Att tänka på med appregistreringar
ALM Accelerator for Power Platform beror på Microsoft Entra appregistreringar för att kommunicera med nödvändiga tjänster. Den här artikeln handlar om saker som du bör tänka på och metoder som du kan använda när du utformar en appregistreringsstrategi för ALM Accelerator.
API-behörigheter som krävs
Du måste tillåta appregistreringar att använda relevanta API:er för ALM Accelerator för att kommunicera med nödvändiga tjänster. Kraven för kommunikation med dessa tjänster beror på funktionerna i ALM Accelerator.
I följande tabell ser du vilka API-behörigheter som krävs för olika funktioner i ALM Accelerator.
| Funktioner | API-behörighet | Behörighetstyp | Beskrivning |
|---|---|---|---|
| CustomAzureDevOps anpassat anslutningsprogram | Azure DevOps – user_impersonation | Delegera | ALM Accelerator arbetsyteappen måste ha Azure DevOps API-behörigheter för kommunikation med Azure DevOps. |
| Distribuera valideringspipelines | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Distribuera valideringspipelines | Power Apps Advisor – Analysis.All | Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Distribuera testpipelines | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att distribuera lösningar till testmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Distribuera produktionspipelines | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att distribuera lösningar till produktionsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Exportera lösningspipeline | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att exportera lösningar från utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Importera lösningspipeline | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att importera lösningar från Azure Git källkontroll till utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Ta bort lösningspipeline | Dynamics CRM – user_impersonation | Delegera | Pipelinen för att ta bort lösningar i utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
Att tänka på när det gäller en registreringsstrategi för appar
När du utformar din strategi för att skapa och hantera appregistreringar för ALM Accelerator bör du tänka på både säkerhet och underhåll.
Princip om minsta privilegium
Tänk på principen om minsta privilegium ur ett säkerhetsperspektiv. Alla appregistreringar bör ha de minst privilegier som krävs för att utföra de åtgärder som krävs.
Enkelt underhåll
Ur ett underhåll perspektiv bör du överväga en strategi som kräver att du arbetar minst med att underhålla appregistreringar och de tjänster som använder dem. En av uppgifterna för att underhålla appregistreringar är till exempel att ändra den aktuella statusen och skapa en ny. Varje tjänst som använder en appregistrering måste konfigureras om när en hemlighet förs in. Ju fler appregistreringar du använder, desto mer arbete behöver du göra för att underhålla dem.
Azure-appregistreringsstrategier
Strategierna för att registrera appar Microsoft Entra ID för användning av ALM Accelerator är allt från mycket enkla till mycket detaljerade.
En appregistrering för allt
Den enklaste sättet är att skapa en appregistrering för alla dina behov. Med den här strategin använder du samma appregistrering för CustomAzureDevOps den anpassade anslutningen och alla Azure DevOps tjänstanslutningar som du behöver för att få åtkomst till dina Power Platform-miljöer.
Även om den här strategin är den enklaste att hantera beror det på principen om minsta privilegium. En appregistrering har behörighet att utföra alla nödvändiga åtgärder via den anpassade anslutningen och alla Azure DevOps tjänstanslutningar som du har konfigurerat.
| Appregistrering | API-behörighet och typ | Beskrivning |
|---|---|---|
| Registrering av ett program för alla syften | Azure DevOps – user_impersonation – Delegera | ALM Accelerator arbetsyteappen måste ha Azure DevOps API-behörigheter för kommunikation med Azure DevOps. |
| Registrering av ett program för alla syften | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från skaparens utvecklingsmiljöer och distribuera lösningar till validerings-, test- och produktionsmiljöerna behöver tillstånd för att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Registrering av ett program för alla syften | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
En appregistrering för och Azure DevOps en för Power Platform
En mer detaljerad strategi är att skapa en appregistrering för CustomAzureDevOps det anpassade anslutningsprogrammet och en för pipelines för kommunikation med Power Platform-miljöer.
Den här strategin överensstämmer bättre med principen om minsta privilegium. Endast appregistreringen som används för det anpassade anslutningsprogrammet CustomAzureDevOps kan få åtkomst till Azure DevOps API och endast appregistreringen som används för att ansluta till Power Platform kan använda Power Platform (Dynamics CRM) API.
| Appregistrering | API-behörighet och typ | Beskrivning |
|---|---|---|
| Appregistrering för Azure DevOps | Azure DevOps – user_impersonation – Delegera | ALM Accelerator arbetsyteappen måste ha Azure DevOps API-behörigheter för kommunikation med Azure DevOps. |
| Appregistrering för Power Platform | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från skaparens utvecklingsmiljöer och distribuera lösningar till valideringsmiljön behöver tillstånd för att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
En appregistrering för och Azure DevOps flera för Power Platform
En ännu mer detaljerad strategi är att skapa appregistreringar för åtkomst till olika Power Platform-miljöer. Du kan skapa en appregistrering för varje miljö som du behöver komma åt med hjälp av ALM Accelerator-pipelines. Du kan också skapa en appregistrering för varje Power Platform-projekt som du har stöd för med ALM Accelerator.
Den här strategin överensstämmer med principen om minsta privilegium. Men du bör också överväga underhåll. Se till att du upprätthåller ett strukturerat sätt att identifiera vilken appregistrering som används för varje miljö. Denna information kommer väl till pass när du roterar appregistreringens hemligheter.
I följande tabell visas hur du kan skapa appregistreringar för varje Power Platform-projekt för att begränsa åtkomsten till endast den relevanta miljön.
| Appregistrering | Power Platform-omfattning | API-behörighet och typ | Beskrivning |
|---|---|---|---|
| Appregistrering för Azure DevOps | Inte tillämpligt | Azure DevOps – user_impersonation – Delegera | ALM Accelerator arbetsyteappen måste ha Azure DevOps API-behörigheter för kommunikation med Azure DevOps. |
| Appregistrering för Power Platform | Platform projekt 1 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Projekt 1 | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Projekt 2 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Projekt 2 | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Utvecklares utvecklingsmiljö 1 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Utvecklares utvecklingsmiljö 2 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder |
I följande tabell visas hur du kan anpassa programmet ytterligare mot principen om minsta privilegium genom att skapa appregistreringar för varje Power Platform-miljö.
| Appregistrering | Power Platform-omfattning | API-behörighet och typ | Beskrivning |
|---|---|---|---|
| Appregistrering för Azure DevOps | Inte tillämpligt | Azure DevOps – user_impersonation – Delegera | ALM Accelerator arbetsyteappen måste ha Azure DevOps API-behörigheter för kommunikation med Azure DevOps. |
| Appregistrering för Power Platform | Projekt 1 – Valideringsmiljö | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Projekt 1 – Valideringsmiljö | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Projekt 1 – Testmiljö | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Projekt 1 – Produktionsmiljö | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Projekt 2 – Valideringsmiljö | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Projekt 2 – Valideringsmiljö | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Projekt 2 – Testmiljö | Power Apps Advisor – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda tjänsten Power Apps Advisor för att köra uppgiften lösningskontroll. |
| Appregistrering för Power Platform | Projekt 2 – Produktionsmiljö | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att distribuera lösningar till valideringsmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Utvecklares utvecklingsmiljö 1 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |
| Appregistrering för Power Platform | Utvecklares utvecklingsmiljö 2 | Dynamics CRM – user_impersonation – Delegera | Pipelinen för att exportera lösningar från utvecklarmiljön måste ha behörighet att använda Power Platform (Dynamics CRM) API för att utföra lösningsåtgärder. |