ข้อควรพิจารณาในการลงทะเบียนแอป
ALM Accelerator for Power Platform ใช้การลงทะเบียนแอป Microsoft Entra เพื่อสื่อสารกับบริการที่จำเป็น บทความนี้กล่าวถึงข้อควรพิจารณาที่คุณควรคำนึงถึงและแนวทางที่คุณสามารถทำได้เมื่อคุณออกแบบกลยุทธ์การลงทะเบียนแอปสำหรับ ALM Accelerator
จำเป็นต้องมีสิทธิ์ของ API
คุณต้องอนุญาตให้การลงทะเบียนแอปใช้ API ที่เกี่ยวข้องสำหรับ ALM Accelerator เพื่อสื่อสารกับบริการที่จำเป็น ข้อกำหนดสำหรับการสื่อสารกับบริการเหล่านี้ขึ้นอยู่กับฟังก์ชันการทำงานของ ALM Accelerator
ตารางต่อไปนี้แสดงสิทธิ์ของ API ที่จำเป็นสำหรับการทำงานต่างๆ ของ ALM Accelerator
| ฟังก์ชันการทำงาน | สิทธิ์ของ API | ชนิดสิทธิ์ | รายละเอียด |
|---|---|---|---|
| ตัวเชื่อมต่อ CustomAzureDevOps ที่กำหนดเอง | Azure DevOps - user_impersonation | มอบหมาย | แอปพื้นที่ทำงาน ALM Accelerator ต้องการสิทธิ์ของ Azure DevOps API เพื่อสื่อสารกับ Azure DevOps |
| ปรับใช้ไปป์ไลน์การตรวจสอบความถูกต้อง | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| ปรับใช้ไปป์ไลน์การตรวจสอบความถูกต้อง | Power Apps Advisor - Analysis.All | มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| ปรับใช้ไปป์ไลน์การทดสอบ | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการทดสอบจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| ปรับใช้ไปป์ไลน์การทำงานจริง | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการทำงานจริงจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| ส่งออกไปป์ไลน์โซลูชัน | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| นำเข้าไปป์ไลน์โซลูชัน | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการนำเข้าโซลูชันจากการควบคุมแหล่งที่มา Azure Git ไปยังสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| ลบไปป์ไลน์โซลูชัน | Dynamics CRM - user_impersonation | มอบหมาย | ไปป์ไลน์ในการลบโซลูชันในสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
ข้อควรพิจารณาสำหรับกลยุทธ์การลงทะเบียนแอป
เมื่อคุณออกแบบกลยุทธ์ของคุณสำหรับการสร้างและจัดการการลงทะเบียนแอปสำหรับ ALM Accelerator คุณควรพิจารณาทั้งความปลอดภัยและการบำรุงรักษา
หลักการของสิทธิ์การใช้งานน้อยที่สุด
จากมุมมองด้านความปลอดภัย ให้พิจารณาหลักการของสิทธิ์การใช้งานน้อยที่สุด การลงทะเบียนแอปใด ๆ ควรมีสิทธิ์การใช้น้อยที่สุดที่ต้องการในการดำเนินการที่จำเป็น
ความเรียบง่ายของการบำรุงรักษา
จากมุมมองของการบำรุงรักษา ให้พิจารณากลยุทธ์ที่กำหนดให้คุณทำงานน้อยที่สุดเพื่อรักษาการลงทะเบียนแอปและบริการที่ใช้งาน ตัวอย่างเช่น หนึ่งในงานของการรักษาการลงทะเบียนแอปคือการหมุนเวียนข้อมูลลับ—เพิกถอนข้อมูลลับปัจจุบันและสร้างข้อมูลใหม่ แต่ละบริการที่ใช้การลงทะเบียนแอปจะต้องได้รับการกำหนดค่าใหม่เมื่อมีการหมุนเวียนข้อมูลลับ ยิ่งคุณใช้การลงทะเบียนแอปมากเท่าไหร่ คุณก็ยิ่งต้องทำงานมากขึ้นเพื่อบำรุงรักษา
กลยุทธ์การลงทะเบียนแอป Azure
กลยุทธ์การลงทะเบียนแอปกับ Microsoft Entra ID สำหรับการใช้งานโดย ALM Accelerator มีตั้งแต่แบบธรรมดาไปจนถึงแบบละเอียด
การลงทะเบียนแอปเดียวสำหรับทุกสิ่ง
