Compartir a través de

Inicio rápido: Configuración de Microsoft Entra para un conector personalizado

  • Artículo

En esta guía se describen los pasos para configurar una aplicación de Microsoft Entra para su uso con un conector personalizado de Power Query. Se recomienda que los desarrolladores de conectores revisen los conceptos de la plataforma de identidad de Microsoft antes de continuar.

Dado que el término aplicación se usa en varios contextos de la plataforma Microsoft Entra, esta guía usa los siguientes términos para distinguir entre los identificadores de aplicación de conector y origen de datos:

  • Aplicación cliente: identificadores de cliente de Microsoft Entra que usa el conector de Power Query.
  • Aplicación de recursos: el registro de aplicaciones de Microsoft Entra para el punto de conexión al que se conecta el conector (es decir, el servicio o el origen de datos).

La habilitación de la compatibilidad de Microsoft Entra con un conector personalizado implica:

  • Definir uno o varios ámbitos en la aplicación de recursos que usa el conector.
  • Autorizar previamente los identificadores de cliente de Power Query para usar esos ámbitos.
  • Establecimiento de los valores Resource y Scopes correctos en la definición del conector.

En esta guía se da por supuesto que una nueva aplicación de recursos está registrada en Microsoft Entra. Los desarrolladores con una aplicación de recursos existente pueden ir directamente a la sección Configurar un ámbito.

Nota:

Para obtener más información sobre el uso de Microsoft Entra en el servicio o la aplicación, vaya a una de las guías de inicio rápido.

Registro de una aplicación de recursos

El origen de datos o el punto de conexión de API usa esta aplicación de recursos para establecer la confianza entre el servicio y la plataforma de identidad de Microsoft.

Siga los pasos para registrar una nueva aplicación de recursos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Registros de aplicaciones y seleccione Nuevo registro.
  3. Escriba un Nombre de usuario para la aplicación.
  4. En Tipos de cuenta admitidos, seleccione Cuentas en este directorio organizativo solo si el punto de conexión solo es accesible desde dentro de su organización. Seleccione Cuentas en cualquier directorio organizativo para los servicios multiinquilino accesibles públicamente.
  5. Seleccione Registrar.

No es necesario especificar un valor de URI de redirección.

La página Información general de la aplicación se muestra cuando se completa el registro. Tome nota del identificador de directorio (inquilino) y los valores de Id. de aplicación (cliente), ya que se usarán en el código fuente del servicio. Siga una de las guías de los ejemplos de código de la plataforma de identidad de Microsoft similares al entorno de servicio y la arquitectura para determinar cómo configurar y usar la nueva aplicación.

Establecer un URI de Id. de aplicación

Para poder configurar un ámbito para el punto de conexión, debe establecer un URI de identificador de aplicación para la aplicación de recursos. Este identificador lo usará el campo Resource del registro Aad en el conector. El valor se establece en la dirección URL raíz del servicio. También puede usar el valor predeterminado generado por Microsoft Entra, api://{clientId}, donde {clientId} es el identificador de cliente de la aplicación de recursos.

  1. Vaya a la página Información general de la aplicación de recursos.
  2. En la pantalla central, en Información esencial, seleccione Agregar un URI de identificador de aplicación.
  3. Escriba un URI o acepte el valor predeterminado en función del identificador de la aplicación.
  4. Seleccione Guardar y continuar.

En los ejemplos de esta guía se supone que usa el formato URI de identificador de aplicación predeterminado (por ejemplo, api://44994a60-7f50-4eca-86b2-5d44f873f93f).

Configuración de un ámbito

Los ámbitos se usan para definir permisos o funcionalidades para acceder a las API o los datos del servicio. La lista de ámbitos admitidos es específica del servicio. Quiere determinar un conjunto mínimo de ámbitos requeridos por el conector. Debe autenticar previamente al menos un ámbito para los identificadores de cliente de Power Query.

Si la aplicación de recursos ya tiene ámbitos definidos, puede ir directamente al paso siguiente.

Si el servicio no usa permisos basados en ámbito, puede definir un único ámbito que use el conector. Puede usar (opcionalmente) este ámbito en el código de servicio en el futuro.

En este ejemplo, definirá un único ámbito denominado Data.Read.

  1. Vaya a la página Información general de la aplicación de recursos.
  2. En Administrar, seleccione Exponer una API > Agregar un ámbito.
  3. Para Nombre de ámbito, escriba Data.Read.
  4. Para Quién puede dar el consentimiento, seleccione las opciones Administradores y usuarios.
  5. Rellene los cuadros de descripción y nombre para mostrar restantes.
  6. Asegúrese de que el Estado esté establecido en Habilitado.
  7. Seleccione Agregar ámbito.

