Dela via


Snabbstart: Konfigurera Microsoft Entra för en anpassad anslutningsapp

Den här guiden beskriver stegen för att konfigurera ett Microsoft Entra-program för användning med en anpassad Power Query-anslutningsapp. Vi rekommenderar att anslutningsutvecklare granskar begreppen i Microsofts identitetsplattform innan de fortsätter.

Eftersom programtermen används i flera kontexter på Microsoft Entra-plattformen använder den här guiden följande termer för att skilja mellan anslutnings- och datakällans program-ID:

  • Klientprogram: Microsoft Entra-klient-ID:t som används av Power Query-anslutningsappen.
  • Resursprogram: Microsoft Entra-programregistreringen för slutpunkten som anslutningsappen ansluter till (dvs. din tjänst eller datakälla).

Om du aktiverar Microsoft Entra-stöd för en anpassad anslutningsapp ingår:

  • Definiera ett eller flera omfång i resursprogrammet som används av anslutningsappen.
  • Förauktorisera Power Query-klient-ID:erna för att använda dessa omfång.
  • Ange rätt Resource värden och Scopes värden i anslutningsdefinitionen.

Den här guiden förutsätter att ett nytt resursprogram är registrerat i Microsoft Entra. Utvecklare med ett befintligt resursprogram kan gå vidare till avsnittet Konfigurera ett omfång .

Kommentar

Mer information om hur du använder Microsoft Entra i tjänsten eller programmet finns i någon av snabbstartsguiderna.

Registrera resursprogrammet

Datakällan eller API-slutpunkten använder det här resursprogrammet för att upprätta förtroende mellan din tjänst och Microsofts identitetsplattform.

Följ dessa steg för att registrera ett nytt resursprogram:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identitetsprogram>> Appregistreringar och välj Ny registrering.
  3. Ange ett visningsnamn för programmet.
  4. För Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen om slutpunkten endast är tillgänglig från din organisation. Välj Konton i en organisationskatalog för offentligt tillgängliga tjänster med flera klientorganisationer.
  5. Välj Registrera.

Du behöver inte ange ett omdirigerings-URI-värde .

Programmets översiktssida visas när registreringen är klar. Anteckna katalog-ID:t (klient)-ID :t och program-ID :t (klient) eftersom de kommer att användas i din tjänsts källkod. Följ någon av guiderna i Microsofts identitetsplattform kodexempel som liknar din tjänstmiljö och arkitektur för att avgöra hur du konfigurerar och använder det nya programmet.

Ange en URI för program-ID

Innan du kan konfigurera ett omfång för slutpunkten måste du ange en program-ID-URI för resursprogrammet. Det här ID:t används av Resource fältet för posten i anslutningsappen Aad . Värdet är inställt på rot-URL:en för din tjänst. Du kan också använda standardvärdet som genereras av Microsoft Entra – api://{clientId} där {clientId} är ditt resursprograms klient-ID.

  1. Gå till resursprogrammets översiktssida.
  2. På mittenskärmen går du till Essentials och väljer Lägg till ett program-ID-URI.
  3. Ange en URI eller acceptera standardvärdet baserat på ditt app-ID.
  4. Välj Spara och fortsätt.

Exemplen i den här guiden förutsätter att du använder URI-standardformatet för program-ID (till exempel - api://00001111-aaaa-2222-bbbb-3333cccc4444).

Konfigurera ett omfång

Omfång används för att definiera behörigheter eller funktioner för åtkomst till API:er eller data i din tjänst. Listan över omfång som stöds är tjänstspecifik. Du vill fastställa en minimal uppsättning omfång som krävs av anslutningsappen. Du måste förauktorisera minst ett omfång för Power Query-klient-ID:t.

Om resursprogrammet redan har definierat omfång kan du gå vidare till nästa steg.

Om din tjänst inte använder omfångsbaserade behörigheter kan du fortfarande definiera ett enda omfång som används av anslutningsappen. Du kan (om du vill) använda det här omfånget i din tjänstkod i framtiden.

I det här exemplet definierar du ett enda omfång med namnet Data.Read.

  1. Gå till resursprogrammets översiktssida.
  2. Under Hantera väljer du Exponera ett API > Lägg till ett omfång.
  3. Som Omfångsnamn anger du Data.Read.
  4. För Vem kan samtycka väljer du alternativet Administratörer och användare.
  5. Fyll i återstående visningsnamn och beskrivningsrutor.
  6. Kontrollera att Tillståndet är inställt på Aktiverad.
  7. Välj Lägg till definitionsområde.

