Dela via

Distribuera pipelines med huvudkonto för tjänsten eller pipelineägaren

  • Artikel

Delegerade distributioner kan köras som ägare till tjänstens huvudnamn eller pipelinestadiet. När det är aktiverat distribueras pipelinestadiet som ombud (tjänstens huvudobjekt eller ägare i pipelinestadiet) i stället för som den som begär det.

Implementera med tjänstens huvudkonto

Förutsättningar

  • Ett Microsoft Entra användarkonto. Om du inte har någon sådan nu kan du Sjapa ett kostnadsfritt konto.
  • En av följande Microsoft Entra-roller: Molnprogramadministratör eller Programadministratör.
  • Du måste vara ägare av företagsapplikationen (huvudkonto för tjänsten) i Microsoft Entra ID.

Följ stegen nedan om du vill ha en delegerad distribution med tjänstens huvudkonto.

  1. Skapa ett företagsprogram (huvudkonto för tjänsten) i Microsoft Entra ID.

    Viktigt!

    Alla som aktiverar eller ändrar konfigurationer för huvudkonto för tjänsten i pipelines måste vara ägare till företagsapp (huvudkonto för tjänsten) i Microsoft Entra ID.

  2. Lägg till företagsprogrammet som en S2S-användare (server till server) i pipelines-värdmiljön och i varje målmiljö som den distribuerar till.

  3. Tilldela distributionskanalen säkerhetsrollen Administratör till S2S-användaren inom pipelinens värd och säkerhetsrollen Systemadministratör i målmiljöer. Det går inte att distribuera plugin-program och andra kodkomponenter med lägre behörighetsroller.

  4. Välj (kontrollera) Är delegerad distribution i ett pipeline-stadium, välj Tjänstens huvudkonto och ange klient-ID. Välj Spara.

  5. Du kan också tillåta delningsbegäranden så att de som begär distribution kan ange vilka säkerhetsgrupper som kan komma åt distribuerade objekt i målmiljön. Delningsbegäranden är en del av distributionsbegäran och kan godkännas eller avvisas.

Viktigt

Distributionsgodkännare ansvarar för att noggrant granska information om delning och säkerhetsroller. När en distribution godkänns tilldelar pipelines automatiskt behörigheter med hjälp av identiteten för distributionstjänstens huvudkonto.
>

  1. Skapa ett molnflöde inom pipelines-värdmiljön. Alternativa system kan integreras med pipelines Microsoft Dataverse API:er.

  2. Välj utlösaren OnApprovalStarted.

  3. Lägg till steg för önskad anpassad logik.

  4. Infoga ett godkännandesteg. Använd dynamiskt innehåll för att skicka information om distributionsbegäran till godkännare.

  5. Infoga ett villkor.

  6. Skapa en Dataverse-anslutning för huvudkonto för tjänsten. Du behöver ett klient-ID och en hemlighet.

  7. Lägg till Dataverse Utför en obevakad åtgärd med hjälp av inställningarna som visas nedan.
    Åtgärdsnamn: UpdateApprovalStatus ApprovalComments: Infoga dynamiskt innehåll. Kommentarerna visas för den som begär distributionen. Godkännandestatus: 20 = godkänt, 30 = avvisat ApprovalProperties: Infoga dynamiskt innehåll. Administrationsinformation tillgänglig inifrån pipelines-värddatorn.

    Viktigt!

    UpdateApprovalStatus-åtgärden måste använda anslutning för tjänstens huvudkonto.

    Anslut med huvudkonto för tjänsten

    Dricks

    Förbättra felsökningen genom att välja ApprovalProperties och infoga workflow() på menyn med dynamiskt innehåll. Detta kopplar flödeskörningen till pipelinefaskörningen (körhistorik).

  8. Spara och testa pipelinen.

Nedan visas en skärmbild av ett exempel på ett godkännandeflöde.

Kanoniskt godkännandeflöde

Distribuera som ägare till pipelinestadiet

Vanliga användare, även de som används som tjänstkonton, kan också fungera som ombud. Konfigurationen är enklare jämfört med tjänstens huvudobjekt, men lösningar som innehåller anslutningsreferenser för oAuth-anslutningar kan inte distribueras.

Följ stegen nedan om du vill distribuera som ägare till pipelinestadiet.

  1. Tilldela distributionskanalen säkerhetsrollen Administratör till ägare till pipelinestadiet inom pipelinens värd och tilldela säkerhetsrollen Systemadministratör i målmiljöer.

    Det går inte att distribuera plugin-program och andra kodkomponenter med lägre behörighetsroller.

  2. Logga in som ägare till pipelinestadiet. Endast ägaren kan aktivera eller ändra dessa inställningar. Teamägarskap är inte tillåtet.

  3. Välj Är delegerad distribution i ett pipeline-stadium och välj Stadiets ägare.

    • Ägaren till pipelinestadiets identitet används för alla distributioner i det här stadiet.
    • Identiteten måste också användas för att godkänna distributioner.

  4. Skapa ett molnflöde i en lösning inom pipelines-värdmiljön.

    1. Välj utlösaren OnApprovalStarted.
    2. Infoga åtgärder som du vill. Till exempel ett godkännande.
    3. Lägg till Dataverse Utför en obunden åtgärd.
      Åtgärdsnamn: UpdateApprovalStatus (20 = slutförd, 30 = avvisad)

Exempel på delegerad distribution

Viktigt

Funktionerna i de här exemplen stöds nu internt i produkten, men dessa exempel kan ge insikter om hur du utökar de inbyggda delningsfunktionerna.

