Snabbstart: Konfigurera Microsoft Entra för en anpassad anslutningsapp
Den här guiden beskriver stegen för att konfigurera ett Microsoft Entra-program för användning med en anpassad Power Query-anslutningsapp. Vi rekommenderar att anslutningsutvecklare granskar begreppen i Microsofts identitetsplattform innan de fortsätter.
Eftersom programtermen används i flera kontexter på Microsoft Entra-plattformen använder den här guiden följande termer för att skilja mellan anslutnings- och datakällans program-ID:
- Klientprogram: Microsoft Entra-klient-ID:t som används av Power Query-anslutningsappen.
- Resursprogram: Microsoft Entra-programregistreringen för slutpunkten som anslutningsappen ansluter till (dvs. din tjänst eller datakälla).
Om du aktiverar Microsoft Entra-stöd för en anpassad anslutningsapp ingår:
- Definiera ett eller flera omfång i resursprogrammet som används av anslutningsappen.
- Förauktorisera Power Query-klient-ID:erna för att använda dessa omfång.
- Ange rätt
Resource
värden ochScopes
värden i anslutningsdefinitionen.
Den här guiden förutsätter att ett nytt resursprogram är registrerat i Microsoft Entra. Utvecklare med ett befintligt resursprogram kan gå vidare till avsnittet Konfigurera ett omfång .
Kommentar
Mer information om hur du använder Microsoft Entra i tjänsten eller programmet finns i någon av snabbstartsguiderna.
Registrera resursprogrammet
Datakällan eller API-slutpunkten använder det här resursprogrammet för att upprätta förtroende mellan din tjänst och Microsofts identitetsplattform.
Följ dessa steg för att registrera ett nytt resursprogram:
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identitetsprogram>> Appregistreringar och välj Ny registrering.
- Ange ett visningsnamn för programmet.
- För Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen om slutpunkten endast är tillgänglig från din organisation. Välj Konton i en organisationskatalog för offentligt tillgängliga tjänster med flera klientorganisationer.
- Välj Registrera.
Du behöver inte ange ett omdirigerings-URI-värde .
Programmets översiktssida visas när registreringen är klar. Anteckna katalog-ID:t (klient)-ID :t och program-ID :t (klient) eftersom de kommer att användas i din tjänsts källkod. Följ någon av guiderna i Microsofts identitetsplattform kodexempel som liknar din tjänstmiljö och arkitektur för att avgöra hur du konfigurerar och använder det nya programmet.
Ange en URI för program-ID
Innan du kan konfigurera ett omfång för slutpunkten måste du ange en program-ID-URI för resursprogrammet. Det här ID:t används av Resource
fältet för posten i anslutningsappen Aad
. Värdet är inställt på rot-URL:en för din tjänst. Du kan också använda standardvärdet som genereras av Microsoft Entra – api://{clientId}
där {clientId}
är ditt resursprograms klient-ID.
- Gå till resursprogrammets översiktssida.
- På mittenskärmen går du till Essentials och väljer Lägg till ett program-ID-URI.
- Ange en URI eller acceptera standardvärdet baserat på ditt app-ID.
- Välj Spara och fortsätt.
Exemplen i den här guiden förutsätter att du använder URI-standardformatet för program-ID (till exempel - api://00001111-aaaa-2222-bbbb-3333cccc4444
).
Konfigurera ett omfång
Omfång används för att definiera behörigheter eller funktioner för åtkomst till API:er eller data i din tjänst. Listan över omfång som stöds är tjänstspecifik. Du vill fastställa en minimal uppsättning omfång som krävs av anslutningsappen. Du måste förauktorisera minst ett omfång för Power Query-klient-ID:t.
Om resursprogrammet redan har definierat omfång kan du gå vidare till nästa steg.
Om din tjänst inte använder omfångsbaserade behörigheter kan du fortfarande definiera ett enda omfång som används av anslutningsappen. Du kan (om du vill) använda det här omfånget i din tjänstkod i framtiden.
I det här exemplet definierar du ett enda omfång med namnet Data.Read.
- Gå till resursprogrammets översiktssida.
- Under Hantera väljer du Exponera ett API > Lägg till ett omfång.
- Som Omfångsnamn anger du Data.Read.
- För Vem kan samtycka väljer du alternativet Administratörer och användare.
- Fyll i återstående visningsnamn och beskrivningsrutor.
- Kontrollera att Tillståndet är inställt på Aktiverad.
- Välj Lägg till definitionsområde.
