Overvejelser med registrering af app
ALM Accelerator for Power Platform er afhængig af Microsoft Entra-apptilmeldinger for at kommunikere med de påkrævede tjenester. I denne artikel beskrives overvejelser, du skal huske på, og den fremgangsmåde, du kan tage, når du designer en strategi for registrering af apps til ALM Accelerator.
Påkrævede API-tilladelser
Du skal tillade app-registreringer at bruge de relevante API'er til ALM Accelerator for at kunne kommunikere med de påkrævede services. Kravene til kommunikation til disse services afhænger af funktionaliteten i ALM Accelerator.
I følgende tabel vises, hvilke API-tilladelser der kræves til de forskellige funktioner i ALM Accelerator
| Funktionalitet | API-tilladelse | Tilladelsestype | Beskrivelse |
|---|---|---|---|
| CustomAzureDevOps-brugerdefineret connector | Azure DevOps - user_impersonation | Stedfortræder | ALM Accelerator-lærredsappen skal have Azure DevOps API-tilladelser for at kunne kommunikere med Azure DevOps. |
| Udrul valideringspipelines | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Udrul valideringspipelines | Power Apps Advisor – Analysis.All | Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Udrulle testpipelines | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til udrulning af løsninger i testmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Udrul produktionspipelines | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til udrulning af løsninger i produktionsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Eksportløsningspipeline | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til eksport af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Importer løsningspipeline | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til import af løsninger fra Azure Git-kildekontrolelementet til Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger |
| Slette løsningspipeline | Dynamics CRM - user_impersonation | Stedfortræder | Pipelinen til sletning af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
Overvejelser om en strategi for registrering af app
Når du designer din strategi for oprettelse og administration af appregistreringer til ALM Accelerator, skal du tage sikkerhedsaspektet og vedligeholdelsesaspektet med i betragtning.
Princippet om mindst rettigheder
Fra et sikkerhedsperspektiv skal du overveje princippet om mindste rettigheder. Alle app-registreringer skal have de mindst nødvendige rettigheder for at udføre de nødvendige handlinger.
Vedligeholdelseseftersyn
Ud fra et vedligeholdelsesperspektiv skal du overveje en strategi, der kræver, at du udfører det mindst mulige arbejde for at vedligeholde dine appregistreringer og de services, der bruger dem. F.eks. er en af de opgaver, der er forbundet med vedligeholdelse af appregistreringer, en hemmelig rotation, hvilket vil ophæve den aktuelle hemmelighed og oprette en ny hemmelighed. Alle tjenester, der bruger en apptilmelding, skal konfigureres igen, når en hemmelighed drejes. Dette perspektiv betyder, at jo flere appregistreringer du bruger, jo mere arbejde er påkrævet.
Strategier for registrering af Azure-app
Strategier for registrering af apps med Microsoft Entra ID til brug af ALM Accelerator spænder fra det meget simple til det meget detaljerede.
En apptilmelding for alt
Den nemmeste strategi er at oprette én apptilmelding til alle dine behov. Med denne strategi kan du bruge samme appregistrering til CustomAzureDevOps-connector og alle de Azure DevOps-serviceforbindelser, du skal bruge for at få adgang til dine Power Platform-miljøer.
Selvom denne strategi er den nemmeste at administrere, tilsidesættes princippet om mindst rettigheder. En apptilmelding har tilladelser til at udføre alle påkrævede handlinger via den brugerdefinerede tilslutning og alle de Azure DevOps-tjenesteforbindelser, du har konfigureret.
| Registrering af app | API-tilladelse og type | Beskrivelse |
|---|---|---|
| Registrere enkelt app til alle formål | Azure DevOps- user_impersonation - Stedfortræder | ALM Accelerator-lærredsappen skal have Azure DevOps API-tilladelser for at kunne kommunikere med Azure DevOps. |
| Registrere enkelt app til alle formål | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra maker-udviklingsmiljøer og udrulning af løsninger til validering, test- og produktionsmiljøer skal have tilladelse til at bruge Power Platform (Dynamics CRM) API til at udføre løsningshandlinger. |
| Registrere enkelt app til alle formål | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
En apptilmelding for Azure DevOps og én til Power Platform
En mere detaljeret strategi er at oprette en appregistrering til brugerdefinerede CustomAzureDevOps-connector og én til de pipelines, der kommunikerer med Power Platform-miljøer.
