Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Η διαχειριζόμενη ταυτότητα Power Platform επιτρέπει στις προσθήκες ή τα πακέτα προσθηκών δεδομένων να συνδέονται με πόρους του Azure για την υποστήριξη διαχειριζόμενης ταυτότητας χωρίς την ανάγκη για διαπιστευτήρια. Αυτό το άρθρο σάς βοηθά να ρυθμίσετε τη διαχειριζόμενη ταυτότητα στα περιβάλλοντά σας Power Platform.
Προαπαιτούμενα στοιχεία
- Μια συνδρομή Azure με πρόσβαση στην παροχή διαχειριζόμενης ταυτότητας (UAMI) ή καταχώρησης εφαρμογών που έχει ανατεθεί στον χρήστη.
- Εργαλεία για προσθήκες ή πακέτα προσθηκών:
- Ενσωματωμένο περιβάλλον ανάπτυξης (IDE), όπως Visual Studio, για τη δημιουργία προσθήκης
- Εργαλείο εγγραφής προσθήκης
- SignTool.exe (εργαλείο υπογραφής) για να υπογράψετε τη συγκρότηση προσθήκης
- Power Platform CLI
- Ένα έγκυρο πιστοποιητικό για την υπογραφή της συναρμολόγησης προσθήκης.
Ρύθμιση διαχειριζόμενης ταυτότητας
Για να ρυθμίσετε τις παραμέτρους της διαχειριζόμενης ταυτότητας του Power Platform για προσθήκες ή πακέτα προσθηκών του Power Platform, ολοκληρώστε τα παρακάτω βήματα.
- Δημιουργήστε μια νέα καταχώρηση εφαρμογής ή διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από τον χρήστη.
- Ρύθμιση παραμέτρων διαπιστευτηρίων ομόσπονδης ταυτότητας.
- Δημιουργήστε και καταχωρήστε προσθήκες dataverse ή πακέτα προσθηκών.
Φροντίστε να δημιουργήσετε τη συγκρότηση προσθήκης και να καταχωρήσετε την προσθήκη ή το πακέτο προσθήκης. - Δημιουργήστε μια διαχειριζόμενη εγγραφή ταυτότητας στο Dataverse.
- Παραχώρηση πρόσβασης στους πόρους του Azure στην εφαρμογή ή διαχειριζόμενη ταυτότητα (UAMI) που έχει εκχωρηθεί από τον χρήστη.
- Επικυρώστε την ενσωμάτωση της προσθήκης.
Δημιουργήστε μια νέα καταχώρηση εφαρμογής ή διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από τον χρήστη
Μπορείτε να δημιουργήσετε είτε διαχειριζόμενη ταυτότητα που έχει αντιστοιχιστεί από τον χρήστη είτε μια εφαρμογή στο Microsoft Entra ID βάσει των παρακάτω σεναρίων.
- Εάν θέλετε μια ταυτότητα εφαρμογής να συσχετίζεται με την προσθήκη που συνδέεται σε πόρους Azure, όπως το Azure Key Vault, χρησιμοποιήστε την καταχώρηση εφαρμογής. Με την ταυτότητα της εφαρμογής, μπορείτε να εφαρμόσετε πολιτικές του Azure στην προσθήκη με πρόσβαση σε πόρους Azure.
- Εάν θέλετε μια κύρια υπηρεσία να έχει πρόσβαση σε πόρους του Azure, όπως το Azure Key Vault, μπορείτε να παρέχετε διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από τον χρήστη.
Σημείωμα
Φροντίστε να καταγράψετε τα ακόλουθα αναγνωριστικά, καθώς τα χρησιμοποιείτε σε επόμενα βήματα.
- Αναγνωριστικό εφαρμογής (πρόγραμμα-πελάτης)
- Αναγνωριστικό μισθωτή
Ρύθμιση παραμέτρων διαπιστευτηρίων ομόσπονδης ταυτότητας
Για να ρυθμίσετε τις παραμέτρους της διαχειριζόμενης ταυτότητας, ανοίξτε την εφαρμογή διαχειριζόμενης ταυτότητας ή Microsoft Entra ID που έχει εκχωρηθεί από τον χρήστη στην πύλη Azure, την οποία δημιουργήσατε στην προηγούμενη ενότητα.
- Μετάβαση στην πύλη Azure.
- Μετάβαση σε Microsoft Entra ID.
- Επιλέξτε Καταχωρίσεις εφαρμογών.
