Consideraciones de registro de aplicación
El ALM Accelerator for Power Platform se basa en registros de aplicaciones de Microsoft Entra para comunicarse con los servicios requeridos. Este artículo analiza las consideraciones que debe tener en cuenta y los enfoques que puede tomar cuando diseñe una estrategia de registro de aplicaciones para ALM Accelerator.
Permisos de API frequeridos
Debe permitir que los registros de aplicaciones usen las API relevantes para que ALM Accelerator se comunique con los servicios requeridos. Los requisitos para la comunicación con estos servicios dependen de la funcionalidad de ALM Accelerator.
En la siguiente tabla se muestran los permisos de API necesarios para las diferentes funcionalidades de ALM Accelerator.
| Funcionalidad | Permiso de API | Tipo de permiso | Descripción |
|---|---|---|---|
| Conector personalizado CustomAzureDevOps | Azure DevOps - user_impersonation | Delegado | La aplicación de lienzo ALM Accelerator necesita Permisos de API de Azure DevOps para comunicarse con Azure DevOps. |
| Canalizaciones de validación de implementación | Dynamics CRM - user_impersonation | Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Canalizaciones de validación de implementación | Power Apps Advisor - Analysis.All | Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Canalizaciones de implementación de prueba | Dynamics CRM - user_impersonation | Delegado | La canalización para implementar soluciones en el entorno de prueba debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Canalizaciones de implementación en producción | Dynamics CRM - user_impersonation | Delegado | La canalización para implementar soluciones en el entorno de producción debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Canalización de exportación de solución | Dynamics CRM - user_impersonation | Delegado | La canalización para exportar soluciones desde el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Canalización de importación de solución | Dynamics CRM - user_impersonation | Delegado | La canalización para importar soluciones desde el control de código fuente de Git en Azure para el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Canalización de eliminación de solución | Dynamics CRM - user_impersonation | Delegado | La canalización para eliminar soluciones en el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
Consideraciones para una estrategia de registro de aplicaciones
Al diseñar su estrategia para crear y administrar registros de aplicaciones de para ALM Accelerator, debe tener en cuenta la seguridad y el mantenimiento.
Principio de privilegio mínimo
Desde una perspectiva de seguridad, considere el principio de privilegio mínimo. Cualquier registro de aplicación debe tener el número mínimo de privilegios necesarios para llevar a cabo las operaciones.
Simplicidad de mantenimiento
En lo referente al mantenimiento, considere una estrategia que requiera minimizar al máximo la cantidad de trabajo necesario para mantener sus registros de aplicaciones y los servicios que los usan. Por ejemplo, una de las tareas relacionadas con el mantenimiento de los registros de aplicaciones es la rotación de secretos; es decir, revocar el secreto actual y crear uno nuevo. Cada servicio que utiliza el registro de una aplicación debe reconfigurarse cuando se rota un secreto. Cuantos más registros de aplicaciones utilice, más trabajo tendrá que hacer para mantenerlos.
Estrategias de registro de aplicación de Azure
Las estrategias para registrar aplicaciones con Microsoft Entra ID para que las use ALM Accelerator van desde muy simples hasta muy granulares.
Una aplicación de registro para todo
La estrategia más simple es crear un registro de aplicación para todas sus necesidades. Con esta estrategia, usa el mismo registro de aplicaciones de Azure para el conector personalizado CustomAzureDevOps y todas las conexiones de servicio de Azure DevOps que necesite para acceder a sus entornos de Power Platform.
Aunque esta estrategia es la más fácil de administrar, viola el principio de privilegio mínimo. El registro de una aplicación tiene permisos para realizar todas las operaciones requeridas a través del conector personalizado y todas las conexiones de servicio de Azure DevOps que haya configurado.
| Registro de aplicación | Tipo y permiso de API | Descripción |
|---|---|---|
| Registro de aplicaciones único a todos los efectos | Azure DevOps - user_impersonation - Delegado | La aplicación de lienzo ALM Accelerator necesita Permisos de API de Azure DevOps para comunicarse con Azure DevOps. |
| Registro de aplicaciones único a todos los efectos | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde los entornos de desarrollo y las soluciones de implementación del creador hasta el entorno de validación, prueba y producción necesita tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de hacer operaciones de solución. |
| Registro de aplicaciones único a todos los efectos | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
Un registro de aplicación para Azure DevOps y otro para Power Platform
Una estrategia más granular es crear un registro de aplicaciones para el conector personalizado CustomAzureDevOps y otro para que las canalizaciones se comuniquen con los entornos de Power Platform.
