Съображения за регистрация на приложения
Разчита ALM Accelerator for Power Platform се на регистрациите на Microsoft Entra приложения, за да комуникира с необходимите услуги. Тази статия обсъжда съображенията, които трябва да имате предвид, и подходите, които можете да предприемете, когато проектирате стратегия за регистрация на приложения за ALM Accelerator.
Необходими разрешения за API
Трябва да разрешите на регистрациите на приложения да използват съответните API, за да може ALM Accelerator да комуникира с необходимите услуги. Изискванията за комуникация с тези услуги зависят от функционалността на ALM Accelerator.
Следващата таблица показва какви разрешения за API са необходими за различните функционалности на ALM Accelerator.
| Функционалност | Разрешение за API | Тип разрешение | Описание |
|---|---|---|---|
| Персонализиран конектор CustomAzureDevOps | Azure DevOps - user_impersonation | Делегирани | Приложението ALM Accelerator canvas се нуждае от Azure DevOps разрешения за API, с които да комуникира Azure DevOps. |
| Разполагане на тръбопроводи за проверка | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Разполагане на тръбопроводи за проверка | Power Apps Съветник - Анализ.Всички | Делегирани | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Разполагане на тестови тръбопроводи | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за разполагане на решения в тестовата среда се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Разполагане на производствени тръбопроводи | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за разполагане на решения в производствената среда се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Експортиране на тръбопровод за решения | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за експортиране на решения от средата за разработка на производителя се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Импортиране на тръбопровод за решения | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за импортиране на решения от Azure Git source control към средата за разработка на производителя се нуждае от разрешения за използване на API ( Power Platform ) за извършване наDynamics CRM операции с решения. |
| Изтриване на тръбопровода за решения | Dynamics CRM - user_impersonation | Делегирани | Тръбопроводът за изтриване на решения в средата за разработка на производителя се нуждае от разрешения за използване на API Power Platform () за извършване наDynamics CRM операции с решения. |
Съображения за стратегия за регистрация на приложения
Когато проектирате стратегията си за създаване и управление на регистрации на приложения за ALM Accelerator, трябва да имате предвид както сигурността, така и поддръжката.
Принцип на най-малката привилегия
От гледна точка на сигурността, помислете за принципа на най-малката привилегия. Всяка регистрация на приложение трябва да има най-малко привилегии, необходими за извършване на необходимите операции.
Простота на поддръжка
От гледна точка на поддръжката, помислете за стратегия, която изисква от вас да свършите най-малко работа, за да поддържате регистрациите на приложенията си и услугите, които ги използват. Например, една от задачите за поддържане на регистрациите на приложения е тайната ротация – анулиране на текущата тайна и създаване на нова. Всяка услуга, която използва регистрация на приложение, трябва да бъде преконфигурирана, когато се завърти тайна. Колкото повече регистрации на приложения използвате, толкова повече работа трябва да направите, за да ги поддържате.
Стратегии за регистрация на приложения на Azure
Стратегиите за регистриране на приложения с Microsoft Entra използване на ID от ALM Accelerator варират от много прости до много гранулирани.
Регистрация на едно приложение за всичко
Най-простата стратегия е да създадете една регистрация на приложение за всички ваши нужди. С тази стратегия използвате една и съща регистрация на приложението за персонализирания конектор CustomAzureDevOps и всички Azure DevOps връзки с услуги, от които се нуждаете, за да получите достъп до вашите Power Platform среди.
Въпреки че тази стратегия е най-лесната за управление, тя нарушава принципа на най-малката привилегия. Една регистрация на приложение има разрешения за извършване на всички необходими операции чрез персонализирания конектор и всички Azure DevOps връзки с услуги, които сте конфигурирали.
| Регистрация на приложение | Разрешение и тип на API | Описание |
|---|---|---|
| Регистрация на едно приложение за всички цели | Azure DevOps - user_impersonation - Делегирано | Приложението ALM Accelerator canvas се нуждае от Azure DevOps разрешения за API, с които да комуникира Azure DevOps. |
| Регистрация на едно приложение за всички цели | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от среди за разработка на производители и внедряване на решения в средите за валидиране, тестване и производство се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на едно приложение за всички цели | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
Една регистрация на приложение за Azure DevOps и една за Power Platform
По-подробна стратегия е да се създаде една регистрация на приложение за персонализирания конектор CustomAzureDevOps и една за тръбопроводите за комуникация с Power Platform околната среда.