Autenticación previa de las aplicaciones cliente de Power Query

Los conectores de Power Query usan dos identificadores de cliente de Microsoft Entra diferentes. La autenticación previa de ámbitos para estos identificadores de cliente simplifica la experiencia de conexión.

Id. de cliente Nombre de la aplicación Usado por
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query para Excel Entornos de escritorio
b52893c8-bc2e-47fc-918b-77022b299bbc Actualización de datos de Power BI Entornos de servicio

Para autenticar previamente los identificadores de cliente de Power Query:

  1. Vaya a la página Información general de la aplicación de recursos.
  2. En Administrar, seleccione Exponer una API.
  3. Seleccione Agregar una aplicación cliente.
  4. Escriba uno de los identificadores de cliente de Power Query.
  5. Seleccione los ámbitos autorizados adecuados.
  6. Seleccione Agregar aplicación.
  7. Repita los pasos 3 a 6 para cada identificador de cliente de Power Query.

Habilitación del tipo de autenticación de Aad en el conector

La compatibilidad con el identificador de Microsoft Entra está habilitada para el conector agregando el tipo de autenticación Aad al registro del origen de datos del conector.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Reemplace el valor {YourApplicationIdUri} por el valor URI del identificador de aplicación para la aplicación de recursos, por ejemplo, api://44994a60-7f50-4eca-86b2-5d44f873f93f.

En este ejemplo:

  • AuthorizationUri: la dirección URL de Microsoft Entra que se usa para iniciar el flujo de autenticación. La mayoría de los conectores pueden codificar este valor en https://login.microsoftonline.com/common/oauth2/authorize, pero también se puede determinar dinámicamente si el servicio admite cuentas de invitado o B2B de Azure. Para obtener más información, consulte Ejemplos.
  • Recurso: el URI del identificador de aplicación del conector.
  • Ámbito: use el ámbito .default para recibir automáticamente todos los ámbitos previamente autenticados. El uso de .default permite cambiar los ámbitos de conector necesarios en el registro de la aplicación de recursos, sin necesidad de actualizar el conector.

Para obtener más detalles y opciones para configurar la compatibilidad con Microsoft Entra en el conector, vaya a la página de ejemplos de autenticación de Id. de Microsoft Entra.

Vuelva a generar el conector y ahora debería poder autenticarse con el servicio mediante el identificador de Microsoft Entra.

Solución de problemas

En esta sección se describen los errores comunes que puede recibir si la aplicación Microsoft Entra está mal configurada.

La aplicación Power Query no se ha autenticado previamente

access_denied: AADSTS650057: recurso no válido. El cliente ha solicitado el acceso a un recurso, que no se muestra en los permisos solicitados del registro de la aplicación del cliente. Id. de aplicación cliente: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query para Excel). Valor de recurso de la solicitud: 44994a60-7f50-4eca-86b2-5d44f873f93f. Identificador de la aplicación de recursos: 44994a60-7f50-4eca-86b2-5d44f873f93

Es posible que vea este error si la aplicación de recursos no ha autenticado previamente las aplicaciones cliente de Power Query. Siga los pasos para autenticar previamente los identificadores de cliente de Power Query.

Falta un valor de Ámbito en el registro de Aad del conector

access_denied: AADSTS650053: la aplicación "Microsoft Power Query para Excel" solicitó el ámbito "user_impersonation" que no existe en el recurso "44994a60-7f50-4eca-86b2-5d44f873f93f". Póngase en contacto con el proveedor de la aplicación.

Power Query solicita el ámbito user_impersonation si el registro Aad del conector no define un campo Scope o el valor de Scope es null. Para resolver este problema, defina un valor Scope en el conector. Se recomienda usar el ámbito .default, pero también puede especificar ámbitos en el nivel de conector (por ejemplo, Data.Read).

El ámbito o la aplicación cliente requieren aprobación del administrador

Se necesita la aprobación del administrador. <tenant> necesita permiso para acceder a recursos de su organización que solo un administrador puede conceder. Pida a un administrador que conceda permiso a esta aplicación para poder usarla.

Un usuario podría recibir este error durante su flujo de autenticación si la aplicación de recursos requiere permisos restringidos por el administrador o el inquilino del usuario impide que los usuarios que no sean administradores consientan las nuevas solicitudes de permisos de aplicación. Para evitar este problema, asegúrese de que el conector no requiere ningún ámbito restringido por el administrador ni autenticar previamente los identificadores de cliente de Power Query para la aplicación de recursos.