Sdílet prostřednictvím

Nasazení kanálu jako instanční objekt nebo vlastník kanálu

  • Článek

Delegovaná nasazení lze spouštět jako instanční objekt nebo vlastník fáze kanálu. Je-li to povoleno, nasadí se fáze kanálu jako delegovaný (instanční objekt nebo vlastník fáze kanálu) namísto žádajícího tvůrce.

Nasazení jako instanční objekt

Předpoklady

  • Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
  • Jedna z následujících rolí Microsoft Entra : Správce cloudových aplikací nebo Správce aplikací.
  • Musíte být vlastníkem podnikové aplikace (instančního objektu) v Microsoft Entra ID.

Pro delegované nasazení jako instanční objekt postupujte takto.

  1. Vytvořte podnikovou aplikaci (instanční objekt) v Microsoft Entra ID.

    Důležité

    Každý, kdo zapíná nebo upravuje konfigurace instancí služby v kanálech, musí být vlastníkem podnikové aplikace (instance služby) v Microsoft Entra ID.

  2. Přidejte podnikovou aplikaci jako uživatele mezi servery (S2S) do hostitelského prostředí kanálů a do každého cílového prostředí, do kterého se nasazuje.

  3. Přiřaďte roli zabezpečení Správce kanálu nasazení uživateli S2S v rámci hostitele kanálu a roli zabezpečení Správce systému v cílových prostředích. Role zabezpečení s nižšími oprávněními nemohou nasazovat moduly plug-in a další součásti kódu.

  4. Ve fázi kanálu vyberte (zaškrtněte) Je delegované nasazení, vyberte Instanční objekt a zadejte ID klienta. Zvolte Uložit.

  5. Volitelně Povolit požadavky na sdílení , aby žadatelé o nasazení mohli určit, které skupiny zabezpečení mohou přistupovat k nasazeným objektům v cílovém prostředí. Požadavky na sdílení jsou součástí požadavku na nasazení a lze je schválit nebo zamítnout.

Důležité

Schvalovatelé nasazení jsou zodpovědní za pečlivou kontrolu sdílení a informací role zabezpečení. Když je nasazení schváleno, kanály automaticky přiřadí oprávnění pomocí identity instančního objektu služby.
>

  1. V prostředí hostitele kanálů vytvořte cloudový tok. Alternativní systémy lze integrovat pomocí kanálů „Rozhraní Microsoft Dataverse API“.

  2. Vyberte trigger OnApprovalStarted.

  3. Přidejte kroky pro potřebnou vlastní logiku.

  4. Vložte krok schválení. Použijte dynamický obsah k zasílání informací schvalovatelům ohledně požadavků na nasazení.

  5. Vložte podmínku.

  6. Vytvoření připojení Dataverse pro instanční objekt. Potřebujete ID klienta a tajný klíč.

  7. Pomocí zde uvedených nastavení přidejte Provést nevázanou akci z Dataverse.
    Název akce: UpdateApprovalStatus ApprovalComments: Vložit dynamický obsah. Komentáře jsou viditelné žadatelům o nasazení. ApprovalStatus: 20 = schváleno, 30 = zamítnuto ApprovalProperties: Vložit dynamický obsah. Informace správce přístupné z hostitele kanálů.

    Důležité

    Akce UpdateApprovalStatus musí používat připojení instančního objektu.

    Propojení s instančním objektem

    Tip

    Chcete-li zlepšit ladění, vyberte ApprovalProperties a vložte workflow() z nabídky dynamického obsahu. Tím se propojí spuštění toku se spuštěním fáze kanálu (historie spuštění).

  8. Uložte a otestujte kanál.

Zde je screenshot kanonického schvalovacího procesu.

Tok kanonického schvalování

Nasazení jako vlastník fáze potrubí

Běžní uživatelé, včetně těch, kteří se používají jako servisní účty, mohou také sloužit jako delegáti. Konfigurace je ve srovnání s instančními objekty přímočařejší, ale nelze nasadit řešení obsahující informace o připojení pro připojení oAuth.

Chcete-li provést nasazení jako vlastník fáze kanálu, postupujte takto.

  1. Přiřaďte roli zabezpečení Správce kanálu nasazení vlastníkovi fáze kanálu v rámci hostitele kanálu a roli zabezpečení Správce systému v cílových prostředích.

    Role zabezpečení s nižšími oprávněními nemohou nasazovat moduly plug-in a další součásti kódu.

  2. Přihlaste se jako vlastník fáze kanálu. Tato nastavení může zapnout nebo upravit pouze vlastník. Vlastnictví týmu není povoleno.

  3. Ve fázi kanálu vyberte Je delegované nasazení a vyberte Vlastník fáze.

    • Identita vlastníka fáze kanálu je použita pro všechna nasazení v této fázi.
    • Podobně musí být tato identita použita ke schválení nasazení.

  4. V prostředí hostitele kanálů vytvořte cloudový tok v řešení.

    1. Vyberte trigger OnApprovalStarted.
    2. Vložte akce podle potřeby. Například schválení.
    3. Přidejte Provést nevázanou akci z Dataverse.
      Název akce: UpdateApprovalStatus (20 = dokončeno, 30 = zamítnuto)

Ukázky delegovaného nasazení

Důležité

Funkce poskytované v těchto ukázkách jsou nyní v produktu nativně podporovány, ale tyto ukázky mohou poskytnout informace o rozšíření funkcí nativního sdílení.