- Ανοίξτε την εφαρμογή που δημιουργήσατε στη Ρύθμιση διαχειριζόμενης ταυτότητας.
- Μεταβείτε στην ενότητα Πιστοποιητικά και μυστικοί έλεγχοι.
- Επιλέξτε την καρτέλα Ομόσπονδα διαπιστευτήρια και επιλέξτε Προσθήκη διαπιστευτηρίων.
- Επιλέξτε εκδότη ως Άλλο εκδότη.
- Πληκτρολογήστε τις παρακάτω πληροφορίες:
Εκδότης
Χρησιμοποιήστε τον εκδότη v2.0 του μισθωτή:
https://login.microsoftonline.com/{tenantID}/v2.0
Παράδειγμα
https://login.microsoftonline.com/5f8a1a9f-2e1a-415f-b10c-84c3736a21b9/v2.0
Τύπος
Επιλέξτε Ρητό αναγνωριστικό θέματος.
Αναγνωριστικό θέματος
Επιλέξτε τη μορφή που αντιστοιχεί στον τύπο πιστοποιητικού σας:
Πιστοποιητικό αυτόματης υπογραφής (μόνο ανάπτυξη):
/eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/h/{hash}Αξιόπιστο πιστοποιητικό εκδότη (συνιστάται για παραγωγή):
/eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/i/{issuer}/s/{certificateSubject}
Αναφορά τμήματος
| Τμήμα | Περιγραφή |
|---|---|
| eid1 | Έκδοση μορφής ταυτότητας |
| c/pub | Κωδικός cloud για δημόσιο cloud, cloud κοινότητας δημόσιων οργανισμών (GCC) και σταθμός πρώτης κυκλοφορίας στο GCC. |
| t/{encodedTenantId} | Αναγνωριστικό μισθωτή |
| a/qzXoWDkuqUa3l6zM5mM0Rw/ | Αποκλειστικά για εσωτερική χρήση. Μην τροποποιείτε. |
| n/πρόσθετο | Πρόσθετο στοιχείο |
| e/{environmentId} | Αναγνωριστικό περιβάλλοντος |
| h/{hash} | SHA-256 πιστοποιητικού (μόνο με αυτόματη υπογραφή) |
| i/{issuer} s/{certificateSubject} |
Λεπτομέρειες αξιόπιστου εκδότη |
Δημιουργία πιστοποιητικού αυτόματης υπογραφής
Κάθε προσθήκη πρέπει να έχει επαληθεύσιμη ταυτότητα και το πιστοποιητικό υπογραφής λειτουργεί ως μοναδικό αποτύπωμα της προσθήκης. Ο ακόλουθος κώδικας είναι ένα δείγμα τμήματος κώδικα του PowerShell που μπορείτε να χρησιμοποιήσετε για τη δημιουργία ενός πιστοποιητικού αυτόματης υπογραφής για σενάρια ανάπτυξης ή δοκιμής. Για αναφορά, μπορείτε να ακολουθήσετε το παράδειγμα 3.
$params = @{
Type = 'Custom'
Subject = 'E=admin@contoso.com,CN=Contoso'
TextExtension = @(
'2.5.29.37={text}1.3.6.1.5.5.7.3.4',
'2.5.29.17={text}email=admin@contoso.com' )
KeyAlgorithm = 'RSA'
KeyLength = 2048
SmimeCapabilities = $true
CertStoreLocation = 'Cert:\CurrentUser\My'
}
New-SelfSignedCertificate @params
Σημείωμα
Κωδικοποίηση για {encodedTenantId}
- Μετατρέψτε το GUID → Δεκαεξαδικό.
- Μετατρέψτε Hex → Base64URL (όχι το κανονικό Base64).
