Εκμάθηση: Εκχώρηση ρόλων σε οντότητες υπηρεσίας (προεπισκόπηση)

[Αυτό το άρθρο αποτελεί τεκμηρίωση προέκδοσης και ενδέχεται να αλλάξει.]

Ο έλεγχος πρόσβασης βάσει ρόλων (RBAC) στο Power Platform επιτρέπει στους διαχειριστές να εκχωρούν ενσωματωμένους ρόλους σε χρήστες, ομάδες και οντότητες υπηρεσίας στην ομάδα μισθωτή, την ομάδα περιβάλλοντος ή το περιβάλλον. Αυτό το εκπαιδευτικό βοήθημα σάς καθοδηγεί σε ένα συνηθισμένο σενάριο αυτοματισμού: εκχώρηση του ρόλου Συμβάλλων σε μια κύρια υπηρεσία στην εμβέλεια μισθωτή , χρησιμοποιώντας το API εξουσιοδότησης.

Για να μάθετε περισσότερα σχετικά με τις έννοιες RBAC, τους ενσωματωμένους ρόλους και τη μεταβίβαση εμβέλειας, ανατρέξτε στο θέμα Έλεγχος πρόσβασης βάσει ρόλων για το Κέντρο διαχείρισης Power Platform.

Σημαντικό

• Αυτή είναι μια δυνατότητα προεπισκόπησης.
• Οι δυνατότητες προεπισκόπησης δεν προορίζονται για χρήση στην παραγωγή και μπορεί να έχουν περιορισμένη λειτουργικότητα. Αυτές οι δυνατότητες υπόκεινται σε συμπληρωματικούς όρους χρήσης και διατίθενται πριν από μια επίσημη κυκλοφορία, έτσι ώστε οι πελάτες να μπορούν να αποκτήσουν πρώιμη πρόσβαση και να παρέχουν σχόλια.

Σε αυτή την εκμάθηση θα μάθετε πώς μπορείτε να κάνετε τα εξής:

• Πραγματοποιήστε έλεγχο ταυτότητας με το API Power Platform.
• Παραθέστε τους διαθέσιμους ορισμούς ρόλων.
• Δημιουργήστε μια ανάθεση ρόλου για μια κύρια υπηρεσία στην εμβέλεια μισθωτή.
• Επαληθεύστε την ανάθεση ρόλου.

Προϋποθέσεις

• Μια καταχώρηση εφαρμογής Microsoft Entra έχει ρυθμιστεί για το Power Platform API, με πιστοποιητικό ή μυστικό κωδικό προγράμματος-πελάτη για έλεγχο ταυτότητας κύριας υπηρεσίας. Για οδηγίες, ανατρέξτε στο θέμα Έλεγχος ταυτότητας.
• Το αναγνωριστικό αντικειμένου εταιρικής εφαρμογής για την κύρια υπηρεσία (βρίσκεται στιςεφαρμογές MicrosoftEntra ID> Enterprise).
• Η ταυτότητα κλήσης πρέπει να έχει ρόλο διαχειριστή Power Platform ή διαχειριστή πρόσβασης βάσει ρόλων στο Power Platform .

Ενσωματωμένοι ορισμοί ρόλων

Το Power Platform παρέχει τέσσερις ενσωματωμένους ρόλους που μπορούν να εκχωρηθούν μέσω RBAC. Κάθε ρόλος έχει ένα σταθερό σύνολο δικαιωμάτων και μπορεί να εκχωρηθεί στην ομάδα μισθωτή, στην ομάδα περιβάλλοντος ή στην εμβέλεια του περιβάλλοντος.

Όνομα ρόλου	Αναγνωριστικό ρόλου	Δικαιώματα Πρόσβασης
Κάτοχος πλατφόρμας Power	0cb07c69-1631-4725-ab35-e59e001c51ea	Όλα τα δικαιώματα
Συμβάλλων στο Power Platform	ff954d61-a89a-4fbe-ace9-01c367b89f87	Διαχείριση και ανάγνωση όλων των πόρων, αλλά αδυναμία εκτέλεσης ή αλλαγής αναθέσεων ρόλων
Πρόγραμμα ανάγνωσης Power Platform	c886ad2e-27f7-4874-8381-5849b8d8a090	Πρόσβαση μόνο για ανάγνωση σε όλους τους πόρους
Διαχειριστής ελέγχου πρόσβασης βάσει ρόλων του Power Platform	95e94555-018c-447b-8691-bdac8e12211e	Ανάγνωση όλων των πόρων + διαχείριση αναθέσεων ρόλων

Βήμα 1. Λίστα διαθέσιμων ορισμών ρόλων

Πρώτα, πραγματοποιήστε έλεγχο ταυτότητας και ανακτήστε τους διαθέσιμους ορισμούς ρόλων για να επιβεβαιώσετε το αναγνωριστικό ρόλου συμβάλλοντα.

