Del via

Installer pipelines som servicechef eller en pipeline-ejer

  • Artikel

Uddelegerede installationer kan køres som ejer af servicechefen eller pipelinefasen. Når pipelinefasen er aktiveret, installeres den som stedfortræder (ejer af servicelederen eller pipelinefasen) i stedet for den person, der anmoder om det.

Udrulle med tjenesteprincipal

Forudsætninger

  • En Microsoft Entra-brugerkonto. Hvis du ikke allerede har en, kan du oprette en konto gratis.
  • En af følgende Microsoft Entra roller: Cloud Application Administrator eller Application Administrator.
  • Du skal være ejer af virksomhedsprogrammet (tjenesteprincipal) i Microsoft Entra ID.

I forbindelse med en uddelegeret installation med en servicechef skal du følge disse trin.

  1. Opret et virksomhedsprogram (servicechef) i Microsoft Entra ID.

    Vigtigt

    Enhver, der aktiverer eller ændrer serviceprincipalkonfigurationer i pipelines, skal være ejer af virksomhedsapplikationen (serviceprincipal) i Microsoft Entra ID.

  2. Tilføj virksomhedsprogrammet som server til server-bruger (S2S) i pipeline-værtsmiljøet og de enkelte destinationsmiljøer, den installeres i.

  3. Tildel sikkerhedsrollen Administrator af udrulningspipeline til S2S-brugeren i pipelineværten, og tildel sikkerhedsrollen Systemadministrator i destinationsmiljøer. Sikkerhedsroller med lave tilladelser kan ikke installere plug-ins og andre kodekomponenter.

  4. Vælg (check) Er uddelegeret installation på et pipelinetrin, vælg Service principal, og angiv klient-id'et. Vælg Gem.

  5. Tillad eventuelt delingsanmodninger , så installationsanmodere kan angive, hvilke sikkerhedsgrupper der kan få adgang til installerede objekter i destinationsmiljøet. Delingsanmodninger er en del af installationsanmodningen og kan godkendes eller afvises.

Vigtigt!

Installationsgodkendere er ansvarlige for omhyggeligt at gennemgå oplysninger om deling og sikkerhedsroller. Når en udrulning godkendes, tildeler pipelines automatisk tilladelser ved hjælp af identiteten for den udrulningstjenesteprincipal.
>

  1. Opret et cloudflow i pipelinens værtsmiljø. Alternative systemer kan integreres ved hjælp af pipelines Microsoft Dataverse API'er.

  2. Vælg udløseren OnApprovalStarted.

  3. Tilføj trin for den ønskede brugerdefinerede logik.

  4. Indsætte et godkendelsestrin. Brug dynamisk indhold til at sende oplysninger om anmodning om installation til godkenderne.

  5. Indsætte en betingelse.

  6. Oprette en Dataverse-forbindelse med en tjenesteprincipal. Du skal bruge et klient-id og en hemmelighed.

  7. Tilføj Dataverse Udfør en ubundet handling ved hjælp af de indstillinger, der er vist her.
    Handlingsnavn: UpdateApprovalStatus ApprovalComments: Indsæt dynamisk indhold. Kommentarerne kan ses af udrulningens anmoder. ApprovalStatus: 20 = godkendt, 30 = afvist ApprovalProperties: Indsæt dynamisk indhold. Administratoroplysninger, der er tilgængelige fra pipelinesværten.

    Vigtigt

    Handlingen UpdateApprovalStatus skal bruge tjenestens hovedtjenesteforbindelse.

    Forbinde med tjenesteprincipal

    Tip

    Du kan forbedre fejlfindingsoplevelsen ved at vælge ApprovalProperties og indsætte arbejdsprocesser() i menuen med dynamisk indhold. Dette knytter flowkørslen til pipelinefasen (kørselsoversigt).

  8. Gem, og test derefter pipelinen.

Her er et skærmbillede af et kanonisk godkendelsesforløb.

Canonical-godkendelsesflow

Installation som ejer af pipelinefasen

Almindelige brugere, herunder dem, der bruges som tjenestekonti, kan også fungere som stedfortrædere. Konfiguration er mere ligetil i forhold til servicechefer, men løsninger, der indeholder forbindelsesreferencer i oAuth-forbindelser, kan ikke installeres.

Hvis du vil installere som ejer af pipelinefasen, skal du følge disse trin.

  1. Tildel sikkerhedsrollen Administrator af udrulningspipeline til ejeren af pipelinefasen i pipelineværten, og tildel sikkerhedsrollen Systemadministrator i destinationsmiljøer.

    Sikkerhedsroller med lave tilladelser kan ikke installere plug-ins og andre kodekomponenter.

  2. Log på som ejer af pipelinefasen. Kun ejeren kan aktivere eller ændre disse indstillinger. Teamejerskab er ikke tilladt.

  3. Vælg Er uddelegeret installation på en pipelinefasen, og vælg Faseejer.

    • Identiteten af pipelinefasens ejer bruges til alle installationer i denne fase.
    • På samme måde skal dette id bruges til at godkende installationer.

  4. Opret et cloudflow i en løsning i pipelinens værtsmiljø.

    1. Vælg udløseren OnApprovalStarted.
    2. Indsæt handlinger efter behov. For eksempel en godkendelse.
    3. Udfør Dataverse Udfør en ikke-bundet handling.
      Handlingsnavn: UpdateApprovalStatus (20 = fuldført, 30 = afvist)

Delegeret prøver på udrulning

Vigtigt!