Esta estrategia se alinea mejor con el principio de privilegio mínimo. Solo el registro de la aplicación que se usa para el conector personalizado CustomAzureDevOps puede acceder a la API de Azure DevOps y solo el registro de la aplicación que se usa para conectarse a Power Platform puede usar la API de Power Platform (Dynamics CRM).
| Registro de aplicación | Tipo y permiso de API | Descripción |
|---|---|---|
| Registro de aplicación para Azure DevOps | Azure DevOps - user_impersonation - Delegado | La aplicación de lienzo ALM Accelerator necesita Permisos de API de Azure DevOps para comunicarse con Azure DevOps. |
| Registro de aplicación para Power Platform | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde los entornos de desarrollo y las soluciones de implementación del creador hasta el entorno de validación necesita tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de hacer operaciones de solución. |
| Registro de aplicación para Power Platform | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
Un registro de aplicación para Azure DevOps y varios para Power Platform
Una estrategia aún más granular es crear registros de aplicaciones para acceder a diferentes entornos de Power Platform. Puede crear un registro de aplicación para cada entorno al que necesite acceder mediante las canalizaciones de ALM Accelerator. O bien, cree un registro de aplicación para cada proyecto de Power Platform que admita mediante ALM Accelerator.
Esta estrategia se alinea más estrechamente con el principio de privilegio mínimo. Sin embargo, también debe considerar el mantenimiento. Asegúrese de mantener una forma estructurada de identificar qué registro de aplicación se utiliza para cada entorno. Esta información será útil cuando vaya a rotar los secretos del registro de aplicaciones.
La siguiente tabla muestra cómo puede crear registros de aplicaciones para cada proyecto de Power Platform para restringir el acceso solo al entorno relevante.
| Registro de aplicación | Ámbito de Power Platform | Tipo y permiso de API | Descripción |
|---|---|---|---|
| Registro de aplicación para Azure DevOps | No aplicable | Azure DevOps - user_impersonation - Delegado | La aplicación de lienzo ALM Accelerator necesita Permisos de API de Azure DevOps para comunicarse con Azure DevOps. |
| Registro de aplicación para Power Platform | Proyecto de plataforma 1 | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 1 | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2 | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2 | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Entorno de desarrollo del creador 1 | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Entorno de desarrollo del creador 2 | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) para llevar a cabo operaciones de soluciones. |
La siguiente tabla muestra cómo podemos acercarnos aún más al principio de privilegio mínimo creando registros de aplicaciones para cada entorno de Power Platform.
| Registro de aplicación | Ámbito de Power Platform | Tipo y permiso de API | Descripción |
|---|---|---|---|
| Registro de aplicación para Azure DevOps | No aplicable | Azure DevOps - user_impersonation - Delegado | La aplicación de lienzo ALM Accelerator necesita Permisos de API de Azure DevOps para comunicarse con Azure DevOps. |
| Registro de aplicación para Power Platform | Proyecto 1: entorno de validación | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 1: entorno de validación | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 1: entorno de prueba | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 1: entorno de producción | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2: entorno de validación | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2: entorno de validación | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2: entorno de prueba | Power Apps Advisor - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación necesita tener permisos para usar el servicio de Power Apps Advisor a fin de ejecutar la tarea del Comprobador de soluciones. |
| Registro de aplicación para Power Platform | Proyecto 2: entorno de producción | Dynamics CRM - user_impersonation - Delegado | La canalización para implementar soluciones en el entorno de validación debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Entorno de desarrollo del creador 1 | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |
| Registro de aplicación para Power Platform | Entorno de desarrollo del creador 2 | Dynamics CRM - user_impersonation - Delegado | La canalización para exportar soluciones desde el entorno de desarrollo del creador debe tener permisos para usar la API de Power Platform (Dynamics CRM) a fin de llevar a cabo operaciones de soluciones. |