Den här filhämtningen innehåller exempel molnflöden för hantering av godkännanden och delning av distribuerade appar och flöden i målmiljön. Ladda ned exempellösning

Hämta och importera den hanterade lösningen till värdmiljön för pipelines. Denna lösning kan sedan anpassas för att passa behoven hos din organisation.

Vanliga frågor och svar

Hur kan utvecklare komma åt utplacerade objekt inom målmiljöer?

Delning under distributionen är en inbyggd funktion i delegerade distributioner med tjänstens huvudkonton. Det gör att administratörer inte behöver tilldela säkerhetsroller manuellt och dela distribuerade appar, flöden, Copilots och så vidare i administratörscentret för Power Platform. Istället behöver administratörerna bara godkänna distributionsbegäran, så utförs delningen automatiskt av systemet.

Vilka objekttyper kan delas under distributionen?

För närvarande stöds säkerhetsroller, arbetsyteappar och molnflöden. Copilot-delning kan också vara tillgänglig beroende på din region.

Kan jag uppdatera delningen när nya versioner distribueras?

Delning är tillgängligt första gången ett objekt distribueras till målmiljön. Delningen kan inte uppdateras när nya versioner distribueras. Se till att välja en lämplig säkerhetsgrupp under den första distributionen. Hantera pågående åtkomst via säkerhetsgrupper.

Vilka behörigheter har tilldelats för arbetsyteappar och flöden?

Pipelines tilldelar de minsta privilegier som krävs för att köra appar och flöden. Om du vill ha högre behörighet kan pipelines utökas. Vi rekommenderar att du aktiverar funktionen "Blockera ohanterade anpassningar" när du tilldelar högre behörigheter.

Kan utvecklare dela appen med enskilda användare?

Inte för närvarande. Vi rekommenderar att du hanterar enskilda användares åtkomst via säkerhetsgrupper efter den första distributionen av objektet.

Jag får ett fel Distributionsstadiet är inte ägare till huvudkonto för tjänsten (<AppId>). Endast ägare av huvudkonto för tjänsten får använda den för delegerade distributioner.

Se till att du är en ägare av företagsappen (huvudkonto för tjänsten) i Microsoft Entra ID (tidigare Azure AD). Du kanske bara är ägare till appregistreringen och inte företagsapp.

Företagsprogram

För stegbaserade delegerade distributioner där ägaren är ansvarig, varför kan jag inte tilldela en annan användare som distributör?

Av säkerhetsskäl måste du logga in som den användare som kommer att ställas in som ägare av pipelinestadiet. Detta förhindrar att en användare utan samtycke läggs till som driftsättare.

Kan jag använda en anpassad DeploymentSettings.json-fil för stadieägarbaserade, delegerade distributioner?

Inte inom utvecklarupplevelsen för närvarande.

Varför har mina delegerade distributioner fastnat i ett väntande läge?

Alla delegerade distributioner väntar tills de godkänns. Se till att din administratör har konfigurerat ett Power Automate godkännandeflöde eller annan automatisering, att det fungerar korrekt och att implementeringen godkändes.

Vem äger distribuerade lösningsobjekt?

Den utplacerande identiteten. För delegerade distributioner är ägaren det delegerade huvudkonto för tjänsten eller pipeline stegägare.

Kan jag lägga till anpassade godkännandesteg?

Ja. Till exempel kan Power Automate godkännanden anpassas för att möta din organisations behov. Du kan också integrera andra godkännandesystem.

Varför måste jag äga tjänstens huvudkonto?

Detta tillämpas av säkerhetsskäl. Du kan också skapa pipelines med hjälp av ett tjänstekonto och lägga till samma tjänstekonto som ägaren. Ett annat alternativ är att tilldela tjänstens huvudkonto (programanvändare) som ägare till pipelinestadiet och som ägare till sig själv (Enterprise-program) i Microsoft Entra. Tilldelning av ägarskap för pipelinefaser till ett program måste emellertid ske via Dataverse-API:et på pipelinevärden.

Jag får ett fel Delegerade distributioner av typen "ServicePrincipal" får endast godkännas eller avvisas av huvudkonto för tjänsten som konfigurerats i distributionsstadiet.

Se till att den Dataverse anpassade åtgärden UpdateApprovalStatus anropas av huvudkonto för tjänsten. Om du använder Power Automate godkännanden, se till att den här åtgärden är konfigurerad för att använda ombudstjänstens anslutning.

Jag får ett fel Delegerade distributioner av typen "" får endast godkännas eller avvisas av ägaren av distributionsstadiet.

Se till att den Dataverse anpassade åtgärden UpdateApprovalStatus anropas pipelines stegägare. Om du använder Power Automate godkännanden, se till att den här åtgärden är konfigurerad för att använda pipelines stegägares anslutning.

Jag får ett fel i mitt godkännandeflöde Det går inte att hitta attribut för godkännandestatus för stegkörningsposten.

Detta händer när godkännandestatusen ännu inte är i väntande läge. Se till att detta är en delegerad distribution och att du använder OnApprovalStarted utlösaren i ditt godkännandeflöde.

Kan jag använda olika huvudkonton för tjänsten för olika pipelines och stadier?

Ja.