Tyto soubory obsahují ukázkové cloudové toky pro správu schvalování a sdílení nasazených aplikací plátna a toků v cílovém prostředí. Stáhněte si vzorové řešení

Stáhněte a importujte spravované řešení do hostitelského prostředí kanálu. Řešení lze pak upravit, aby vyhovovalo potřebám vaší organizace.

Nejčastější dotazy

Jak mohou tvůrci přistupovat k nasazeným objektům v cílových prostředích?

Sdílení během nasazení je nativní funkcí delegovaných nasazení s principy služeb. Správci tak nebudou muset ručně přiřazovat role zabezpečení a sdílet nasazené aplikace, toky, kopiloty a tak dále v centru pro správu Power Platform . Místo toho musí správci pouze schválit žádost o nasazení a sdílení provádí systém automaticky.

Které typy objektů lze sdílet během nasazení?

V současné době jsou podporovány role zabezpečení, aplikace plátna a cloudové toky. V závislosti na vaší oblasti může být k dispozici také sdílení pomocí druhého pilota.

Jaká oprávnění jsou přiřazena pro aplikace a toky plátna?

Pipelines přiděluje minimální oprávnění potřebná ke spouštění aplikací a toků. Pokud jsou požadována vyšší oprávnění, lze kanály rozšířit. Při přidělování vyšších oprávnění doporučujeme povolit funkci „Blokovat nespravovaná přizpůsobení“.

Mohou tvůrci sdílet s jednotlivými uživateli?

V současné době ne. Po prvním nasazení objektu doporučujeme spravovat individuální přístupy uživatelů prostřednictvím skupin zabezpečení.

Zobrazuje se mi chyba Fáze nasazení není vlastníkem instančního objektu (<AppId>). Pro delegovaná nasazení jej mohou používat pouze vlastníci instančního objektu.

Zajistěte, abyste byli vlastníkem podnikové aplikace (instančního objektu) v Microsoft Entra ID (dříve Azure AD). Můžete být pouze vlastníkem registrace aplikace, nikoli podnikové aplikace.

Podnikové aplikace

Proč u delegovaných nasazení na základě vlastníka fáze nemohu jako nasazujícího přiřadit jiného uživatele?

Z bezpečnostních důvodů se musíte přihlásit jako uživatel, který bude nastaven jako vlastník fáze kanálu. To zabrání přidání nesouhlasícího uživatele jako nasazujícího.

Mohu pro delegovaná nasazení na základě vlastníka fáze použít vlastní soubor DeploymentSettings.json?

V současné době není ve zkušenostech výrobce.

Proč jsou má delegovaná nasazení zaseknutá ve stavu čekající na vyřízení?

Všechna delegovaná nasazení čekají na schválení. Ujistěte se, že váš administrátor nakonfiguroval postup schvalování Power Automate nebo jinou automatizaci tak, že funguje správně a že nasazení bylo schváleno.

Kdo vlastní objekty nasazeného řešení?

Identita nasazení. U delegovaných nasazení je vlastníkem delegovaný instanční objekt nebo uživatel fáze kanálu.

Mohu přidat vlastní schvalovací kroky?

Ano. Například schválení Power Automate lze upravit tak, aby vyhovovala potřebám vaší organizace. Můžete také integrovat další schvalovací systémy.

Proč musím vlastnit správce služeb?

Toto je vynuceno z bezpečnostních důvodů. Můžete také vytvořit kanály pomocí účtu služby a přidat stejný účet služby jako vlastník. Další možností je přiřazení principála služby (uživatele aplikace) jako vlastníka fáze potrubí a jako vlastníka sebe sama (aplikace Enterprise) Microsoft Entra. Přiřazení vlastnictví fáze kanálu k aplikaci však musí být provedeno prostřednictvím rozhraní Dataverse API v hostiteli kanálů.

Zobrazuje se mi chyba Delegovaná nasazení typu 'ServicePrincipal' mohou být schváleny nebo zamítnuty instančním objektem konfigurovaným ve fázi nasazení.

Zajistěte, aby byla vlastní akce Dataverse UpdateApprovalStatus volána instančním objektem. Pokud používáte schválení Power Automate, ujistěte se, že je tato akce nakonfigurována tak, aby používala připojení instančního objektu delegáta.

Zobrazuje se mi chyba Delegovaná nasazení typu 'Vlastník' mohou být schváleny nebo zamítnuty vlastníkem konfigurovaným ve fázi nasazení.

Zajistěte, aby byla vlastní akce Dataverse UpdateApprovalStatus volána vlastníkem fáze kanálu. Pokud používáte schválení Power Automate, ujistěte se, že je tato akce nakonfigurována tak, aby používala připojení vlastníka fáze kanálu.

Zobrazuje se mi chyba v toku schválení Nelze najít atribut stavu schválení pro záznam fáze.

K tomu dojde, když stav schválení ještě není ve stavu čekající na vyřízení. Ujistěte se, že se jedná o delegované nasazení a že ve svém schvalovacím procesu používáte spouštěč OnApprovalStarted.

Mohu použít různé instanční objekty pro různé kanály a fáze?

Ano.