Κοινή χρήση μέσω

Έλεγχος ταυτότητας (έκδοση προεπισκόπησης)

  • Άρθρο

Αυτό το άρθρο παρέχει μια επισκόπηση της ρύθμισης παραμέτρων του Microsoft Entra για κλήση του API Power Platform (έκδοση προεπισκόπησης). Για να αποκτήσετε πρόσβαση σε πόρους που είναι διαθέσιμοι μέσω του Power Platform API, πρέπει να λάβετε ένα διακριτικό φορέα από το Microsoft Entra και να το στείλετε ως κεφαλίδα μαζί με κάθε αίτηση. Ανάλογα με τον τύπο ταυτότητας που υποστηρίζετε (χρήστης έναντι αρχής υπηρεσίας) υπάρχουν διαφορετικές ροές για τη λήψη αυτού του διακριτικού φορέα, όπως περιγράφεται σε αυτό το άρθρο.

Για να αποκτήσετε ένα διακριτικό φορέα με τα σωστά δικαιώματα, πρέπει να κάνετε τα παρακάτω βήματα:

  1. Δημιουργία μιας εγγραφής εφαρμογής στον μισθωτή Microsoft Entra
  2. Ρύθμιση παραμέτρων δικαιωμάτων API
  3. Ρύθμιση παραμέτρων δημόσιου προγράμματος-πελάτη (προαιρετικό)
  4. Ρύθμιση παραμέτρων πιστοποιητικών και μυστικών (προαιρετικό)
  5. Αίτημα διακριτικού πρόσβασης

Βήμα 1. Δημιουργία μιας εγγραφής εφαρμογής

Μεταβείτε στη σελίδα εγγραφής εφαρμογής Microsoft Entra και δημιουργήστε μια νέα εγγραφή. Δώστε στην εφαρμογή ένα όνομα και βεβαιωθείτε ότι έχετε επιλέξει Μεμονωμένος μισθωτής. Μπορείτε να παραλείψετε τη ρύθμιση παραμέτρων URI ανακατεύθυνσης.

Βήμα 2. Ρύθμιση παραμέτρων δικαιωμάτων API

Μέσα από τη νέα εγγραφή σας στην εφαρμογή, μεταβείτε στην καρτέλα Διαχείριση - Δικαιώματα API. Στην ενότητα Ρύθμιση παραμέτρων δικαιωμάτων, επιλέξτε Προσθήκη δικαιώματος. Στο παράθυρο διαλόγου που ανοίγει, επιλέξτε την καρτέλα API που χρησιμοποιεί ο οργανισμός μου και, στη συνέχεια, αναζητήστε Power Platform API. Ενδέχεται να δείτε διάφορες καταχωρήσεις με όνομα παρόμοιο με αυτό, επομένως, βεβαιωθείτε ότι χρησιμοποιείτε εκείνο με το GUID 8578e004-a5c6-46e7-913e-12f58912df43.

Εάν δεν εμφανίζεται το Power Platform API στη λίστα κατά την αναζήτηση μέσω GUID, είναι πιθανό να έχετε ακόμα πρόσβαση σε αυτό, αλλά δεν έχει γίνει ανανέωση της ορατότητας. Για να γίνει αναγκαστική ανανέωση εκτελέστε την παρακάτω δέσμη ενεργειών PowerShell:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

Από εκεί, πρέπει να επιλέξετε τα δικαιώματα που χρειάζεστε. Αυτά ομαδοποιούνται κατά Χώρους ονομάτων. Εντός ενός χώρου ονομάτων, θα δείτε τους τύπους και τις ενέργειες πόρων για παράδειγμα AppManagement.ApplicationPackages.Read που θα σας δώσουν δικαιώματα ανάγνωσης για πακέτα εφαρμογών. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο Αναφορά δικαιώματος.

Σημείωμα

Το Power Platform API χρησιμοποιεί μόνο δικαιώματα που έχουν ανατεθεί αυτήν τη στιγμή. Για εφαρμογές που εκτελούνται με περιβάλλον χρήστη, ζητάτε δικαιώματα ανάθεσης χρησιμοποιώντας την παράμετρο πεδίο. Αυτά τα δικαιώματα αναθέτουν τα δικαιώματα του συνδεδεμένου χρήστη στην εφαρμογή σας, επιτρέποντάς του να ενεργεί ως χρήστης όταν καλεί τελικά σημεία Power Platform API.

Για τις κύριες ταυτότητες υπηρεσίας, τα δικαιώματα εφαρμογής δεν χρησιμοποιούνται. Αντί για αυτό, οι κύριες αρχές υπηρεσίας αντιμετωπίζονται ως διαχειριστές Power Platform σήμερα και πρέπει να καταχωρίζονται σύμφωνα με το PowerShell - Δημιουργία αρχής υπηρεσίας.

Αφού προστεθούν τα απαιτούμενα δικαιώματα στην εφαρμογή, επιλέξτε Εκχώρηση συγκατάθεσης διαχειριστή για να ολοκληρωθεί η εγκατάσταση. Αυτό είναι απαραίτητο για παρουσίες στις οποίες θέλετε να επιτρέψετε στους χρήστες να έχουν άμεση πρόσβαση στην εφαρμογή σας, αντί να απαιτούν μια αλληλεπιδραστική εμπειρία συγκατάθεσης. Αν μπορείτε να υποστηρίξετε τη αλληλεπιδραστική συγκατάθεσή σας, συνιστούμε να ακολουθείτε την πλατφόρμα ταυτότητας της Microsoft και τη ροή κώδικα ελέγχου ταυτότητας OAuth 2.0.

