Freigeben über

Eine Dienstprinzipalanwendung über API erstellen (Vorschauversion)

  • Artikel

[Dieser Artikel ist Teil der Dokumentation zur Vorschauversion und kann geändert werden.]

Die Authentifizierung über Benutzername und Kennwort ist oft nicht ideal, insbesondere mit dem Aufkommen der Multi-Factor-Authentifizierung. In solchen Fällen wird die Authentifizierung über den Dienstprinzipal (oder den Client-Anmeldeinformationsflow) bevorzugt. Dies kann durch die Registrierung einer neuen Dienstprinzipalanwendung in Ihrem eigenen Microsoft Entra-Mandanten und die anschließende Registrierung derselben Anwendung bei Power Platform erfolgen.

Registrieren einer Administratorverwaltungsanwendung

Zunächst muss die Client-Anwendung in Ihrem Microsoft Entra-Mandanten registriert werden. Lesen Sie den Artikel Authentifizierung für Power Platform-APIs, um dies einzurichten.

Nachdem Ihre Client-Anwendung in Microsoft Entra ID registriert wurde, muss sie auch bei Microsoft Power Platform registriert werden. Heute kann dies nicht mehr über das Power Platform Admin Center, sondern programmgesteuert über Power Platform-API oder PowerShell für Power Platform-Administratoren erfolgen. Ein Dienstprinzipal kann sich nicht selbst registrieren. Die Anwendung muss standardmäßig von einem Benutzernamen- und Passwortkontext für Administratoren registriert werden. Dadurch wird sichergestellt, dass die Anwendung von jemandem erstellt wird, der ein Administrator für den Mandanten ist.

Verwenden Sie zum Registrieren einer neuen Verwaltungsanwendung die folgende Anforderung mit einem Bearertoken, das über die Authentifizierung mit Benutzername und Passwort abgerufen wurde:

Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
PUT https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications/{CLIENT_ID_FROM_AZURE_APP}?api-version=2020-10-01

Anforderungen als Dienstprinzipal einreichen

Nachdem die Registrierung bei Microsoft Power Platform erfolgt ist, können Sie sich selbst als Dienstprinzipal authentifizieren. Verwenden Sie die folgende Anforderung, um Ihre Liste der Verwaltungsanwendungen abzufragen. Dabei kann ein Bearertoken verwendet werden, der mithilfe des Flows zur Authentifizierung von Clientanmeldeinformationen abgerufen wurde:

Authorization: Bearer eyJ0eXAiOi...
Host: api.bap.microsoft.com
Accept: application/json
GET https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/adminApplications?api-version=2020-10-01

Einschränkungen des Dienstprinzipals

Derzeit funktioniert die Dienstprinzipalauthentifizierung für die Umgebungsverwaltung, die Mandanteneinstellungen und die Power Apps-Verwaltung. APIs im Zusammenhang mit Flow werden für die Authentifizierung von Serviceprinzipalen in Situationen unterstützt, in denen keine Lizenz erforderlich ist, da es nicht möglich ist, Serviceprinzipal-Identitäten in der Microsoft Entra ID Lizenzen zuzuweisen.

Dienstprinzipalanwendungen werden Power Platform ähnlich behandelt wie normale Benutzer mit der zugewiesenen Power Platform-Administratorrolle. Es können keine detaillierten Rollen und Berechtigungen zugewiesen werden, um ihre Fähigkeiten einzuschränken. Der Anwendung wird in Microsoft Entra ID keine besondere Rolle zugewiesen, da Plattformdienste auf diese Weise Anfragen von Dienstprinzipalen behandeln.