Поделиться через

Краткое руководство. Настройка Microsoft Entra для пользовательского соединителя

  • Статья

В этом руководстве описаны действия по настройке приложения Microsoft Entra для использования с пользовательским соединителем Power Query. Перед продолжением мы рекомендуем разработчикам соединителей ознакомиться с понятиями платформа удостоверений Майкрософт.

Так как термин приложения используется в нескольких контекстах на платформе Microsoft Entra, в этом руководстве используются следующие термины для различения идентификаторов приложений соединителя и источника данных:

  • Клиентское приложение: идентификаторы клиента Microsoft Entra, используемые соединителем Power Query.
  • Приложение ресурсов: регистрация приложения Microsoft Entra для конечной точки соединителя подключается (т. е. служба или источник данных).

Включение поддержки Microsoft Entra для пользовательского соединителя включает:

  • Определение одной или нескольких областей в приложении ресурсов, используемом соединителем.
  • Предварительная проверка подлинности идентификаторов клиента Power Query для использования этих областей.
  • Задание правильности Resource и Scopes значений в определении соединителя.

В этом руководстве предполагается, что новое приложение ресурсов зарегистрировано в Microsoft Entra. Разработчики с существующим приложением ресурсов могут перейти к разделу "Настройка области ".

Примечание.

Дополнительные сведения об использовании Microsoft Entra в службе или приложении см. в одном из руководств по краткому руководству.

Регистрация приложения ресурсов

Источник данных или конечная точка API используют это приложение ресурсов для установления доверия между службой и платформа удостоверений Майкрософт.

Выполните следующие действия, чтобы зарегистрировать новое приложение ресурсов:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям> удостоверений>Регистрация приложений и выберите "Создать регистрацию".
  3. Введите отображаемое имя приложения.
  4. Для поддерживаемых типов учетных записей выберите учетные записи в этом каталоге организации только в том случае, если конечная точка доступна только из вашей организации. Выберите учетные записи в любом каталоге организации для общедоступных мультитенантных служб.
  5. Выберите Зарегистрировать.

Не нужно указывать значение URI перенаправления.

Страница обзора приложения отображается после завершения регистрации. Запишите идентификатор каталога (клиента) и значения идентификатора приложения (клиента), так как они будут использоваться в исходном коде службы. Следуйте одному из руководств в примерах кода платформа удостоверений Майкрософт, которые похожи на среду службы и архитектуру, чтобы определить, как настроить и использовать новое приложение.

Настройка URI идентификатора приложения

Прежде чем настроить область для конечной точки, необходимо задать URI идентификатора приложения для приложения ресурсов. Этот идентификатор будет использоваться Resource полем Aad записи в соединителе. Значение имеет корневой URL-адрес службы. Вы также можете использовать значение по умолчанию, созданное Microsoft Entra— api://{clientId} где {clientId} находится идентификатор клиента приложения ресурсов.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. На центральной странице в разделе Essentials выберите " Добавить URI идентификатора приложения".
  3. Введите универсальный код ресурса (URI) или примите значение по умолчанию на основе идентификатора приложения.
  4. Выберите Сохранить и продолжить.

В примерах в этом руководстве предполагается, что используется формат URI идентификатора приложения по умолчанию (например, — api://00001111-aaaa-2222-bbbb-3333cccc4444).

Настройка области

Области используются для определения разрешений или возможностей для доступа к API или данным в службе. Список поддерживаемых областей зависит от службы. Необходимо определить минимальный набор областей, необходимых соединителю. Необходимо предварительно выполнить проверку подлинности по крайней мере одной области для идентификаторов клиента Power Query.

Если приложение ресурсов уже имеет определенные области, перейдите к следующему шагу.

Если служба не использует разрешения на основе области, можно определить одну область, используемую соединителем. Вы можете (необязательно) использовать эту область в коде службы в будущем.

В этом примере определяется одна область с именем Data.Read.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. В разделе "Управление" выберите "Предоставить область" API > "Добавить область".
  3. В поле "Имя области" введите Data.Read.
  4. Для того, кто может предоставить согласие, выберите параметр "Администраторы" и "Пользователи ".
  5. Заполните оставшиеся поля отображаемого имени и описания.
  6. Убедитесь, что для состояния задано значение "Включено".
  7. Выберите Добавить область.

