Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tutorial, configurará las credenciales de identidad federada (FIC) de Microsoft Entra y OIDC de GitHub para que las acciones de GitHub se puedan autenticar a Power Platform sin almacenar un secreto de cliente.
En este tutorial, aprenderá lo siguiente:
- Configuración de OIDC en el repositorio de GitHub
- Creación de un registro de aplicaciones de Microsoft Entra y configuración de FIC
- Concesión del acceso a la aplicación en el Centro de administración de Power Platform
- Creación de un flujo de trabajo de GitHub para ejecutar acciones de Power Platform
Paso 1: Configuración de OIDC en el repositorio de GitHub
En GitHub, abra el repositorio y asegúrese de que Acciones de GitHub está habilitada.
Para habilitar Acciones de GitHub en el repositorio, seleccione Acciones de configuración> y, a continuación, en General, se le presentará una opción para habilitar. Si no ve Acciones en Configuración, no tiene el permiso de seguridad del repositorio necesario.
Revisar la configuración de OIDC y la guía de personalización de reclamación de tema. Consulte OpenID Connect en Acciones de GitHub.
Configure la plantilla de declaración de sujeto de OIDC como
repository, workflowpara este tutorial, tal como se muestra en la ilustración anterior. Crea una declaración de asunto única para cada flujo de trabajo del repositorio, a la que puedes hacer referencia en la configuración de credenciales federadas en Microsoft Entra ID.El formato de asunto se resuelve en valores como:
repo:MyOrg/MyRepo:workflow:MyWorkflow
Guarde la configuración de OIDC del repositorio.
Paso 2: Crear un registro de aplicaciones de Microsoft Entra y agregar FIC
En el Azure portal, vaya a Microsoft Entra ID>Registros de aplicaciones>Nuevo registro.
Cree el registro de la aplicación y copie los valores de ID de aplicación (cliente) y ID de directorio (inquilino).
Abra permisos de API>Agregue un permiso>Dynamics CRM y conceda permiso a Dataverse.
Abra Certificados y secretos (o credenciales federadas, en función de la experiencia del portal) y seleccione
Otheren Escenario de credenciales federadas.
Use este identificador de asunto explícito:
repo:MyOrg/MyRepo:workflow:MyWorkflowGuarde la credencial federada.
Nota:
La reclamación del sujeto en GitHub y el identificador del sujeto en tu credencial federada deben coincidir exactamente.
Paso 3: Concesión del acceso a la aplicación en el Centro de administración de Power Platform
Agregue el registro de la aplicación Entra ID como usuario de aplicación y asigne roles de seguridad necesarios en cada entorno de destino.
Para obtener pasos detallados, consulte Administración de usuarios de aplicaciones en el Centro de administración de Power Platform.
Paso 4: Creación de un flujo de trabajo de GitHub para ejecutar operaciones de Power Platform
En el repositorio, cree o actualice un flujo de trabajo en
.github/workflows/.Asegúrese de que el flujo de trabajo solicita permisos de token de OIDC para el trabajo que ejecuta acciones de Power Platform.
Configure las acciones de GitHub de Power Platform que se usarán:
- Id. de inquilino
- Id. de aplicación (cliente)
- URL de entorno
- Parámetros de autenticación basados en OIDC/FIC que son compatibles con la acción
Pegue el código YAML de flujo de trabajo de ejemplo en esta sección y actualice los marcadores de posición para su entorno.
# https://docs.github.com/en/actions/how-tos/secure-your-work/security-harden-deployments/oidc-in-azure
name: fic-auth
on:
# Allows you to run this workflow manually from the Actions tab
workflow_dispatch:
jobs:
who-am-i:
runs-on: ubuntu-latest
permissions:
id-token: write # Grant permissions to the OIDC endpoint for federation
contents: read
steps:
- name: Install Power Platform Tools
uses: microsoft/powerplatform-actions/actions-install@v1
with:
pac-version-override: 2.4.1
- name: WhoAmI
uses: microsoft/powerplatform-actions/who-am-i@v1
with:
environment-url: https://MyOrg.crm.dynamics.com/
app-id: 00000000-0000-0000-0000-000000000000 # Client (application) ID from your app registration
tenant-id: 00000000-0000-0000-0000-000000000000 # Directory (tenant) ID from your app registration
Cuando se ejecuta el flujo de trabajo, GitHub emite un token de OIDC. Microsoft Entra valida ese token con tus credenciales federadas y la acción se autentica con Dataverse/Power Platform sin un secreto de cliente.