Κοινή χρήση μέσω

Δημιουργία μιας εφαρμογής αρχής υπηρεσίας με χρήση PowerShell

  • Άρθρο

Ο έλεγχος ταυτότητας μέσω ονόματος χρήστη και κωδικού πρόσβασης συχνά δεν είναι ιδανικός ειδικά με την αύξηση του ελέγχου ταυτότητας πολλών παραγόντων. Σε αυτές τις περιπτώσεις, προτιμάται ο έλεγχος ταυτότητας της κύριας υπηρεσίας (ή της ροής διαπιστευτηρίων προγράμματος-πελάτη). Αυτό μπορεί να γίνει τόσο με την εγγραφή μιας νέας κύριας εφαρμογής υπηρεσίας στον μισθωτή σας Microsoft Entra όσο και με την εγγραφή, στη συνέχεια, της ίδιας εφαρμογής Power Platform.

Εγγραφή εφαρμογής διαχείρισης διαχειριστή

Αρχικά, η εφαρμογή-πελάτης πρέπει να εγγραφεί στον μισθωτή Microsoft Entra. Για το ορίσετε αυτό, δείτε το άρθρο Έλεγχος ταυτότητας για Power Platform API, επειδή απαιτείται η ίδια ρύθμιση της εφαρμογής για το PowerShell.

Μετά την εγγραφή της εφαρμογής-πελάτη στο Microsoft Entra ID, θα πρέπει επίσης να εγγραφεί στο Microsoft Power Platform. Σήμερα, δεν υπάρχει τρόπος για κάτι τέτοιο μέσω του κέντρου διαχείρισης του Power Platform. Η ενέργεια πρέπει να γίνεται προγραμματικά μέσω API Power Platform ή PowerShell για διαχειριστές Power Platform. Μια αρχή υπηρεσίας δεν μπορεί να εγγραφεί μόνη της— εκ σχεδιασμού, η εφαρμογή πρέπει να εγγραφεί από ένα περιβάλλον ονόματος χρήστη και κωδικού πρόσβασης διαχειριστή. Με αυτόν τον τρόπο εξασφαλίζεται ότι η εφαρμογή δημιουργείται από κάποιον που είναι διαχειριστής για τον μισθωτή.

Για να εγγράψετε μια νέα εφαρμογή διαχείρισης, χρησιμοποιήστε την παρακάτω δέσμη ενεργειών:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Υποβολή αιτήσεων ως αρχή εξυπηρέτησης

Τώρα που έχει καταχωρηθεί στο Microsoft Power Platform, μπορείτε να υποβληθείτε σε έλεγχο ταυτότητας ως η ίδια η κύρια υπηρεσία. Χρησιμοποιήστε την παρακάτω δέσμη ενεργειών για υποβολή ερωτημάτων για τη λίστα περιβαλλόντων σας:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Περιορισμοί των αρχών υπηρεσίας

Επί του παρόντος, ο κύριος έλεγχος ταυτότητας υπηρεσίας λειτουργεί για διαχείριση περιβάλλοντος, ρυθμίσεις μισθωτή και διαχείριση Power Apps. Τα Cmdlet που σχετίζονται με το Flow υποστηρίζονται για τον κύριο έλεγχο ταυτότητας υπηρεσίας σε περιπτώσεις όπου δεν απαιτείται άδεια χρήσης, δεδομένου ότι δεν είναι δυνατή η εκχώρηση αδειών χρήσης σε κύριες ταυτότητες υπηρεσίας στο Microsoft Entra ID.

Οι εφαρμογές κύριας υπηρεσίας αντιμετωπίζονται στο Power Platform παρόμοια με τους κανονικούς χρήστες με ανατεθειμένο τον ρόλο διαχειριστή Power Platform. Δεν είναι δυνατό να ανατεθεί λεπτομερής ρόλος και δικαιώματα για τον περιορισμό των δυνατοτήτων τους. Στην εφαρμογή δεν εκχωρείται ειδικός ρόλος, καθώς στο Microsoft Entra ID, καθώς αυτός είναι ο τρόπος με τον οποίο οι υπηρεσίες πλατφόρμας αντιμετωπίζουν τα αιτήματα των αρχών υπηρεσίας.