Κατακερματισμός ιδιοϋπογραφής
- Υπολογίστε το SHA-256 στη .cer. Εάν έχετε ένα .pfx, εξαγάγετε πρώτα ένα .cer :
CertUtil -hashfile <CertificateFilePath> SHA256 $cert = Get-PfxCertificate -FilePath "path o\your.pfx" $cert.RawData | Set-Content -Encoding Byte -Path "extracted.cer"
Εξειδικευμένα περιβάλλοντα cloud Azure
Ορίστε ρητά το Ακροατήριο, URL Εκδότη και πρόθημα Θέματος κατά την ανάπτυξη εκτός δημόσιου cloud, GCC και σταθμού πρώτης κυκλοφορίας στο GCC:
| Cloud | Κοινό | Διεύθυνση URL εκδότη | Πρόθημα θέματος |
|---|---|---|---|
| GCC High και DoD | api://AzureADTokenExchangeUSGov |
https://login.microsoftonline.us |
/eid1/c/usg |
| Mooncake (Κίνα) | api://AzureADTokenExchangeChina |
https://login.partner.microsoftonline.cn |
/eid1/c/chn |
| Us National (USNAT) | api://AzureADTokenExchangeUSNat |
https://login.microsoftonline.eaglex.ic.gov |
/eid1/c/uss |
| Us Secure (USSec) | api://AzureADTokenExchangeUSSec |
https://login.microsoftonline.scloud |
/eid1/c/usn |
Σημείωμα
Η τιμή Κοινό κάνει διάκριση πεζών-κεφαλαίων και πρέπει να ταιριάζει απόλυτα.
Για το δημόσιο cloud, το GCC και τον σταθμό πρώτης κυκλοφορίας στο GCC (και σε άλλα μη καταχωρημένα cloud), οι προεπιλογές είναι οι εξής:
Audience api://AzureADTokenExchange, Issuer https://login.microsoftonline.com, Πρόθεμα θέματος /eid1/c/pub.
Δημιουργία και καταχώρηση πρόσθετων Dataverse ή πακέτων πρόσθετων
Συγκρότηση προσθήκης δόμησης
Δημιουργία προσθήκης με χρήση Visual Studio. Κατά τη δημιουργία της προσθήκης, χρησιμοποιήστε το αναγνωριστικό μισθωτή από την καταχώριση Δημιουργία νέας εφαρμογής ή τη διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από τον χρήστη και τα πεδία εφαρμογής ως διεύθυνση URL του οργανισμού όπως
https://{OrgName}.crm*.dynamics.com/.defaultή ακόμη πιο λεπτομερή πεδία εφαρμογής.Χρησιμοποιήστε την υπηρεσία IManagedIdentityService και τη μέθοδο απόκτησης ενός διακριτικού για να ζητήσετε ένα διακριτικό με δεδομένη εμβέλεια.
Υπογραφή μεθόδου:
string AcquireToken(IEnumerable<string> scopes);
Συσκευασία και υπογραφή
Υπογραφή πακέτου προσθήκης
Εάν δημιουργείτε ένα πακέτο προσθηκών, χρησιμοποιήστε το NuGet Sign CLI για να δημιουργήσετε ένα πακέτο είτε από ένα αρχείο .nuspec είτε από ένα αρχείο .csproj. Μετά τη δημιουργία του πακέτου, υπογράψτε το με το πιστοποιητικό σας.
nuget sign YourPlugin.nupkg `
-CertificatePath MyCert.pfx `
-CertificatePassword "MyPassword" `
-Timestamper http://timestamp.digicert.com
Είσοδος συγκρότησης προσθήκης
Εάν καταχωρείτε μια προσθήκη (συγκρότηση), υπογράψτε το DLL με ένα πιστοποιητικό χρησιμοποιώντας SignTool.exe (Εργαλείο υπογραφής).
signtool sign /f MyCert.pfx /p MyPassword /t http://timestamp.digicert.com /fd SHA256 MyAssembly.dll
Προαιρετικά, μπορείτε να προσθέσετε χρονική σήμανση παρέχοντας τη διεύθυνση URL ενός διακομιστή χρονικής σήμανσης συμβατού με RFC 3161.
Σημείωμα
Χρησιμοποιήστε ένα πιστοποιητικό αυτόματης υπογραφής μόνο για σκοπούς ανάπτυξης ή δοκιμής. Μην χρησιμοποιείτε πιστοποιητικά αυτόματης υπογραφής σε περιβάλλοντα παραγωγής.
Δήλωση προσθήκης
Εγκαταστήστε το εργαλείο καταχώρησης προσθήκης, εάν δεν το έχετε ήδη στον υπολογιστή σας. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Εργαλεία ανάπτυξης του Dataverse.
Εγγραφή προσθήκης. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Καταχώρηση προσθήκης.
Δημιουργία καρτέλας διαχειριζόμενης ταυτότητας στο Dataverse
Για να παρέχετε μια διαχειριζόμενη εγγραφή ταυτότητας στο Dataverse, ολοκληρώστε τα παρακάτω βήματα.