Тази стратегия се привежда по-добре в съответствие с принципа на най-малко привилегии. Само регистрацията на приложението, която се използва за персонализирания конектор CustomAzureDevOps, има достъп до Azure DevOps API и само регистрацията на приложението, която се използва за свързване, може да Power Platform използва Power Platform API (Dynamics CRM).
| Регистрация на приложение | Разрешение и тип на API | Описание |
|---|---|---|
| Регистрация на приложение за Azure DevOps | Azure DevOps - user_impersonation - Делегирано | Приложението ALM Accelerator canvas се нуждае от Azure DevOps разрешения за API, с които да комуникира Azure DevOps. |
| Регистрация на приложение за Power Platform | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от среди за разработка на производители и внедряване на решения в средата за валидиране се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
Една регистрация на приложение за Azure DevOps и няколко за Power Platform
Още по-подробна стратегия е да се създадат регистрации на приложения за достъп до различни Power Platform среди. Можете да създадете по една регистрация на приложение за всяка среда, до която трябва да получите достъп, като използвате тръбопроводите ALM Accelerator. Или създайте по една регистрация на приложение за всеки Power Platform проект, който поддържате, като използвате ALM Accelerator.
Тази стратегия е в тясно съответствие с принципа на най-малко привилегии. Въпреки това, трябва да помислите и за поддръжка. Уверете се, че поддържате структуриран начин, за да определите коя регистрация на приложение се използва за всяка среда. Тази информация ще ви бъде полезна, когато завъртите тайните за регистрация на приложението.
Следващата таблица показва как можете да създавате регистрации на приложения за всеки Power Platform проект, за да ограничите достъпа само до съответната среда.
| Регистрация на приложение | Power Platform обхват | Разрешение и тип на API | Описание |
|---|---|---|---|
| Регистрация на приложение за Azure DevOps | Неприложимо | Azure DevOps - user_impersonation - Делегирано | Приложението ALM Accelerator canvas се нуждае от Azure DevOps разрешения за API, с които да комуникира Azure DevOps. |
| Регистрация на приложение за Power Platform | Platform Проект 1 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Проект 1 | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Проект 2 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Проект 2 | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Развойна среда на Създател 1 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от средата за разработка на производителя се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Развойна среда на Създател 2 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от средата за разработка на производителя се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения |
Следващата таблица показва как можете допълнително да се приведете в съответствие с принципа на най-малко привилегии, като създадете регистрации на приложения за всяка Power Platform среда.
| Регистрация на приложение | Power Platform обхват | Разрешение и тип на API | Описание |
|---|---|---|---|
| Регистрация на приложение за Azure DevOps | Неприложимо | Azure DevOps - user_impersonation - Делегирано | Приложението ALM Accelerator canvas се нуждае от Azure DevOps разрешения за API, с които да комуникира Azure DevOps. |
| Регистрация на приложение за Power Platform | Проект 1 - Среда за валидиране | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Проект 1 - Среда за валидиране | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Проект 1 - Тестова среда | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Проект 1 - Производствена среда | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Проект 2 - Среда за валидиране | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Проект 2 - Среда за валидиране | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Проект 2 - Тестова среда | Power Apps Съветник - user_impersonation - Делегиран | Каналът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на услугата "Съветник" за изпълнение на задачата за проверка на Power Apps решение. |
| Регистрация на приложение за Power Platform | Проект 2 - Производствена среда | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за разполагане на решения в средата за проверка се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Развойна среда на Създател 1 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от средата за разработка на производителя се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |
| Регистрация на приложение за Power Platform | Развойна среда на Създател 2 | Dynamics CRM - user_impersonation - Делегирано | Тръбопроводът за експортиране на решения от средата за разработка на производителя се нуждае от разрешения за използване на ( Power Platform ) API за извършване наDynamics CRM операции с решения. |