Förauktorisera Power Query-klientprogrammen
Power Query-anslutningsappar använder två olika Microsoft Entra-klient-ID:er. Att förauktorisera omfång för dessa klient-ID:er förenklar anslutningsupplevelsen.
Client ID | Programnamn | Används av |
---|---|---|
a672d62c-fc7b-4e81-a576-e60dc46e951d | Power Query för Excel | Skrivbordsmiljöer |
b52893c8-bc2e-47fc-918b-77022b299bbc | Power BI-datauppdatering | Tjänstmiljöer |
Så här förauktoriserar du Power Query-klient-ID:t:
- Gå till resursprogrammets översiktssida.
- Under Hantera väljer du Exponera ett API.
- Välj Lägg till ett klientprogram.
- Ange ett av Power Query-klient-ID:t.
- Välj lämpliga auktoriserade omfång.
- Välj Lägg till program.
- Upprepa steg 3–6 för varje Power Query-klient-ID.
Aktivera Aad-autentiseringstyp i anslutningsappen
Microsoft Entra-ID-stöd är aktiverat för anslutningsappen Aad
genom att lägga till autentiseringstypen i anslutningsappens datakällapost.
MyConnector = [
Authentication = [
Aad = [
AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
Resource = "{YourApplicationIdUri}"
Scope = ".default"
]
]
];
Ersätt värdet {YourApplicationIdUri}
med URI-värdet för program-ID för resursprogrammet, till exempel api://00001111-aaaa-2222-bbbb-3333cccc4444
.
I det här exemplet:
- AuthorizationUri: Den Microsoft Entra-URL som används för att initiera autentiseringsflödet.
De flesta anslutningsappar kan hårdkoda det här värdet till
https://login.microsoftonline.com/common/oauth2/authorize
, men det kan också fastställas dynamiskt om tjänsten stöder Azure B2B/Gästkonton. Mer information finns i exempel. - Resurs: Program-ID-URI:n för din anslutningsapp.
- Omfång: Använd .default-omfånget för att automatiskt ta emot alla förauktoriserade omfång. Med hjälp av
.default
kan du ändra de nödvändiga anslutningsomfattningarna i din resursprogramregistrering, utan att behöva uppdatera anslutningsappen.
Mer information och alternativ för att konfigurera Microsoft Entra-stöd i anslutningsappen finns på sidan Exempel på Microsoft Entra-ID-autentisering.
Återskapa anslutningsappen och du bör nu kunna autentisera med din tjänst med hjälp av Microsoft Entra-ID.
Felsökning
I det här avsnittet beskrivs vanliga fel som du kan få om ditt Microsoft Entra-program är felkonfigurerat.
Power Query-programmet har inte förauktoriserats
access_denied: AADSTS650057: Ogiltig resurs. Klienten har begärt åtkomst till en resurs som inte finns med i de begärda behörigheterna i klientens programregistrering. Klientapps-ID: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query för Excel). Resursvärde från begäran: 00001111-aaaa-2222-bbbb-3333cccc4444. Resursapps-ID: 00001111-aaaa-2222-bbbb-3333cccc4444
Du kan se det här felet om resursprogrammet inte har förauktoriserat Power Query-klientprogrammen. Följ stegen för att förauktorisera Power Query-klient-ID:t.
Anslutningsappens Aad-post saknar ett omfångsvärde
access_denied: AADSTS650053: Programmet "Microsoft Power Query for Excel" bad om omfånget "user_impersonation" som inte finns på resursen "00001111-aaaa-2222-bbbb-3333cccc4444". Kontakta appleverantören.
Power Query begär omfånget user_impersonation
om anslutningsappens Aad
post inte definierar ett Scope
fält eller Scope
om värdet är null
. Du kan lösa det här problemet genom att definiera ett Scope
värde i anslutningsappen. Omfånget .default
rekommenderas, men du kan också ange omfång på anslutningsnivå (till exempel - Data.Read
).
Omfång eller klientprogram kräver administratörsgodkännande
Behöver administratörsgodkännande. <klientorganisationen> behöver behörighet att komma åt resurser i din organisation som endast en administratör kan bevilja. Be en administratör att bevilja behörighet till den här appen innan du kan använda den.
En användare kan få det här felet under sitt autentiseringsflöde om ditt resursprogram kräver administratörsbegränsade behörigheter eller om användarens klientorganisation hindrar icke-administratörsanvändare från att samtycka till nya begäranden om programbehörighet. Du kan undvika det här problemet genom att se till att anslutningsappen inte kräver några administratörsbegränsade omfång och förauktoriserar Power Query-klient-ID:t för ditt resursprogram.