PowerShell

# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts

# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"

# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"

$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')

# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers

$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId

Αναμενόμενη έξοδος:

roleDefinitionName                                          roleDefinitionId
------------------                                          ----------------
Power Platform owner                                        0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor                                  ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader                                       c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator      95e94555-018c-447b-8691-bdac8e12211e

C#

using Microsoft.PowerPlatform.Management;
using Microsoft.PowerPlatform.Management.Models;

var client = ServiceClientFactory.Create(clientId);

// List all role definitions
var roleDefinitions = await client.Authorization.RoleDefinitions.GetAsync();

foreach (var role in roleDefinitions.Value)
{
    Console.WriteLine($"{role.RoleDefinitionName}: {role.RoleDefinitionId}");
}

Αναμενόμενη έξοδος:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

Python

import asyncio
from azure.identity import InteractiveBrowserCredential
from kiota_authentication_azure.azure_identity_authentication_provider import AzureIdentityAuthenticationProvider
from kiota_http.httpx_request_adapter import HttpxRequestAdapter
from mspp_management.service_client_base import ServiceClientBase

credential = InteractiveBrowserCredential()
auth_provider = AzureIdentityAuthenticationProvider(
    credential,
    scopes=["https://api.powerplatform.com/.default"]
)
adapter = HttpxRequestAdapter(auth_provider)
adapter.base_url = "https://api.powerplatform.com"
client = ServiceClientBase(adapter)

# List all role definitions
role_definitions = await client.authorization.role_definitions.get()

for role in role_definitions.value:
    print(f"{role.role_definition_name}: {role.role_definition_id}")

Αναμενόμενη έξοδος:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

Αναφορά API Power Platform: Role-Based έλεγχος πρόσβασης - Ορισμοί ρόλων λίστας

Βήμα 2. Εκχώρηση του ρόλου "Συμβάλλων" σε μια κύρια υπηρεσία

Δημιουργήστε μια ανάθεση ρόλου που εκχωρεί τον ρόλο συμβάλλοντου Power Platform σε μια κύρια υπηρεσία στην εμβέλεια μισθωτή. Αντικαταστήστε YOUR_TENANT_ID το με το GUID μισθωτή σας και YOUR_ENTERPRISE_APP_OBJECT_ID με το αναγνωριστικό αντικειμένου εταιρικής εφαρμογής από το Αναγνωριστικό Microsoft Entra.

PowerShell

$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"

$body = @{
    roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
    principalObjectId = $EnterpriseAppObjectId
    principalType = "ApplicationUser"
    scope = "/tenants/$TenantId"
} | ConvertTo-Json

$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body

$roleAssignment

Αναμενόμενη έξοδος:

roleAssignmentId   : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId  : <your-enterprise-app-object-id>
roleDefinitionId   : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope              : /tenants/<your-tenant-id>
principalType      : ApplicationUser
createdOn          : 2026-03-02T12:00:00.0000000+00:00

C#

var request = new RoleAssignmentRequest
{
    RoleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87",
    PrincipalObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID",
    PrincipalType = "ApplicationUser",
    Scope = "/tenants/YOUR_TENANT_ID"
};

var roleAssignment = await client.Authorization.RoleAssignments.PostAsync(request);

Console.WriteLine($"Assignment ID: {roleAssignment.Value[0].RoleAssignmentId}");
Console.WriteLine($"Scope: {roleAssignment.Value[0].Scope}");
Console.WriteLine($"Principal: {roleAssignment.Value[0].PrincipalObjectId}");

Python

from mspp_management.models.role_assignment_request import RoleAssignmentRequest

request = RoleAssignmentRequest(
    role_definition_id="ff954d61-a89a-4fbe-ace9-01c367b89f87",
    principal_object_id="YOUR_ENTERPRISE_APP_OBJECT_ID",
    principal_type="ApplicationUser",
    scope="/tenants/YOUR_TENANT_ID",
)

role_assignment = await client.authorization.role_assignments.post(request)

print(f"Assignment ID: {role_assignment.value[0].role_assignment_id}")
print(f"Scope: {role_assignment.value[0].scope}")
print(f"Principal: {role_assignment.value[0].principal_object_id}")

Αναφορά API Power Platform: Role-Based έλεγχος πρόσβασης - Δημιουργία ανάθεσης ρόλων

Βήμα 3. Επαλήθευση της ανάθεσης ρόλου

Ανακτήστε όλες τις αναθέσεις ρόλων για να επιβεβαιώσετε ότι η νέα ανάθεση υπάρχει.

PowerShell

$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers

# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType

Αναμενόμενη έξοδος:

roleAssignmentId                        roleDefinitionId                        scope                          principalType
----------------                        ----------------                        -----                          -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890    ff954d61-a89a-4fbe-ace9-01c367b89f87    /tenants/<your-tenant-id>      ApplicationUser

C#

var roleAssignments = await client.Authorization.RoleAssignments.GetAsync();

var myAssignments = roleAssignments.Value
    .Where(a => a.PrincipalObjectId == "YOUR_ENTERPRISE_APP_OBJECT_ID");

foreach (var assignment in myAssignments)
{
    Console.WriteLine($"ID: {assignment.RoleAssignmentId}");
    Console.WriteLine($"Role: {assignment.RoleDefinitionId}");
    Console.WriteLine($"Scope: {assignment.Scope}");
    Console.WriteLine($"Type: {assignment.PrincipalType}");
}

Python

role_assignments = await client.authorization.role_assignments.get()

my_assignments = [
    a for a in role_assignments.value
    if a.principal_object_id == "YOUR_ENTERPRISE_APP_OBJECT_ID"
]

for assignment in my_assignments:
    print(f"ID: {assignment.role_assignment_id}")
    print(f"Role: {assignment.role_definition_id}")
    print(f"Scope: {assignment.scope}")
    print(f"Type: {assignment.principal_type}")

Αναφορά API Power Platform: Έλεγχος πρόσβασης βάσει ρόλων - Αναθέσεις ρόλων λίστας

Σχετικό περιεχόμενο

• Έλεγχος πρόσβασης βάσει ρόλων για το κέντρο διαχείρισης του Power Platform
• Αναφορά δικαιωμάτων
• Έλεγχος ταυτότητας - δημιουργήστε την πρώτη καταχώρηση της εφαρμογής σας