กลยุทธ์ที่ง่ายที่สุดคือสร้างการลงทะเบียนแอปเดียวสำหรับทุกความต้องการของคุณ ด้วยกลยุทธ์นี้ คุณจะใช้การลงทะเบียนแอปเดียวกันสำหรับตัวเชื่อมต่อแบบกำหนดเอง CustomAzureDevOps และการเชื่อมต่อบริการ Azure DevOps ทั้งหมดที่คุณต้องการเพื่อเข้าถึงสภาพแวดล้อม Power Platform
แม้ว่ากลยุทธ์นี้จะจัดการได้ง่ายที่สุด แต่ก็ละเมิดหลักการของสิทธิ์การใช้งานน้อยที่สุด การลงทะเบียนแอปเดียวมีสิทธิ์ในการดำเนินการที่จำเป็นทั้งหมดผ่านตัวเชื่อมต่อแบบกำหนดเองและการเชื่อมต่อบริการ Azure DevOps ทั้งหมดที่คุณกำหนดค่าไว้
| การลงทะเบียนแอป | สิทธิ์และชนิดของ API | รายละเอียด |
|---|---|---|
| การลงทะเบียนแอปเดียวสำหรับทุกวัตถุประสงค์ | Azure DevOps - user_impersonation - มอบหมาย | แอปพื้นที่ทำงาน ALM Accelerator ต้องการสิทธิ์ของ Azure DevOps API เพื่อสื่อสารกับ Azure DevOps |
| การลงทะเบียนแอปเดียวสำหรับทุกวัตถุประสงค์ | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์เพื่อส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างและปรับใช้โซลูชันไปยังสภาพแวดล้อมการตรวจสอบความถูกต้อง การทดสอบ และการทำงานจริงจำเป็นต้องมีสิทธิ์เพื่อใช้ Power Platform (Dynamics CRM) API ดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปเดียวสำหรับทุกวัตถุประสงค์ | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
การลงทะเบียนแอปเดียวสำหรับ Azure DevOps และอีกหนึ่งสำหรับ Power Platform
กลยุทธ์ที่ละเอียดยิ่งขึ้นคือการสร้างหนึ่งการลงทะเบียนแอปสำหรับตัวเชื่อมต่อแบบกำหนดเอง CustomAzureDevOps และอีกหนึ่งรายการสำหรับไปป์ไลน์ที่จะสื่อสารกับสภาพแวดล้อม Power Platform
กลยุทธ์นี้สอดคล้องกับหลักการสิทธิ์การใช้งานน้อยที่สุด เฉพาะการลงทะเบียนแอปที่ใช้สำหรับตัวเชื่อมต่อแบบกำหนดเอง CustomAzureDevOps เท่านั้นที่สามารถเข้าถึง Azure DevOps API และเฉพาะการลงทะเบียนแอปที่ใช้เชื่อมต่อ Power Platform เท่านั้นที่สามารถใช้ Power Platform (Dynamics CRM) API
| การลงทะเบียนแอป | สิทธิ์และชนิดของ API | รายละเอียด |
|---|---|---|
| การลงทะเบียนแอปสำหรับ Azure DevOps | Azure DevOps - user_impersonation - มอบหมาย | แอปพื้นที่ทำงาน ALM Accelerator ต้องการสิทธิ์ของ Azure DevOps API เพื่อสื่อสารกับ Azure DevOps |
| การลงทะเบียนแอปสำหรับ Power Platform | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์เพื่อส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างและปรับใช้โซลูชันไปยังสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์เพื่อใช้ Power Platform (Dynamics CRM) API ดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
การลงทะเบียนแอปเดียวสำหรับ Azure DevOps และอีกหลายรายการสำหรับ Power Platform
กลยุทธ์ที่ละเอียดยิ่งขึ้นคือการสร้างการลงทะเบียนแอปสำหรับการเข้าถึงสภาพแวดล้อม Power Platform ที่แตกต่างกัน คุณอาจสร้างหนึ่งการลงทะเบียนแอปสำหรับแต่ละสภาพแวดล้อมที่คุณต้องการเข้าถึงโดยใช้ไปป์ไลน์ ALM Accelerator หรือสร้างหนึ่งการลงทะเบียนแอปสำหรับแต่ละโครงการ Power Platform ที่คุณสนับสนุนโดยใช้ ALM Accelerator
