Sdílet prostřednictvím

Vytvoření aplikace instančního objektu pomocí PowerShell

  • Článek

Ověřování pomocí uživatelského jména a hesla často není ideální, zejména s nárůstem vícefaktorového ověřování. V takových případech je upřednostňováno ověřování instančního objektu (nebo tok přihlašovacích údajů klienta). To lze provést registrací nové aplikace instančního objektu ve vašem vlastním tenantovi Microsoft Entra a poté registrací stejné aplikace u Power Platform.

Registrace aplikace pro správu správce

Nejprve je třeba klientskou aplikaci zaregistrovat ve vašem tenantovi Microsoft Entra. Chcete-li to nastavit, podívejte se do článku Autentizace pro API Power Platform, protože pro PowerShell je vyžadováno stejné nastavení aplikace.

Po registraci vaší klientské aplikace v Microsoft Entra ID je také třeba být registrován v Microsoft Power Platform. Dnes neexistuje způsob, jak to udělat prostřednictvím centra pro správu Power Platform; musí to být provedeno programově pomocí rozhraní Power Platform API nebo prostředí PowerShell pro správce Power Platform. Instanční objekt se nemůže sám zaregistrovat – záměrně musí být aplikace zaregistrována v kontextu uživatelského jména a hesla správce. Tím je zajištěno, že aplikaci vytvoří někdo, kdo je správcem tenanta.

Chcete-li zaregistrovat novou aplikaci pro správu, použijte následující skript:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Vznesení žádostí jako instanční objekt

Nyní, když byl zaregistrován v Microsoft Power Platform, můžete se ověřovat jako samotný instanční objekt. Následující skript použijte k dotazování v seznamu prostředí:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Omezení instančních objektů

V současné době funguje ověřování instančního objektu pro správu prostředí, nastavení klienta a správu Power Apps. Rutiny související s tokem jsou podporovány pro ověřování instančního objektu v situacích, kdy není vyžadována licence, protože není možné přiřadit licence identitám instančního objektu v Microsoft Entra ID.

S aplikacemi instančního objektu se v Power Platform zachází podobně jako s běžnými uživateli s přiřazenou rolí správce Power Platform. Nelze přiřadit podrobné role a oprávnění, aby se omezily jejich možnosti. Aplikaci není přiřazena žádná zvláštní role Microsoft Entra ID, protože takto služby platformy zacházejí s požadavky zadanými instančními objekty.