Partekatu bidez

Konfiguratu Power Platform-en kudeatutako identitatea Dataverse-ren pluginen edo plug-in-en paketeen

Power Platform managed identity-ek Dataverse pluginak edo plug-in paketeak Azure baliabideekin konektatzeko aukera ematen du, kudeatutako identitatea onartzeko kredentzialen beharrik gabe. Artikulu honek zure inguruneetan kudeatutako identitatea konfiguratzen laguntzen dizu. Power Platform

Aurrebaldintzak

  • Erabiltzaileak esleitutako kudeatutako identitatea (UAMI) edo aplikazioen erregistroa hornitzeko sarbidea duen Azure harpidetza bat.
  • Plugin edo plug-in paketeen tresnak:
  • Pluginaren multzoa sinatzeko baliozko ziurtagiria.

Konfiguratu kudeatutako identitatea

Power Platform-en kudeatutako identitatea Dataverse-ren pluginetarako edo plug-in paketeetarako konfiguratzeko, osatu urrats hauek.

  1. Sortu aplikazio-erregistro berri bat edo erabiltzaileak esleitutako kudeatutako identitate bat.
  2. Konfiguratu federatutako identitate-kredentzialak.
  3. Sortu eta erregistratu Dataverse-ren pluginak edo plug-in paketeak.
    Ziurtatu plug-in-aren multzoa eraikitzen duzula eta plug-in edo plug-in paketea erregistratzen duzula.
  4. Sortu kudeatutako identitate-erregistroa Dataverse-n.
  5. Eman Azure baliabideetarako sarbidea aplikazioari edo erabiltzaileak esleitutako identitate kudeatuari (UAMI).
  6. Balioztatu pluginaren integrazioa.

Sortu aplikazio-erregistro berri bat edo erabiltzaileak esleitutako kudeatutako identitate bat

Erabiltzaileak esleitutako identitate kudeatua edo aplikazio bat sor dezakezu Microsoft Entra IDan, agertoki hauetan oinarrituta.

  • Azure baliabideekin konektatzen den plug-inarekin lotutako aplikazioaren identitatea nahi baduzu, hala nola Azure Key Vault, erabili aplikazioaren erregistroa. Aplikazioaren identitatearekin, Azure politikak aplika ditzakezu Azure baliabideetara sartzen den pluginean.
  • Zerbitzu nagusi batek Azure baliabideetara sartzea nahi baduzu, hala nola Azure Key Vault, erabiltzaileak esleitutako kudeatutako identitatea hornitu dezakezu.

Oharra

Ziurtatu ondorengo IDak harrapatzen dituzula, ondorengo urratsetan erabiltzen dituzun bezala.

  • Aplikazioaren (bezeroaren) IDa
  • maizterraren IDa:

Konfiguratu federatutako identitate-kredentzialak

Kudeatutako identitatea konfiguratzeko, ireki aurreko atalean sortu duzun Azure atarian erabiltzaileak esleitutako kudeatutako identitatea edo Microsoft Entra ID aplikazioa.

  1. Joan Azure atarira.
  2. Joan Microsoft Entra ID atalera.
  3. Hautatu aplikazioen erregistroak.
  4. Ireki Kudeatutako identitatea konfiguratu atalean sortu duzun aplikazioa.
  5. Nabigatu ziurtagiriak eta sekretuak.
  6. Hautatu Kredentzial federatuen fitxa, eta hautatu Gehitu kredentziala.
  7. Hautatu jaulkitzailea Beste jaulkitzaile bat gisa.
  8. Ondorengo informazioa sartu:

Issuer

Erabili maizterraren v2.0 jaulkitzailea:

https://login.microsoftonline.com/{tenantID}/v2.0

Adibidea

https://login.microsoftonline.com/5f8a1a9f-2e1a-415f-b10c-84c3736a21b9/v2.0

Mota

Aukeratu Gaiaren identifikatzaile esplizitua.

Subjektuaren identifikatzailea

Aukeratu ziurtagiri motarekin bat datorren formatua:

  • Auto-sinatutako ziurtagiria (garapena soilik):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/h/{hash}

  • Jaulkitzaile fidagarriaren ziurtagiria (ekoizpenerako gomendagarria):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/i/{issuer}/s/{certificateSubject}

Segmentuaren erreferentzia

Segmentua Deskribapena
eid1color Identitate-formatuaren bertsioa
c / pub Hodeiko kodea hodei publikorako, Gobernu Komunitateko Hodeia (GCC) eta GCCko lehen argitalpen-estazioa.
t/{encodedTenantId} maizterraren IDa:
a/qzXoWDkuqUa3l6zM5mM0Rw/ Barne-erabilera soilik. Ez aldatu.
n/plugina Pluginaren osagaia
e/{environmentId} Ingurunearen IDa
h/{hash} SHA-256 ziurtagiria (auto-sinatua soilik)
I/{jaulkitzailea}
s/{ziurtagiria}		 Jaulkitzaile fidagarriaren xehetasunak

Sortu autosinatutako ziurtagiria

Plugin bakoitzak identitate egiaztagarria izan behar du, eta sinadura ziurtagiriak plug-inaren hatz-marka bakarra bezala jokatzen du. Ondorengo kodea PowerShell-en zati adibide bat da, garapen edo proba agertokietarako autosinatutako ziurtagiri bat sortzeko erabil dezakezuna. Erreferentzia gisa, 3. adibidea jarrai dezakezu.

