Nota
L'accés a aquesta pàgina requereix autorització. Pots provar d'iniciar sessió o canviar de directori.
L'accés a aquesta pàgina requereix autorització. Pots provar de canviar directoris.
Aquest article ofereix una visió general de la configuració de Microsoft Entra per trucar a Power Platform API. Per accedir als recursos disponibles a través de l'API Power Platform, has d'obtenir un token portador de Microsoft Entra i enviar-lo com a capçalera juntament amb cada sol·licitud. Depenent del tipus d'identitat que donis suport (usuari vs. principal de servei), hi ha diferents fluxos per obtenir aquest token portador, tal com es descriu en aquest article.
Per obtenir un testimoni de suport amb els permisos correctes calen els passos següents:
- Crear un registre d'aplicació a l'inquilí Microsoft Entra
- Configuració de permisos de l'API
- Configurar el client públic (opcional)
- Configurar certificats i secrets (opcional)
- Sol·licitar un testimoni d'accés
Pas 1. Crear un registre de l'aplicació
Aneu a la pàgina de registre Microsoft Entra de l'aplicació i creeu un registre nou. Doneu un nom a l'aplicació i assegureu-vos que se seleccioni l'opció Inquilí únic. Podeu ometre la configuració de l'URI de redirecció.
Pas 2. Configuració de permisos de l'API
Al nou registre de l'aplicació, aneu a la pestanya Administrar - Permisos de l'API. A la secció Configura els permisos, seleccioneu Afegeix un permís. A la finestra de diàleg que s'obre, seleccioneu la pestanya API que la meva organització utilitza i, a continuació, cerqueu API del Power Platform. Podeu veure diverses entrades amb un nom similar a aquest, de manera que assegureu-vos d'utilitzar la que té el GUID 8578e004-a5c6-46e7-913e-12f58912df43.
Si no veieu Power Platform que l'API apareix a la llista quan cerqueu per GUID, és possible que encara hi tingueu accés, però la visibilitat no s'actualitza. Per forçar una actualització, executeu l'script següent:
#Install the Microsoft Graph PowerShell SDK module
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Connect-MgGraph
New-MgServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
A partir d'aquí, heu de seleccionar els permisos que necessiteu. Aquests s'agrupen per espais de nom. Dins d'un espai de noms, veureu tipus de recursos i accions, per exemple, AppManagement.ApplicationPackages.Read que donen permisos de lectura per als paquets d'aplicacions. Per obtenir més informació, consulteu el nostre article de referència sobre permisos.
Nota
L'API del Power Platform utilitza els permisos delegats només en aquest moment. Per a les aplicacions que s'executen amb un context d'usuari, sol·liciteu permisos delegats mitjançant el paràmetre àmbit. Aquests permisos deleguen els privilegis de l'usuari que ha iniciat la sessió a la vostra aplicació, de manera que pot actuar com a usuari quan crida els extrems de l'API de Power Platform.
Per a les identitats de principal de servei, no s'utilitzen permisos d'aplicació. En lloc d'això, les entitats de servei es tracten com a administradors del Power Platform i s'han de registrar seguint PowerShell: Creeu l'entitat de servei.
Un cop afegits els permisos necessaris a l'aplicació, seleccioneu Atorga consentiment d'administració per completar la configuració. Això és necessari per a les instàncies en què voleu permetre als usuaris accedir a l'aplicació immediatament, en comptes de requerir una experiència de consentiment interactiva. Si podeu admetre el consentiment interactiu, us recomanem que seguiu la plataforma d'identitat Microsoft i el OAuth flux de codi d'autorització 2.0.
Pas 3. Configurar el client públic (opcional)
Si l'aplicació requereix recursos de lectura i escriptura en nom d'un usuari, heu d'habilitar la configuració Client públic. Aquesta és l'única manera que Microsoft Entra l'ID accepta les propietats de nom d'usuari i contrasenya al cos de la sol·licitud de testimoni. Tingueu en compte també que si teniu previst utilitzar aquesta funció, no funciona per als comptes que tenen habilitada l'autenticació multifactor.
Per habilitar-la, visiteu la pestanya Administrar - Autenticació. A la secció Configuració avançada, definiu el commutador Client públic com a Sí.
Pas 4. Configurar certificats i secrets (opcional)
Si l'aplicació requereix recursos de lectura i escriptura com a entitat de servei, hi ha dues maneres d'autenticar-se. Per utilitzar certificats, aneu a la pestanya Administra- Certificats i secrets. A la secció Certificats, carregueu un certificat x509 que podeu utilitzar per a l'autenticació. L'altra manera és utilitzar la secció Secrets per generar un secret de client. Deseu el secret en una ubicació segura per utilitzar-lo amb les vostres necessitats d'automatització. Les opcions de certificat o secret us permeten autenticar-vos i Microsoft Entra rebre un testimoni per a aquest client, del qual passeu a les API REST o als cmdlets PowerShell.
Pas 5. Sol·licitar un testimoni d'accés
Hi ha dues maneres d'obtenir un testimoni de suport d'accés. Una és per al nom d'usuari i la contrasenya i l'altra és per a les entitats de servei.
Flux de nom d'usuari i contrasenya
Assegureu-vos de llegir la secció Client públic anterior. A continuació, envieu una sol·licitud POST mitjançant HTTP a Microsoft Entra ID amb una càrrega útil de nom d'usuari i contrasenya.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
L'exemple anterior conté marcadors de posició que podeu recuperar de l'aplicació client a Microsoft Entra l'ID. Rebreu una resposta que es pot utilitzar per fer trucades posteriors a l'API Power Platform .
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Utilitzeu el valor access_token en les trucades posteriors a l'API del Power Platform amb la capçalera HTTP Autorització.
Flux de l'entitat de servei
Assegureu-vos de llegir la secció Certificats i secrets més amunt. A continuació, envieu una sol·licitud POST mitjançant HTTP a ID amb una càrrega útil secreta Microsoft Entra del client. Això es coneix sovint com a autenticació principal del servei.
Important
Això només es pot utilitzar després d'haver registrat aquest identificador d'aplicació client seguint Microsoft Power Platform la documentació PowerShell o REST relacionada .
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
L'exemple anterior conté marcadors de posició que podeu recuperar de l'aplicació client a Microsoft Entra l'ID. Rebreu una resposta que es pot utilitzar per fer trucades posteriors a l'API Power Platform .
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Utilitzeu el valor access_token en les trucades posteriors a l'API del Power Platform amb la capçalera HTTP Autorització. Com s'ha indicat anteriorment, el flux de l'entitat de servei no utilitza permisos d'aplicació i, de moment, es tracta com a Power Platform administrador per a totes les trucades que fan.
Contingut relacionat
Creació d'una aplicació de l'entitat de servei mitjançant l'API (versió preliminar)
PowerShell - Crea una entitat de servei