Funktionaliteten i disse eksempler understøttes nu oprindeligt i produktet, men disse eksempler kan give indsigt i udvidelse af den oprindelige delingsfunktionalitet.

Denne overførsel indeholder eksempler på skyforløb til administration af godkendelser og deling af installerede apps og flow på lærred i målmiljøet. Download eksempelløsning

Hent og importér derefter denne administrerede løsning til værtsmiljøet for pipelines. Løsningen kan derefter tilpasses, så den passer til din organisations behov.

Ofte stillede spørgsmål

Hvordan kan udviklere få adgang til udrullede objekter i målmiljøer?

Deling under udrulning er en oprindelig funktion i delegerede udrulninger med tjenesteprincipaler. Det undgår, at administratorer behøver at tildele sikkerhedsroller manuelt og dele udrullede apps, flows, Copilots osv. i Power Platform Administration. I stedet behøver administratorer kun at godkende installationsanmodningen, og deling udføres automatisk af systemet.

Hvilke objekttyper kan deles under udrulningen?

I øjeblikket understøttes sikkerhedsroller, lærredapps og cloudflow. Copilot-deling kan også være tilgængelig afhængigt af dit område.

Hvilke tilladelser tildeles til lærredapps og -flows?

Pipelines tildeler de minimumsrettigheder, der kræves for at køre apps og flows. Hvis der ønskes højere rettigheder, kan pipelines udvides. Vi anbefaler, at du aktiverer funktionen "Bloker ikke-administrerede tilpasninger", når du tildeler højere tilladelser.

Kan udviklere dele med individuelle brugere?

Ikke i øjeblikket. Vi anbefaler, at du administrerer individuel brugeradgang via sikkerhedsgrupper efter den første installation af objektet.

Jeg får fejlen Implementeringsstadiet er ikke en ejer af tjenesteprincipalen (<AppId>). Kun ejere af tjenesteprincipalen må bruge den til uddelegerede installationer.

Du skal være ejer af virksomhedsprogrammet (tjenesteprincipal) i Microsoft Entra ID (tidligere Azure AD). Du er muligvis kun ejeren af appregistreringen og ikke virksomhedsprogrammet.

Virksomhedsprogrammer

For faseejerbaserede uddelegerede installationer, hvorfor kan jeg så ikke tildele en anden bruger som deployer?

Af sikkerhedsmæssige årsager skal du logge på som den bruger, der vil blive angivet som pipeline-faseejer. Dette forhindrer tilføjelse af en bruger, der ikke giver samtykke, som deployer.

Kan jeg bruge en brugerdefineret DeploymentSettings.json fil til faseejerbaserede delegerede udrulninger?

Ikke i udvikleroplevelsen i øjeblikket.

Hvorfor sidder mine uddelegerede installationer fast i en afventende tilstand?

Alle uddelegerede installationer afventer, indtil de er godkendt. Sørg for, at din administrator har konfigureret et Power Automate-godkendelsesflow eller anden automatisering, at det fungerer korrekt, og at installationen blev godkendt.

Hvem ejer installerede løsningsobjekter?

Implementering af identitet. I forbindelse med uddelegerede installationer er ejeren den uddelegerede tjenesteprincipal eller ejeren af pipelinefasen.

Kan jeg tilføje tilpassede godkendelsestrin?

Ja. For eksempel kan Power Automate-godkendelser tilpasses, så de opfylder din organisations behov. Du kan også integrere andre godkendelsessystemer.

Hvorfor skal jeg eje tjenesteprincipalen?

Dette håndhæves af sikkerhedsmæssige årsager. Du kan også oprette pipelines ved hjælp af en tjenestekonto og tilføje den samme tjenestekonto som ejeren. En anden mulighed er at tildele tjenesteprincipalen (programbrugeren) som ejer af pipelinefasen og som ejer af sig selv (virksomhedsprogram) i Microsoft Entra. Tildeling af ejerskab af pipelinefasen til et program skal dog ske via API'en Dataverse i pipelineværten.

Jeg får fejlen Uddelegerede installationer af typen 'ServicePrincipal' kan kun godkendes eller afvises af den tjenesteprincipal, der er konfigureret i installationsfasen.

Sørg for, at den Dataverse-brugerdefinerede handling UpdateApprovalStatus kaldes af tjenesteprincipalen. Hvis du bruger Power Automate-godkendelser, skal du sikre dig, at denne handling er konfigureret til at bruge den uddelegerede tjenesteprincipals forbindelse.

Jeg får fejlen Uddelegerede installationer af typen 'Ejer' kan kun godkendes eller afvises af ejeren af installationsfasen.

Sørg for, at den Dataverse-brugerdefinerede handling UpdateApprovalStatus kaldes af pipelinefasens ejer. Hvis du bruger Power Automate-godkendelser, skal du sikre dig, at denne handling er konfigureret til at bruge den uddelegerede pipelinefaseejers forbindelse.

Jeg får en fejl i mit godkendelsesflow Kan ikke finde godkendelsesstatusattribut for fasekørselspost.

Dette sker, når godkendelsesstatus endnu ikke er i afventende tilstand. Sørg for, at dette er en uddelegeret installation, og at du bruger OnApprovalStarted-udløseren i dit godkendelsesflow.

Kan jeg bruge forskellige tjenesteprincipaler til forskellige pipelines og faser?

Ja.