Authentifizierung
Dieser Artikel bietet einen Überblick über die Authentifizierungseinrichtung für die verschiedenen Programmierbarkeitstools.
Eine Client-Anwendung in Microsoft Entra ID registrieren
Eine Übersicht über die allgemeine Erstellung einer Microsoft Entra-Client-Anwendung finden Sie unter Schnellstart: Eine Anwendung bei der Microsoft-Identitätsplattform registrieren. Für Microsoft Power Platform sind in den folgenden Abschnitten einige Besonderheiten zu erwähnen.
Erweiterte Authentifizierungseinstellungen
Navigieren Sie im Azure-Portal zu Ihrer neu erstellten Client-Anwendung, und wählen Sie die Registerkarte Verwalten – Authentifizierung aus. Stellen Sie im Abschnitt Erweiterte Einstellungen den Schalter Öffentlicher Kunde auf Ja ein. Dadurch wird sichergestellt, dass Sie ein JSON Web Token (JWT) über eine einfache Authentifizierung mit Benutzername und Kennwort erhalten. Dieser Authentifizierungstyp ist für interaktive Anwendungen erforderlich, die Sie möglicherweise erstellen, und für die Registrierung eines Dienstprinzipalseintrags in Microsoft Power Platform.
API-Berechtigungen
Navigieren Sie im Azure-Portal zur Registerkarte Verwalten – API-Berechtigungen. Wählen Sie im Abschnitt Berechtigungen konfigurieren die Option Berechtigung hinzufügen aus. Wählen Sie im sich öffnenden Dialogfenster die Registerkarte Von meiner Organisation verwendete APIs aus und suchen Sie dann nach Power Apps Service (oder PowerApps Service). Möglicherweise werden mehrere Einträge mit einem ähnlichen Namen angezeigt. Stellen Sie daher sicher, dass Sie den Eintrag mit der GUID 475226c6-020e-4fb2-8a90-7a972cbfc1d4 verwenden. Beziehen Sie alle delegierten Berechtigungen ein, z. B. die Option Benutzerberechtigungen – Auf die Power Apps-Service-API zugreifen.
Nachdem dies der Client-Anwendung hinzugefügt wurde, wählen Sie Administratorzustimmung erteilen aus, um die Einrichtung abzuschließen. Dies ist in Fällen erforderlich, in denen Sie ein Tool wie die REST-APIs verwenden möchten, für die keine grafische Benutzeroberfläche (GUI) vorhanden ist, die eine Einwilligung pro Verwendung anfordern kann.
Zertifikate und Geheimnisse
Navigieren Sie im Azure-Portal zur Registerkarte Verwalten – Zertifikate und Geheimnisse. Laden Sie im Abschnitt Zertifikate ein x509-Zertifikat hoch, mit dem Sie sich authentifizieren können. Optional können Sie den Abschnitt Geheimnisse verwenden, um einen geheimen Clientschlüssel zu generieren. Speichern Sie das Geheimnis an einem sicheren Ort, um es für Ihre Automatisierungsanforderungen zu verwenden. Mit den Optionen „Zertifikat“ oder „Geheimnis“ können Sie sich bei Microsoft Entra authentifizieren und erhalten ein Token für diesen Client, das Sie entweder an die REST-APIs oder an die PowerShell-Cmdlets übergeben.
Ein Token für die Authentifizierung mit Benutzername und Passwort abrufen
Senden Sie eine POST-Anforderung mit einer Benutzernamen- und Passwortnutzlast über HTTP an Microsoft Entra ID.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://service.powerapps.com//.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Das obige Beispiel enthält Platzhalter, die Sie aus Ihrer Client-Anwendung in Microsoft Entra ID abrufen können. Sie erhalten eine Antwort, mit der Sie nachfolgende Aufrufe an die Power Platform-API durchführen können.
{
"token_type": "Bearer",
"scope": "https://service.powerapps.com//User https://service.powerapps.com//.default",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOi...UBkeW5hbWljc2F4ZGVtby5vbm1pY3Jvc29mdC5jb20iLCJ1dGkiOiI1Q1Fnb25PR0dreWlTc1I2SzR4TEFBIiwidmVyIjoiMS4wIn0.N_oCJiEz2tRU9Ls9nTmbZF914MyU_u7q6bIUJdhXd9AQM2ZK-OijiKtMGfvvVmTYZp4C6sgkxSt0mOGcpmvTSagSRDY92M2__p-pEuKqva5zxXXXmpC-t9lKYDlXRcKq1m5xv-q6buntnLrvZIdd6ReD3n3_pnGAa6OxU0s82f7DqAjSQgXR3hwq_NZOa0quCUN9X-TvpIYrJfVgQfVu0R189hWmUzbYpuoPrUMj2vQI_19gEHz_FryXolM4RMStugYrC0Z72ND5vFlGgvYhZfbWJRC6hGvQQin_eAASmmjLwhRBGMJd6IdbgEXAkFF2rFITFFtFY_4hrN3bvHsveg"
}
Verwenden Sie den Wert Zugangstoken in nachfolgenden Aufrufen an die Power Platform-API mit HTTP-Header Genehmigung.
Ein Token für die Clientauthentifizierung abrufen
Senden Sie eine POST-Anforderung mit einer geheimen Clientschlüsselnutzlast über HTTP an Microsoft Entra ID. Dies wird häufig als Dienstprinzipalauthentifizierung bezeichnet.
Wichtig
Dies kann nur verwendet werden, nachdem Sie diese Client-Anwendungs-ID bei Microsoft Power Platform registriert haben, entweder entsprechend der PowerShell- oder der REST-Dokumentation.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://service.powerapps.com//.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Das obige Beispiel enthält Platzhalter, die Sie aus Ihrer Client-Anwendung in Microsoft Entra ID abrufen können. Sie erhalten eine Antwort, mit der Sie nachfolgende Aufrufe an die Power Platform-API durchführen können.
{
"token_type": "Bearer",
"scope": "https://service.powerapps.com//User https://service.powerapps.com//.default",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOi...UBkeW5hbWljc2F4ZGVtby5vbm1pY3Jvc29mdC5jb20iLCJ1dGkiOiI1Q1Fnb25PR0dreWlTc1I2SzR4TEFBIiwidmVyIjoiMS4wIn0.N_oCJiEz2tRU9Ls9nTmbZF914MyU_u7q6bIUJdhXd9AQM2ZK-OijiKtMGfvvVmTYZp4C6sgkxSt0mOGcpmvTSagSRDY92M2__p-pEuKqva5zxXXXmpC-t9lKYDlXRcKq1m5xv-q6buntnLrvZIdd6ReD3n3_pnGAa6OxU0s82f7DqAjSQgXR3hwq_NZOa0quCUN9X-TvpIYrJfVgQfVu0R189hWmUzbYpuoPrUMj2vQI_19gEHz_FryXolM4RMStugYrC0Z72ND5vFlGgvYhZfbWJRC6hGvQQin_eAASmmjLwhRBGMJd6IdbgEXAkFF2rFITFFtFY_4hrN3bvHsveg"
}
Verwenden Sie den Wert Zugriffstoken in nachfolgenden Aufrufen an die Power Platform-API mit HTTP-Header Genehmigung.