Δημιουργήστε μια διαχειριζόμενη ταυτότητα στέλνοντας μια αίτηση HTTP POST με ένα πρόγραμμα-πελάτη REST (όπως Αϋπνία). Χρησιμοποιήστε μια διεύθυνση URL και το σώμα της αίτησης με την ακόλουθη μορφή.
POST https://<<orgURL>>/api/data/v9.0/managedidentitiesΒεβαιωθείτε ότι έχετε αντικαταστήσει το orgURL με τη διεύθυνση URL του οργανισμού.
Βεβαιωθείτε ότι η προέλευση διαπιστευτηρίων έχει οριστεί σε 2 στο ωφέλιμο φορτίο, η επιλογή subjectscopeέχει οριστεί σε 1 για σενάρια για συγκεκριμένο περιβάλλον και η έκδοση έχει οριστεί σε 1 στο ωφέλιμο φορτίο.
Δείγμα ωφέλιμου φορτίου
{ "applicationid": "<<appId>>", //Application Id, or ClientId, or User Managed Identity "managedidentityid": "<<anyGuid>>", "credentialsource": 2, // Managed client "subjectscope": 1, //Environment Scope "tenantid": "<<tenantId>>", //Entra Tenant Id "version": 1 }Ενημερώστε το πακέτο προσθήκης ή την εγγραφή συγκρότησης προσθήκης εκδίδοντας μια αίτηση HTTP PATCH για να τη συσχετίσετε με τη διαχειριζόμενη ταυτότητα που δημιουργήθηκε στο βήμα 1.
Συγκρότηση προσθήκης
PATCH https://<<orgURL>>/api/data/v9.0/pluginassemblies(<<PluginAssemblyId>>)Πακέτο προσθήκης
PATCH https://<<orgURL>>/api/data/v9.0/pluginpackages(<<PluginPackageId>>)Δείγμα ωφέλιμου φορτίου
{ "managedidentityid@odata.bind": "/managedidentities(<<ManagedIdentityGuid>>)" }Φροντίστε να αντικαταστήσετε τα orgURL, PluginAssemblyId (ή PluginPackageId) και ManagedIdentityGuid με τις τιμές σας.
Εκχώρηση πρόσβασης στους πόρους Azure σε διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από εφαρμογή ή που έχει ανατεθεί σε χρήστη
Εάν θέλετε να παραχωρήσετε πρόσβαση σε ένα αναγνωριστικό εφαρμογής για να αποκτήσετε πρόσβαση σε πόρους του Azure, όπως το Azure Key Vault, εκχωρήστε πρόσβαση στην εφαρμογή ή σε διαχειριζόμενη ταυτότητα που έχει εκχωρηθεί από τον χρήστη σε αυτόν τον πόρο.
Επικυρώστε την ενσωμάτωση της προσθήκης
Βεβαιωθείτε ότι η προσθήκη σας μπορεί να ζητήσει με ασφάλεια πρόσβαση σε πόρους Azure που υποστηρίζουν Managed Identity, εξαλείφοντας την ανάγκη για ξεχωριστά διαπιστευτήρια.
Συνήθεις ερωτήσεις
Πώς μπορώ να επιλύσω αυτό το σφάλμα;
Εάν λάβετε το ακόλουθο σφάλμα:
Λήψη σφάλματος – Ένα πρόβλημα ρύθμισης παραμέτρων αποτρέπει τον έλεγχο ταυτότητας.
AADSTS700213: Δεν βρέθηκε αντίστοιχο ομόσπονδο αρχείο ταυτότητας
Ολοκληρώστε τα παρακάτω βήματα για να επιλύσετε το πρόβλημα:
Βεβαιωθείτε ότι ο FIC έχει ρυθμιστεί και αποθηκευτεί σωστά.
Επαληθεύστε ότι ο εκδότης/θέμα συμφωνεί με τη μορφή που καθορίστηκε προηγουμένως.
Μπορείτε επίσης να βρείτε την αναμενόμενη μορφή στη στοίβα σφαλμάτων.
Πώς μπορώ να επιλύσω το σφάλμα "Δεν είναι δυνατή η πρόσβαση ή η σύνδεση στο Power Platform";
Ανατρέξτε στις διευθύνσεις URL και τις περιοχές διευθύνσεων IP του Power Platform για να βεβαιωθείτε ότι είναι δυνατή η πρόσβαση στα τελικά σημεία και τη λίστα επιτρεπόμενων.