Consideracions sobre el registre d'aplicacions
Es ALM Accelerator for Power Platform basa en els registres d'aplicacions Microsoft Entra per comunicar-se amb els serveis necessaris. En aquest article es discuteixen les consideracions que heu de tenir en compte i els enfocaments que podeu tenir en compte quan dissenyeu una estratègia de registre d'aplicacions per a l'acceleradora ALM.
Permisos d'API necessaris
Heu de permetre que els registres d'aplicacions utilitzin les API rellevants perquè l'accelerador ALM es comuniqui amb els serveis necessaris. Els requisits per a la comunicació amb aquests serveis depenen de la funcionalitat de l'accelerador ALM.
La taula següent mostra quins permisos d'API són necessaris per a les diferents funcionalitats de l'accelerador ALM.
| Funcionalitat | Permís API | Tipus de permís | Descripció |
|---|---|---|---|
| Connector personalitzat CustomAzureDevOps | Azure DevOps - user_impersonation | Delegat | L'aplicació de llenç de l'accelerador ALM necessita Azure DevOps permisos d'API per comunicar-se Azure DevOps. |
| Desplegar canonades de validació | Dynamics CRM - user_impersonation | Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Desplegar canonades de validació | Power Apps Assessor - Anàlisi.Tots | Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Desplegar canonades de prova | Dynamics CRM - user_impersonation | Delegat | El pipeline per desplegar solucions a l'entorn de prova necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Desplegar canonades de producció | Dynamics CRM - user_impersonation | Delegat | El pipeline per desplegar solucions a l'entorn de producció necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Pipeline d'exportació de solució | Dynamics CRM - user_impersonation | Delegat | El pipeline per exportar solucions des de l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Pipeline d'importació de solució | Dynamics CRM - user_impersonation | Delegat | El pipeline per importar solucions des del control d'origen de l'Azure Git a l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Pipeline de supressió de la solució | Dynamics CRM - user_impersonation | Delegat | El pipeline per eliminar solucions a l'entorn de desenvolupament maker necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
Consideracions per a una estratègia de registre d'aplicacions
Quan dissenyeu la vostra estratègia per crear i gestionar registres d'aplicacions per a l'accelerador ALM, heu de tenir en compte tant la seguretat com el manteniment.
Principi de privilegi mínim
Des d'una perspectiva de seguretat, considereu el principi de mínim privilegi. Qualsevol registre d'aplicació hauria de tenir els mínims privilegis necessaris per dur a terme les operacions necessàries.
Simplicitat de manteniment
Des del punt de vista del manteniment, considereu una estratègia que requereixi que feu el mínim treball per mantenir els registres de les aplicacions i els serveis que els utilitzen. Per exemple, una de les tasques de mantenir registres d'aplicacions és la rotació secreta: revocar el secret actual i crear-ne un de nou. Cada servei que utilitza un registre d'aplicació s'ha de tornar a configurar quan es gira un secret. Com més registres d'aplicacions utilitzeu, més feina heu de fer per mantenir-los.
Estratègies de registre d'aplicacions de l'Azure
Les estratègies per registrar aplicacions amb Microsoft Entra ID d'ús de l'accelerador ALM van des de les més senzilles fins a les molt granulars.
Registre d'una aplicació per a tot
L'estratègia més senzilla és crear un registre d'aplicació per a totes les vostres necessitats. Amb aquesta estratègia, utilitzeu el mateix registre d'aplicació per al connector personalitzat CustomAzureDevOps i totes les Azure DevOps connexions de servei que necessiteu per accedir als vostres Power Platform entorns.
Tot i que aquesta estratègia és la més fàcil de gestionar, viola el principi de mínim privilegi. Un registre d'aplicació té permisos per realitzar totes les operacions necessàries a través del connector personalitzat i totes les Azure DevOps connexions de servei que hàgiu configurat.
| Registre de l'aplicació | Permís i tipus d'API | Descripció |
|---|---|---|
| Registre únic d'aplicacions a tots els efectes | Azure DevOps - user_impersonation - Delegat | L'aplicació de llenç de l'accelerador ALM necessita Azure DevOps permisos d'API per comunicar-se Azure DevOps. |
| Registre únic d'aplicacions a tots els efectes | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des d'entorns de desenvolupament maker i desplegar solucions als entorns de validació, prova i producció necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre únic d'aplicacions a tots els efectes | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
Un registre d'aplicació per i un altre per Azure DevOps a Power Platform
Una estratègia més granular és crear un registre d'aplicació per al connector personalitzat CustomAzureDevOps i un altre per a les canonades per comunicar-se amb Power Platform els entorns.