Βήμα 3. Ρύθμιση παραμέτρων δημόσιου προγράμματος-πελάτη (προαιρετικό)

Εάν η εφαρμογή σας απαιτεί ανάγνωση και σύνταξη πόρων εκ μέρους ενός χρήστη, πρέπει να ενεργοποιήσετε τη ρύθμιση για το δημόσιο πρόγραμμα-πελάτη. Αυτός είναι ο μοναδικός τρόπος που το Microsoft Entra ID αποδέχεται τις ιδιότητες ονόματος χρήστη και κωδικού πρόσβασης στο σώμα του αιτήματος διακριτικού σας. Επίσης, σημειώστε ότι εάν σχεδιάζετε να χρησιμοποιήσετε αυτήν τη δυνατότητα δεν θα λειτουργήσει για λογαριασμούς που έχουν ενεργοποιημένο τον έλεγχο ταυτότητας πολλών παραγόντων.

Για να το ενεργοποιήσετε, επισκεφθείτε την καρτέλα Διαχείριση - Έλεγχος ταυτότητας. Στην ενότητα Ρυθμίσεις για προχωρημένους, ορίστε την επιλογή Δημόσιο πρόγραμμα-πελάτης σε Ναι.

Βήμα 4. Ρύθμιση παραμέτρων πιστοποιητικών και μυστικών (προαιρετικό)

Εάν η εφαρμογή σας απαιτεί ανάγνωση και σύνταξη πόρων - γνωστό επίσης και ως αρχή υπηρεσίας, υπάρχουν δύο τρόποι για τον έλεγχο της ταυτότητας. Για να χρησιμοποιήσετε πιστοποιητικά, μεταβείτε στην καρτέλα Διαχείριση - Πιστοποιητικά και μυστικά. Στην ενότητα Πιστοποιητικά, αποστείλετε ένα πιστοποιητικό x509 που μπορείτε να χρησιμοποιήσετε για τον έλεγχο ταυτότητας. Ο άλλος τρόπος είναι να χρησιμοποιήσετε την ενότητα Μυστικά για να δημιουργήσετε ένα πρόγραμμα-πελάτη. Αποθηκεύστε τον μυστικό κωδικό σε μια ασφαλή θέση για χρήση με τις ανάγκες αυτοματοποίησης. Οι επιλογές πιστοποιητικού ή μυστικού κωδικού σας επιτρέπουν να υποβληθείτε σε έλεγχο ταυτότητας με το Microsoft Entra και να λάβετε ένα διακριτικό για αυτό το πρόγραμμα-πελάτη, το οποίο διαβιβάζετε στα cmdlet REST API ή PowerShell.

Βήμα 5. Αίτημα διακριτικού πρόσβασης

Υπάρχουν δύο τρόποι απόκτησης ενός διακριτικού φορέα πρόσβασης. Ο ένας είναι για το όνομα χρήστη και τον κωδικό πρόσβασης και ο άλλος για τις αρχές υπηρεσίας.

Ροή ονόματος χρήστη και κωδικού πρόσβασης

Βεβαιωθείτε ότι έχετε διαβάσει την ενότητα "Δημόσιο πρόγραμμα-πελάτης" παραπάνω. Στη συνέχεια, στείλτε ένα αίτημα ΚΑΤΑΧΩΡΗΣΗΣ μέσω HTTP στο Microsoft Entra ID με ωφέλιμο φορτίο ονόματος χρήστη και κωδικού πρόσβασης.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

Το παραπάνω παράδειγμα περιέχει χαρακτήρες κράτησης θέσης που μπορείτε να ανακτήσετε από την εφαρμογή-πελάτη στο Microsoft Entra ID. Λαμβάνετε μια απόκριση που μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επόμενων κλήσεων στο Power Platform API.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Χρησιμοποιήστε την τιμή access_token σε επόμενες κλήσεις στο API Power Platform χρησιμοποιώντας την κεφαλίδα HTTP Εξουσιοδότηση.

Ροή αρχής υπηρεσίας

Βεβαιωθείτε ότι έχετε διαβάσει την ενότητα πιστοποιητικών και μυστικών παραπάνω. Στη συνέχεια, στείλτε ένα αίτημα ΚΑΤΑΧΩΡΗΣΗΣ μέσω HTTP στο Microsoft Entra ID με ωφέλιμο φορτίο μυστικού προγράμματος-πελάτη. Συχνά αναφέρεται ως έλεγχος ταυτότητας αρχής υπηρεσίας.

Σημαντικό

Αυτό μπορεί να χρησιμοποιηθεί μόνο αφού έχετε καταχωρήσει αυτό το αναγνωριστικό εφαρμογής προγράμματος-πελάτη στο Microsoft Power Platform ακολουθώντας τη σχετική τεκμηρίωση PowerShell ή REST .

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

Το παραπάνω παράδειγμα περιέχει χαρακτήρες κράτησης θέσης που μπορείτε να ανακτήσετε από την εφαρμογή-πελάτη στο Microsoft Entra ID. Λαμβάνετε μια απόκριση που μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επόμενων κλήσεων στο Power Platform API.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Χρησιμοποιήστε την τιμή access_token σε επόμενες κλήσεις στο API Power Platform χρησιμοποιώντας την κεφαλίδα HTTP Εξουσιοδότηση. Όπως αναφέρθηκε παραπάνω, η ροή αρχής υπηρεσίας ροή εξυπηρέτησης δεν χρησιμοποιεί δικαιώματα εφαρμογής και προς το παρόν αντιμετωπίζεται ως Διαχειριστής Power Platform για όλες τις κλήσεις που γίνονται.

Δείτε επίσης

Δημιουργία μιας ερφαρμογής αρχής εξυπηρέτησης μέσω API (έκδοση προεπισκόπησης)
PowerShell - Δημιουργία αρχής υπηρεσίας