для настраиваемого соединителя CustomAzureDevOps и еще одной — для конвейеров, служащих для взаимодействия со средами Power Platform.

Эта стратегия в большей мере соответствует принципу наименьших привилегий. Доступ к API Azure DevOps имеет только регистрация приложения, используемая для настраиваемого соединителя CustomAzureDevOps, а API Power Platform (Dynamics CRM) может использовать только регистрация приложения, предназначенная для подключения к Power Platform.

Регистрация приложения Разрешение для API и его тип Описание:
Регистрация приложения для Azure DevOps Azure DevOps — олицетворение_пользователя — делегировано Приложение на основе холста ALM Accelerator должно иметь предусмотренные в Azure DevOps разрешения для API для взаимодействия с Azure DevOps.
Регистрация приложения для Power Platform Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из сред разработки создателя и развертывания решений в проверочной среде должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.

Одна регистрация приложения для Azure DevOps и несколько для Power Platform

Еще более гранулированная стратегия состоит в создании отдельных регистраций приложений для доступа к разным средам Power Platform. Вы можете создать по одной регистрации приложения для каждой среды, к которой вам нужно получать доступ с помощью конвейеров ALM Accelerator. Либо создать по одной регистрации приложения для каждого проекта Power Platform, который вы поддерживаете с помощью ALM Accelerator.

Эта стратегия точно соответствует принципу наименьших привилегий. Однако следует также учитывать необходимость обслуживания. Обязательно придерживайтесь определенной структуры при определении того, для какой среды используется та или иная регистрация приложений. Эта информация пригодится вам при чередовании секретов для регистрации приложения.

В следующей таблице показано, как можно создавать регистрации приложений для каждого проекта Power Platform, чтобы доступ был возможен только к одной требуемой среде.

Регистрация приложения Область Power Platform Разрешение для API и его тип Описание:
Регистрация приложения для Azure DevOps Неприменимо Azure DevOps — олицетворение_пользователя — делегировано Приложение на основе холста ALM Accelerator должно иметь предусмотренные в Azure DevOps разрешения для API для взаимодействия с Azure DevOps.
Регистрация приложения для Power Platform Проект платформы 1 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Проект 1 Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Проект 2 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Проект 2 Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Среда разработки создателя 1 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из среды разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Среда разработки создателя 2 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из среды разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.

В следующей таблице показано, как можно добиться еще большего соответствия принципу наименьших привилегий за счет создания регистраций приложений для каждой среды Power Platform.

Регистрация приложения Область Power Platform Разрешение для API и его тип Описание:
Регистрация приложения для Azure DevOps Неприменимо Azure DevOps — олицетворение_пользователя — делегировано Приложение на основе холста ALM Accelerator должно иметь предусмотренные в Azure DevOps разрешения для API для взаимодействия с Azure DevOps.
Регистрация приложения для Power Platform Проект 1 — среда проверки Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Проект 1 — среда проверки Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Проект 1 — среда тестирования Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Проект 1 — рабочая среда Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Проект 2 — среда проверки Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Проект 2 — среда проверки Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Проект 2 — среда тестирования Помощник Power Apps — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование службы Power Apps Advisor для запуска задачи средства проверки решений.
Регистрация приложения для Power Platform Проект 2 — рабочая среда Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для развертывания решений в среде проверки должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Среда разработки создателя 1 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из среды разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.
Регистрация приложения для Power Platform Среда разработки создателя 2 Dynamics CRM — олицетворение_пользователя — делегировано Конвейер для экспорта решений из среды разработки создателя должен иметь разрешения на использование API Power Platform (Dynamics CRM) для выполнения операций с решениями.

Следующие шаги