Aquesta estratègia s'alinea millor amb el principi de mínim privilegi. Només el registre de l'aplicació que s'utilitza per al connector personalitzat CustomAzureDevOps pot accedir a l'API i només el registre de l'aplicació que s'utilitza per connectar-se pot utilitzar l'API Azure DevOps Power Platform ( Power Platform ).Dynamics CRM
| Registre de l'aplicació | Permís i tipus d'API | Descripció |
|---|---|---|
| Registre d'aplicacions per a Azure DevOps | Azure DevOps - user_impersonation - Delegat | L'aplicació de llenç de l'accelerador ALM necessita Azure DevOps permisos d'API per comunicar-se Azure DevOps. |
| Registre d'aplicacions per a Power Platform | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des d'entorns de desenvolupament maker i desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solucions. |
| Registre d'aplicacions per a Power Platform | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
Un registre d'aplicacions per i diversos per Azure DevOps a Power Platform
Una estratègia encara més granular és crear registres d'aplicacions per accedir a diferents Power Platform entorns. Podeu crear un registre d'aplicació per a cada entorn al qual necessiteu accedir mitjançant els canals de l'accelerador ALM. O bé, creeu un registre d'aplicació per a cada Power Platform projecte que admeteu mitjançant l'acceleradora ALM.
Aquesta estratègia s'alinea estretament amb el principi de mínim privilegi. Tot i això, també hauríeu de considerar el manteniment. Assegureu-vos de mantenir una manera estructurada d'identificar quin registre d'aplicacions s'utilitza per a cada entorn. Aquesta informació us serà útil quan gireu els secrets de registre de l'aplicació.
La taula següent mostra com podeu crear registres d'aplicacions per a cada Power Platform projecte per restringir l'accés només a l'entorn rellevant.
| Registre de l'aplicació | Power Platform abast | Permís i tipus d'API | Descripció |
|---|---|---|---|
| Registre d'aplicacions per a Azure DevOps | No aplicable | Azure DevOps - user_impersonation - Delegat | L'aplicació de llenç de l'accelerador ALM necessita Azure DevOps permisos d'API per comunicar-se Azure DevOps. |
| Registre d'aplicacions per a Power Platform | Projecte de plataforma 1 | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Projecte 1 | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Projecte 2 | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Projecte 2 | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Entorn de desenvolupament del creador 1 | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des de l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Entorn de desenvolupament del creador 2 | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des de l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per fer operacions de solució |
La taula següent mostra com podeu alinear-vos encara més amb el principi de mínim privilegi creant registres d'aplicacions per a cada Power Platform entorn.
| Registre de l'aplicació | Power Platform abast | Permís i tipus d'API | Descripció |
|---|---|---|---|
| Registre d'aplicacions per a Azure DevOps | No aplicable | Azure DevOps - user_impersonation - Delegat | L'aplicació de llenç de l'accelerador ALM necessita Azure DevOps permisos d'API per comunicar-se Azure DevOps. |
| Registre d'aplicacions per a Power Platform | Projecte 1: entorn de validació | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Projecte 1: entorn de validació | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Projecte 1: entorn de prova | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Projecte 1: entorn de producció | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Projecte 2: entorn de validació | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Projecte 2: entorn de validació | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Projecte 2: entorn de prova | Power Apps Assessor - user_impersonation - Delegat | El pipeline per implementar solucions a l'entorn de validació necessita permisos per utilitzar el Power Apps servei Advisor per executar la tasca de verificació de solucions. |
| Registre d'aplicacions per a Power Platform | Projecte 2: entorn de producció | Dynamics CRM - user_impersonation - Delegat | El pipeline per desplegar solucions a l'entorn de validació necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Entorn de desenvolupament del creador 1 | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des de l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |
| Registre d'aplicacions per a Power Platform | Entorn de desenvolupament del creador 2 | Dynamics CRM - user_impersonation - Delegat | El pipeline per exportar solucions des de l'entorn de desenvolupament del fabricant necessita permisos per utilitzar l'API Power Platform (Dynamics CRM) per realitzar operacions de solució. |