Denne strategi er bedre i overensstemmelse med princippet om minimumrettigheder. Det er kun appregistreringen, der bruges til CustomAzureDevOps-brugerdefineret connector, der har adgang til Azure DevOps-API, og det er kun de app-registreringer, der bruges til at oprette forbindelse til Power Platform, som må bruge Power Platform (Dynamics CRM) API.
| Registrering af app | API-tilladelse og type | Beskrivelse |
|---|---|---|
| Appregistrering til Azure DevOps | Azure DevOps- user_impersonation - Stedfortræder | ALM Accelerator-lærredsappen skal have Azure DevOps API-tilladelser for at kunne kommunikere med Azure DevOps. |
| Appregistrering til Power Platform | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra maker-udviklingsmiljøer og udrulning af løsninger til valideringsmiljøer skal have tilladelse til at bruge Power Platform (Dynamics CRM) API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
En apptilmelding til Azure DevOps og flere til Power Platform
En endnu mere detaljeret strategi til at oprette app-registreringer for at få adgang til forskellige Power Platform-miljøer. Du kan oprette én apptilmelding for hvert miljø, du skal have adgang til, ved hjælp af ALM Accelerator-pipelines. Eller opret en apptilmelding ofr hvert Power Platform-projekt, som du understøtter via ALM Accelerator.
Denne strategi er bedre i overensstemmelse med princippet om minimumrettigheder. Du skal dog også overveje vedligeholdelse. Sørg for at vedligeholde en struktureret metode til at identificere, hvilken appregistrering der bruges til de enkelte miljøer. Denne information er praktisk, når du roterer hemmelighederne om appregistrering.
I følgende tabel vises, hvordan du kan oprette appregistreringer for hvert Power Platform-projekt for at begrænse adgang til kun det relevante -miljø.
| Registrering af app | Power Platform-omfang | API-tilladelse og type | Beskrivelse |
|---|---|---|---|
| Appregistrering til Azure DevOps | Ikke tilgængelig | Azure DevOps- user_impersonation - Stedfortræder | ALM Accelerator-lærredsappen skal have Azure DevOps API-tilladelser for at kunne kommunikere med Azure DevOps. |
| Appregistrering til Power Platform | Platformprojekt 1 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 1 | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Maker-udviklingsmiljø 1 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Maker-udviklingsmiljø 2 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger |
I følgende tabel vises, hvordan du yderligere kan tilpasse dig princippet om minimumsrettigheder ved at oprette appregistreringer for hvert Power Platform-miljø.
| Registrering af app | Power Platform-omfang | API-tilladelse og type | Beskrivelse |
|---|---|---|---|
| Appregistrering til Azure DevOps | Ikke tilgængelig | Azure DevOps- user_impersonation - Stedfortræder | ALM Accelerator-lærredsappen skal have Azure DevOps API-tilladelser for at kunne kommunikere med Azure DevOps. |
| Appregistrering til Power Platform | Projekt 1 - Valideringsmiljø | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 1 - Valideringsmiljø | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 1 - Testmiljø | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 1 - Produktionsmiljø | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 - Valideringsmiljø | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 - Valideringsmiljø | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 - Testmiljø | Power Apps Advisor - user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Apps Advisor-servicen til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Projekt 2 - Produktionsmiljø | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til udrulning af løsninger i valideringsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Maker-udviklingsmiljø 1 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |
| Appregistrering til Power Platform | Maker-udviklingsmiljø 2 | Dynamics CRM- user_impersonation - Stedfortræder | Pipelinen til eksport af løsninger fra i Maker-udviklingsmiljøet skal have tilladelse til at bruge Power Platform (Dynamics CRM)-API til at udføre løsningshandlinger. |