Предварительная проверка подлинности клиентских приложений Power Query

Соединители Power Query используют два разных идентификатора клиента Microsoft Entra. Предварительная проверка подлинности областей для этих идентификаторов клиента упрощает взаимодействие с подключением.

Client ID Имя приложения Где используется
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query для Excel Классические среды
b52893c8-bc2e-47fc-918b-77022b299bbc Обновление данных Power BI Среды службы

Чтобы предварительно выполнить проверку подлинности идентификаторов клиента Power Query, выполните следующие действия.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. В разделе Управление выберите Предоставление API.
  3. Выберите Добавить клиентское приложение.
  4. Введите один из идентификаторов клиента Power Query.
  5. Выберите соответствующие авторизованные области.
  6. Выберите Добавить приложение.
  7. Повторите шаги 3 – 6 для каждого идентификатора клиента Power Query.

Включение типа проверки подлинности Aad в соединителе

Поддержка идентификатора Microsoft Entra включена для соединителя, добавив Aad тип проверки подлинности в запись источника данных соединителя.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Замените {YourApplicationIdUri} значение URI идентификатора приложения для приложения ресурсов, напримерapi://00001111-aaaa-2222-bbbb-3333cccc4444.

В этом примере:

  • AuthorizationUri: URL-адрес Microsoft Entra, используемый для запуска потока проверки подлинности. Большинство соединителей могут жестко закодировать это значение https://login.microsoftonline.com/common/oauth2/authorize, но оно также может быть динамически определено, если служба поддерживает Azure B2B/Гостевые учетные записи. Дополнительные сведения см. в примерах.
  • Ресурс: URI идентификатора приложения соединителя.
  • Область. Используйте область по умолчанию для автоматического получения всех предварительно несанкционированных областей. Использование .default позволяет изменять необходимые области соединителя в регистрации приложения ресурсов без необходимости обновлять соединитель.

Дополнительные сведения и параметры настройки поддержки Microsoft Entra в соединителе см. на странице примеров проверки подлинности идентификатора Microsoft Entra.

Перестройте соединитель, и теперь вы сможете пройти проверку подлинности со службой с помощью идентификатора Microsoft Entra.

Устранение неполадок

В этом разделе описываются распространенные ошибки, которые могут возникнуть, если приложение Microsoft Entra неправильно настроено.

Приложение Power Query не было предварительно несанкционированно

access_denied: AADSTS650057: недопустимый ресурс. Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query для Excel). Значение ресурса из запроса: 00001111-aaaa-2222-bbbb-3333cccc4444. Идентификатор приложения ресурса: 00001111-aaaa-2222-bbbb-3333cccc4444

Эта ошибка может возникнуть, если приложение ресурсов не несанкционированно несанкционированно к клиентским приложениям Power Query. Выполните действия, чтобы предварительно выполнить проверку подлинности идентификаторов клиента Power Query.

Запись Aad соединителя отсутствует значение области

access_denied: AADSTS650053: приложение "Microsoft Power Query для Excel" попросило область "user_impersonation", которая не существует в ресурсе "00001111-aaaa-2222-bb-333cccc44444". Обратитесь к поставщику приложения.

Power Query запрашивает область, user_impersonation если запись соединителя Aad не определяет Scope поле или Scope значение null. Эту проблему можно устранить, определив Scope значение в соединителе. .default Рекомендуется использовать область, но можно также указать области на уровне соединителя (например, — Data.Read).

Для области или клиентского приложения требуется утверждение администратора

Требуется утверждение администратора. <клиенту> требуется разрешение на доступ к ресурсам в организации, которым может предоставить только администратор. Попросите администратора предоставить разрешение для этого приложения, прежде чем его можно будет использовать.

Пользователь может получить эту ошибку во время своего потока проверки подлинности, если приложению ресурсов требуются разрешения , ограниченные администратором, или клиент пользователя неадминирует согласие на новые запросы разрешений приложения. Эту проблему можно избежать, убедив, что соединитель не требует каких-либо областей, ограниченных администратором, и предварительной проверки подлинности идентификаторов клиента Power Query для приложения ресурсов.