Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
Selles artiklis antakse ülevaade Microsoft Entra häälestusest Power PlatformI API kutsumiseks. Power Platformi API kaudu saadaolevatele ressurssidele juurdepääsuks peate hankima Microsoft Entralt kandjatõendi ja saatma selle koos iga taotlusega päisena. Olenevalt toetatava identiteedi tüübist (kasutaja ja teenusesubjekt) on selle kandjatõendi hankimiseks erinevad vood, nagu on kirjeldatud selles artiklis.
Õigete lubadega kandjatõendi saamiseks on vaja järgmisi samme.
- Rakenduse registreerimise loomine rentnikus Microsoft Entra
- API õiguste konfigureerimine
- Avaliku kliendi konfigureerimine (valikuline)
- Sertide ja saladuste konfigureerimine (valikuline)
- Taotlege juurdepääsuluba
1. etapp. Looge rakenduse registreerimine
Liikuge Microsoft Entra rakenduse registreerimise lehele ja looge uus registreerimine. Andke rakendusele nimi ja veenduge, et valik Üks rentnik on valitud. Ümbersuunamise URI seadistamise võite vahele jätta.
2. etapp API õiguste konfigureerimine
Uue rakenduse registreerimisel liikuge Azure'i portaalis Halda – API õigused vahekaardile. Valige jaotises Õiguste konfigureerimine suvand Lisa õigus. Valige kuvatavas dialoogiaknas API-d mida minu organisatsioon kasutab ja otsige siis Power Platform'i API. Selle nimega võib olla mitu kirjet, mille nimi on sellega sarnane, seega veenduge, et kasutaks seda, millel on GUID 8578e004-a5c6-46e7-913e-12f58912df43.
Kui te ei näe Power Platform GUID-i järgi otsimisel loendis API-d, on võimalik, et teil on sellele endiselt juurdepääs, kuid nähtavust ei värskendata. Värskendamise jõustamiseks käivitage järgmine skript:
#Install the Microsoft Graph PowerShell SDK module
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Connect-MgGraph
New-MgServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
Siit peate valima vajalikud õigused. Need on rühmitatud nimeruumide järgi. Nimeruumis kuvatakse ressursitüübid ja toimingud(nt AppManagement.ApplicationPackages.Read ), mis annavad rakendusepakettide lugemisõigused. Lisateavet leiate meie loaviiteartiklist .
Märkus.
Power Platform API kasutab delegeeritud õigusi ainult praegu. Kasutaja kontekstiga käitatud rakenduste puhul saate taotleda delegeeritud õigusi, kasutades ulatuse ulatuse parameetrit. Need õigused delegeerivad sisselogitud kasutaja õigused teie rakendusele, võimaldades tal Power Platform API lõpp-punktidele helistamisel kasutajana tegutseda.
Teenusesubjektidentiteetide puhul rakenduseõigusi ei kasutata. Selle asemel käsitletakse teenuse subjekte täna Power Platform administraatorina ja need tuleb registreerida järgides PowerShelli teenuse subjekti loomist.
Kui rakendusele on vajalikud õigused lisatud, valige seadistamise lõpuleviimiseks Andke administraatori nõusolek. See on vajalik juhtudel, kui soovite lubada kasutajatel kohe oma rakendusele juurde pääseda, selle asemel et nõuda interaktiivset nõusolekukogemust. Kui saate toetada interaktiivset nõusolekut, soovitame järgida Microsoft identiteedi platvormi ja OAuth 2.0 autoriseerimiskoodi voogu.
3. etapp Avaliku kliendi konfigureerimine (valikuline)
Kui teie rakendus nõuab kasutaja nimel ressursside lugemist ja kirjutamist, peate lubama avaliku kliendi sätte. See on ainus viis, kuidas Microsoft Entra ID aktsepteerib kasutajanime ja parooli atribuute teie märgitaotluse kehas. Pange tähele, et kui kavatsete seda funktsiooni kasutada, ei tööta see kontode puhul, kus on lubatud mitmikautentimine.
Lubamiseks külastage vahekaarti Haldamine – autentimine. Seadistage jaotises Täpsemad sätted lüliti Avalik klient asendisse Jah.
4. etapp Sertide ja saladuste konfigureerimine (valikuline)
Kui teie rakendus nõuab lugemis- ja kirjutamisressursse iseseisvana (tuntud ka kui teenusejuht), on autentimiseks kaks võimalust. Sertife kasutamiseks liikuge Azure'i portaali Halda – serte ja saladusi vahekaart. Laadige jaotises Sertifikaadid jaotis, laadige üles x509 sert, mille abil saate autentida. Teine võimalus on see, et võite kasutada jaotist Saladused kliendi saladuse loomiseks. Salvestage see saladus oma automatiseerimisvajaduste jaoks turvalises kohas. Sertifikaat või salajased valikud võimaldavad teil selle kliendi jaoks sertifikaati autentida Microsoft Entra ja vastu võtta, mille edastate kas REST API-dele või PowerShell cmdlet-idele.
5. etapp. Taotlege juurdepääsuluba
Juurdepääsu kandjatõendi saamiseks on kaks võimalust. Üks on kasutajanime ja parooli jaoks ning teine on teenuse subjektide jaoks.
Kasutajanime ja parooli voog
Lugege kindlasti ülaltoodud jaotist Avalik klient. Seejärel saatke POST-päring HTTP-i kaudu ID-le Microsoft Entra kasutajanime ja parooli kasuliku koormusega.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Ülaltoodud näide sisaldab kohatäiteid, mille saate oma klientrakendusest ID-s Microsoft Entra alla laadida. Saate vastus, mida saab kasutada järgmiste API-kõnede Power Platform tegemiseks.
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Kasutage järgnevates access_token väärtuste kõnedel Power Platform'i API-t koos autoriseerimise HTTP päist.
Teenuse põhivoog
Lugege kindlasti ülaltoodud jaotist sertid ja saladused. Seejärel saatke POST-päring HTTP-i kaudu ID-le Microsoft Entra kliendi salajase kasuliku koormusega. Seda nimetatakse sageli teenuse subjekti autentimiseks.
Oluline
Seda saab kasutada alles pärast seda, kui olete selle kliendirakenduse ID registreerinud, Microsoft Power Platform järgides kas seotud PowerShell või REST-i dokumentatsiooni.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Ülaltoodud näide sisaldab kohatäiteid, mille saate oma klientrakendusest ID-s Microsoft Entra alla laadida. Saate vastus, mida saab kasutada järgmiste API-kõnede Power Platform tegemiseks.
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Kasutage järgnevates access_token väärtuste kõnedel Power Platform'i API-t koos autoriseerimise HTTP päist. Nagu eespool märgitud, ei kasuta teenuse põhivoog rakenduse õigusi ja selle asemel käsitletakse seda praegu administraatorina Power Platform kõigi nende tehtud kõnede puhul.
Seotud sisu
Teenuse põhirakenduse loomine API kaudu (eelversioon)
PowerShell - Looge teenusejuht