應用程式註冊注意事項
ALM Accelerator for Power Platform 依賴 Microsoft Entra 應用程式註冊來與所需的服務通訊。 本文說明當您為 ALM Accelerator 設計應用程式註冊策略時,應牢記的注意事項以及可以採取的方法。
需要 API 權限
您必須允許應用程式註冊使用 ALM Accelerator 的相關 API,與所需服務進行通訊。 與這些服務進行通訊的需求,視 ALM Accelerator 的功能而定。
下表顯示 ALM Accelerator 的不同功能所需的 API 權限。
| 功能 | API 權限 | 權限類型 | 描述: |
|---|---|---|---|
| CustomAzureDevOps 自訂連接器 | Azure DevOps - user_impersonation | 已委派 | ALM Accelerator 畫布應用程式需要 Azure DevOps API 權限,才能與 Azure DevOps 進行通訊。 |
| 部署驗證管線 | Dynamics CRM - user_impersonation | 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 部署驗證管線 | Power Apps Advisor - Analysis.All | 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| 部署測試管線 | Dynamics CRM - user_impersonation | 已委派 | 將解決方案部署到測試環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 部署產生管線 | Dynamics CRM - user_impersonation | 已委派 | 將解決方案部署到生產環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 匯出解決方案管線 | Dynamics CRM - user_impersonation | 已委派 | 從製作者開發環境匯出解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 匯入解決方案管線 | Dynamics CRM - user_impersonation | 已委派 | 將解決方案從 Azure Git 原始檔控制匯入到製作者開發環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 刪除解決方案管線 | Dynamics CRM - user_impersonation | 已委派 | 在製作者開發環境中刪除解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
應用程式註冊策略的注意事項
當您設計用來建立和管理 ALM Accelerator 應用程式註冊的策略時,應考慮安全性和維護性。
最低權限原則
從安全性的角度來看,請考慮最低權限原則。 任何應用程式註冊都應具有執行必要作業所需的最低權限。
維護的簡潔性
從維護的角度看,請朝花費最少的工作來維護應用程式註冊和使用其服務的策略考慮。 例如,維護應用程式註冊的其中一個工作是密碼輪換,即撤銷目前的密碼並建立新的密碼。 當密碼輪換時,每個使用應用程式註冊的服務都需要重新設定。 您使用的應用程式註冊越多,維護它們所需做的工作就越多。
Azure App 註冊策略
用 Microsoft Entra ID 來註冊應用程式供 ALM Accelerator 使用的策略,範圍從非常簡單到最精細。
所有項目都共用一個應用程式註冊
最簡單的策略就是建立一個應用程式註冊來滿足所有需求。 透過此策略,您可以針對 CustomAzureDevOps 自訂連接器以及存取 Power Platform 環境所需的所有 Azure DevOps 服務連線使用相同的應用程式註冊。
儘管此策略最容易管理,但它違反了最小權限原則。 一個應用程式註冊有權透過自訂連接器和您設定的所有 Azure DevOps 服務連線執行所有必需的作業。
| 應用程式註冊 | API 權限和類型 | 描述: |
|---|---|---|
| 用於所有用途的單一應用程式註冊 | Azure DevOps - user_impersonation - 已委派 | ALM Accelerator 畫布應用程式需要 Azure DevOps API 權限,才能與 Azure DevOps 進行通訊。 |
| 用於所有用途的單一應用程式註冊 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案從製作者開發環境匯出並將解決方案部署到驗證、測試及生產環境的管線,需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| 用於所有用途的單一應用程式註冊 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
Azure DevOps 的一個應用程式註冊和 Power Platform 的一個應用程式註冊
更精細的策略是為 CustomAzureDevOps 自訂連接器建立一個應用程式註冊,並為管線建立應用程式註冊以與 Power Platform 環境進行通訊。
這個策略更符合最低權限原則。 只有用於 CustomAzureDevOps 自訂連接器的應用程式註冊,才能存取 Azure DevOps API,並且只有用來連接至 Power Platform 的應用程式註冊才能使用 Power Platform (Dynamics CRM) API。
| 應用程式註冊 | API 權限和類型 | 描述: |
|---|---|---|
| Azure DevOps 的應用程式註冊 | Azure DevOps - user_impersonation - 已委派 | ALM Accelerator 畫布應用程式需要 Azure DevOps API 權限,才能與 Azure DevOps 進行通訊。 |
| Power Platform 的應用程式註冊 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案從製作者開發環境匯出並將解決方案部署到驗證環境的管線,需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
Azure DevOps 的一個應用程式註冊和 Power Platform 的多個應用程式註冊
更精細的策略是建立應用程式註冊,以存取不同的 Power Platform 環境。 您可以為需要使用 ALM Accelerator 管線存取的每個環境建立一個應用程式註冊。 或者,為您使用 ALM Accelerator 支援的每個 Power Platform 專案建立一個應用程式註冊。
這個策略更貼近最低權限原則。 不過,您也應該考慮維護工作。 請務必保持結構化的方式來找出每個環境使用哪個應用程式註冊。 當您輪換應用程式註冊密碼時,此資訊將會很實用。
下表顯示如何為每個 Power Platform 專案建立應用程式註冊,以限制只能存取相關的環境。
| 應用程式註冊 | Power Platform 範圍 | API 權限和類型 | 描述: |
|---|---|---|---|
| Azure DevOps 的應用程式註冊 | 不適用 | Azure DevOps - user_impersonation - 已委派 | ALM Accelerator 畫布應用程式需要 Azure DevOps API 權限,才能與 Azure DevOps 進行通訊。 |
| Power Platform 的應用程式註冊 | 平台專案 1 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 專案 1 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 建立者開發環境 1 | Dynamics CRM - user_impersonation - 已委派 | 從製作者開發環境匯出解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 建立者開發環境 2 | Dynamics CRM - user_impersonation - 已委派 | 從製作者開發環境匯出解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限 |
下表顯示如何建立每個 Power Platform 環境的應用程式註冊,以更符合最低權限原則。
| 應用程式註冊 | Power Platform 範圍 | API 權限和類型 | 描述: |
|---|---|---|---|
| Azure DevOps 的應用程式註冊 | 不適用 | Azure DevOps - user_impersonation - 已委派 | ALM Accelerator 畫布應用程式需要 Azure DevOps API 權限,才能與 Azure DevOps 進行通訊。 |
| Power Platform 的應用程式註冊 | 專案 1 - 驗證環境 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 專案 1 - 驗證環境 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 專案 1 - 測試環境 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 專案 1 - 生產環境 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 - 驗證環境 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 - 驗證環境 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 - 測試環境 | Power Apps Advisor - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Apps Advisor 服務來執行解決方案檢查程式工作的權限。 |
| Power Platform 的應用程式註冊 | 專案 2 - 生產環境 | Dynamics CRM - user_impersonation - 已委派 | 將解決方案部署到驗證環境的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 建立者開發環境 1 | Dynamics CRM - user_impersonation - 已委派 | 從製作者開發環境匯出解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |
| Power Platform 的應用程式註冊 | 建立者開發環境 2 | Dynamics CRM - user_impersonation - 已委派 | 從製作者開發環境匯出解決方案的管線需要使用 Power Platform (Dynamics CRM) API 來執行解決方案作業的權限。 |