Förauktorisera Power Query-klientprogrammen

Power Query-anslutningsappar använder två olika Microsoft Entra-klient-ID:er. Att förauktorisera omfång för dessa klient-ID:er förenklar anslutningsupplevelsen.

Client ID Programnamn Används av
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query för Excel Skrivbordsmiljöer
b52893c8-bc2e-47fc-918b-77022b299bbc Power BI-datauppdatering Tjänstmiljöer

Så här förauktoriserar du Power Query-klient-ID:t:

  1. Gå till resursprogrammets översiktssida.
  2. Under Hantera väljer du Exponera ett API.
  3. Välj Lägg till ett klientprogram.
  4. Ange ett av Power Query-klient-ID:t.
  5. Välj lämpliga auktoriserade omfång.
  6. Välj Lägg till program.
  7. Upprepa steg 3–6 för varje Power Query-klient-ID.

Aktivera Aad-autentiseringstyp i anslutningsappen

Microsoft Entra-ID-stöd är aktiverat för anslutningsappen Aad genom att lägga till autentiseringstypen i anslutningsappens datakällapost.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Ersätt värdet {YourApplicationIdUri} med URI-värdet för program-ID för resursprogrammet, till exempel api://00001111-aaaa-2222-bbbb-3333cccc4444.

I det här exemplet:

  • AuthorizationUri: Den Microsoft Entra-URL som används för att initiera autentiseringsflödet. De flesta anslutningsappar kan hårdkoda det här värdet till https://login.microsoftonline.com/common/oauth2/authorize, men det kan också fastställas dynamiskt om tjänsten stöder Azure B2B/Gästkonton. Mer information finns i exempel.
  • Resurs: Program-ID-URI:n för din anslutningsapp.
  • Omfång: Använd .default-omfånget för att automatiskt ta emot alla förauktoriserade omfång. Med hjälp av .default kan du ändra de nödvändiga anslutningsomfattningarna i din resursprogramregistrering, utan att behöva uppdatera anslutningsappen.

Mer information och alternativ för att konfigurera Microsoft Entra-stöd i anslutningsappen finns på sidan Exempel på Microsoft Entra-ID-autentisering.

Återskapa anslutningsappen och du bör nu kunna autentisera med din tjänst med hjälp av Microsoft Entra-ID.

Felsökning

I det här avsnittet beskrivs vanliga fel som du kan få om ditt Microsoft Entra-program är felkonfigurerat.

Power Query-programmet har inte förauktoriserats

access_denied: AADSTS650057: Ogiltig resurs. Klienten har begärt åtkomst till en resurs som inte finns med i de begärda behörigheterna i klientens programregistrering. Klientapps-ID: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query för Excel). Resursvärde från begäran: 00001111-aaaa-2222-bbbb-3333cccc4444. Resursapps-ID: 00001111-aaaa-2222-bbbb-3333cccc4444

Du kan se det här felet om resursprogrammet inte har förauktoriserat Power Query-klientprogrammen. Följ stegen för att förauktorisera Power Query-klient-ID:t.

Anslutningsappens Aad-post saknar ett omfångsvärde

access_denied: AADSTS650053: Programmet "Microsoft Power Query for Excel" bad om omfånget "user_impersonation" som inte finns på resursen "00001111-aaaa-2222-bbbb-3333cccc4444". Kontakta appleverantören.

Power Query begär omfånget user_impersonation om anslutningsappens Aad post inte definierar ett Scope fält eller Scope om värdet är null. Du kan lösa det här problemet genom att definiera ett Scope värde i anslutningsappen. Omfånget .default rekommenderas, men du kan också ange omfång på anslutningsnivå (till exempel - Data.Read).

Omfång eller klientprogram kräver administratörsgodkännande

Behöver administratörsgodkännande. <klientorganisationen> behöver behörighet att komma åt resurser i din organisation som endast en administratör kan bevilja. Be en administratör att bevilja behörighet till den här appen innan du kan använda den.

En användare kan få det här felet under sitt autentiseringsflöde om ditt resursprogram kräver administratörsbegränsade behörigheter eller om användarens klientorganisation hindrar icke-administratörsanvändare från att samtycka till nya begäranden om programbehörighet. Du kan undvika det här problemet genom att se till att anslutningsappen inte kräver några administratörsbegränsade omfång och förauktoriserar Power Query-klient-ID:t för ditt resursprogram.