กลยุทธ์นี้สอดคล้องอย่างใกล้ชิดกับหลักการสิทธิ์การใช้งานน้อยที่สุด อย่างไรก็ตาม คุณควรคำนึงถึงการบำรุงรักษาด้วย ตรวจสอบให้แน่ใจว่าได้รักษาวิธีการที่มีโครงสร้างเพื่อระบุการลงทะเบียนแอปที่ใช้สำหรับแต่ละสภาพแวดล้อม ข้อมูลนี้จะมีประโยชน์เมื่อคุณหมุนเวียนข้อมูลลับสำหรับการลงทะเบียนแอป
ตารางต่อไปนี้แสดงวิธีสร้างการลงทะเบียนแอปสำหรับแต่ละโครงการ Power Platform เพื่อจำกัดการเข้าถึงเฉพาะสภาพแวดล้อมที่เกี่ยวข้อง
| การลงทะเบียนแอป | ขอบเขต Power Platform | สิทธิ์และชนิดของ API | รายละเอียด |
|---|---|---|---|
| การลงทะเบียนแอปสำหรับ Azure DevOps | ไม่สามารถใช้งานได้ | Azure DevOps - user_impersonation - มอบหมาย | แอปพื้นที่ทำงาน ALM Accelerator ต้องการสิทธิ์ของ Azure DevOps API เพื่อสื่อสารกับ Azure DevOps |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการแพลตฟอร์ม 1 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 1 | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | สภาพแวดล้อมการพัฒนาของผู้สร้าง 1 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | สภาพแวดล้อมการพัฒนาของผู้สร้าง 2 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
ตารางต่อไปนี้แสดงวิธีการเพิ่มเติมที่คุณสามารถดำเนินการให้สอดคล้องกับหลักการของสิทธิ์การใช้งานน้อยที่สุดโดยการสร้างการลงทะเบียนแอปสำหรับแต่ละสภาพแวดล้อม Power Platform
| การลงทะเบียนแอป | ขอบเขต Power Platform | สิทธิ์และชนิดของ API | รายละเอียด |
|---|---|---|---|
| การลงทะเบียนแอปสำหรับ Azure DevOps | ไม่สามารถใช้งานได้ | Azure DevOps - user_impersonation - มอบหมาย | แอปพื้นที่ทำงาน ALM Accelerator ต้องการสิทธิ์ของ Azure DevOps API เพื่อสื่อสารกับ Azure DevOps |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 1 - สภาพแวดล้อมการตรวจสอบความถูกต้อง | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 1 - สภาพแวดล้อมการตรวจสอบความถูกต้อง | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 1 - สภาพแวดล้อมการทดสอบ | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 1 - สภาพแวดล้อมการทำงานจริง | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 - สภาพแวดล้อมการตรวจสอบความถูกต้อง | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 - สภาพแวดล้อมการตรวจสอบความถูกต้อง | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 - สภาพแวดล้อมการทดสอบ | Power Apps Advisor - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้บริการ Power Apps Advisor เพื่อเรียกใช้งานของตัวตรวจสอบโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | โครงการ 2 - สภาพแวดล้อมการทำงานจริง | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการปรับใช้โซลูชันกับสภาพแวดล้อมการตรวจสอบความถูกต้องจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | สภาพแวดล้อมการพัฒนาของผู้สร้าง 1 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |
| การลงทะเบียนแอปสำหรับ Power Platform | สภาพแวดล้อมการพัฒนาของผู้สร้าง 2 | Dynamics CRM - user_impersonation - มอบหมาย | ไปป์ไลน์ในการส่งออกโซลูชันจากสภาพแวดล้อมการพัฒนาของผู้สร้างจำเป็นต้องมีสิทธิ์ในการใช้ Power Platform (Dynamics CRM) API เพื่อดำเนินการกับโซลูชัน |