 $params = @{
     Type = 'Custom'
     Subject = 'E=admin@contoso.com,CN=Contoso'
     TextExtension = @(
         '2.5.29.37={text}1.3.6.1.5.5.7.3.4',
         '2.5.29.17={text}email=admin@contoso.com' )
     KeyAlgorithm = 'RSA'
     KeyLength = 2048
     SmimeCapabilities = $true
     CertStoreLocation = 'Cert:\CurrentUser\My'
 }
 New-SelfSignedCertificate @params

Oharra

Kodeketa {encodedTenantId}

  1. Bihurtu GUID → hamaseitara.
  2. Bihurtu hex → Base64URL (ez Base64 estandarra).

Auto-sinatutako hash-a

  • Kalkulatu SHA-256.cer. .pfx bat baduzu, esportatu .cer lehenik:
    CertUtil -hashfile <CertificateFilePath> SHA256

$cert = Get-PfxCertificate -FilePath "path	o\your.pfx"
$cert.RawData | Set-Content -Encoding Byte -Path "extracted.cer"

Azure hodeiko ingurune espezializatuak

Ezarri audientzia, jaulkitzailearen URLa eta gaiaren aurrizkia esplizituki hodei publikotik kanpo, GCC eta GCCko lehen argitalpen-estaziotik kanpo hedatzean:

Hodeia Jarraitzaileak Jaulkitzailearen URLa Subjektuaren aurrizkia
GCC Goiak eta DoD api://AzureADTokenExchangeUSGov https://login.microsoftonline.us /eid1/c/usg
Mooncake (Txina) api://AzureADTokenExchangeChina https://login.partner.microsoftonline.cn /eid1/c/chn
Estatu Batuetako Nazionalitatea (USNAT) api://AzureADTokenExchangeUSNat https://login.microsoftonline.eaglex.ic.gov /eid1/c/uss
US Secure (USSec) api://AzureADTokenExchangeUSSec https://login.microsoftonline.scloud /eid1/c/usn

Oharra

Audientzia balioa maiuskulak eta minuskulak bereizten ditu eta zehatz-mehatz bat etorri behar du.
Hodei publikorako, GCC eta GCCko (eta zerrendatu gabeko beste hodei batzuen lehen argitalpen-estazioetarako), lehenetsiak hauek dira:
Audientzia api://AzureADTokenExchange, Jaulkitzailea https://login.microsoftonline.com, Gaiaren aurrizkia /eid1/c/pub.

Sortu eta erregistratu Dataverse-ren pluginak edo plugin-paketeak

Eraiki plugin multzoa

Paketatzea eta sinatzea

Plugin-pakete bat sinatzea

Plug-in pakete bat eraikitzen ari bazara, erabili NuGet Sign CLI .nuspec edo .csproj fitxategi batetik pakete bat sortzeko. Paketea sortu ondoren, sinatu zure ziurtagiriarekin.

 nuget sign YourPlugin.nupkg `
   -CertificatePath MyCert.pfx `
   -CertificatePassword "MyPassword" `
   -Timestamper http://timestamp.digicert.com

Pluginaren multzoa sinatzea

Plugin bat erregistratzen ari bazara, sinatu DLL ziurtagiri batekin, SignTool.exe (Sinatzeko tresna) erabiliz.

signtool sign /f MyCert.pfx /p MyPassword /t http://timestamp.digicert.com /fd SHA256 MyAssembly.dll

Aukeran, denbora-zigilua gehi dezakezu RFC 3161 bateragarria den denbora-zigilu-zerbitzari baten URLa emanez.

Oharra

Erabili autosinatutako ziurtagiria garapen edo proba helburuetarako soilik. Ez erabili autosinatutako ziurtagiririk produkzio-inguruneetan.

Erregistratu plugina

Sortu kudeatutako identitate-erregistroa hemen: Dataverse

Dataverse-n kudeatutako identitate-erregistro bat hornitzeko, bete urrats hauek.

  1. Sortu identitate kudeatu bat HTTP POST eskaera bidaliz REST bezero batekin (adibidez, Insomnia). Erabili URLa eta eskaeraren gorputza formatu honetan.

    POST https://<<orgURL>>/api/data/v9.0/managedidentities

    Ziurtatu orgURL erakundearen URLarekin ordezkatzen duzula.

  2. Ziurtatu credentialsource2 gisa ezarrita dagoela karga erabilgarrian, subjectscope1 gisa ezarrita dagoela ingurunearen eszenatoki espezifikoetarako eta version 1 gisa ezarrita dagoela karga erabilgarrian.

    Karga erabilgarriaren adibidea

    {
  "applicationid": "<<appId>>", //Application Id, or ClientId, or User Managed Identity
  "managedidentityid": "<<anyGuid>>",
  "credentialsource": 2, // Managed client
  "subjectscope": 1, //Environment Scope
  "tenantid": "<<tenantId>>", //Entra Tenant Id
  "version": 1
}

  3. Eguneratu plugin-paketea edo plug-in-en muntaketa-erregistroa, HTTP PATCH eskaera bat bidaliz 1. urratsean sortutako identitate kudeatuarekin lotzeko.

    Pluginaren muntaia

    PATCH https://<<orgURL>>/api/data/v9.0/pluginassemblies(<<PluginAssemblyId>>)

    Plug-in paketea

    PATCH https://<<orgURL>>/api/data/v9.0/pluginpackages(<<PluginPackageId>>)

    Karga erabilgarriaren adibidea

    {
  "managedidentityid@odata.bind": "/managedidentities(<<ManagedIdentityGuid>>)"
}

    Ziurtatu orgURL, PluginAssemblyId (edo PluginPackageId) eta ManagedIdentityGuid balioekin ordezkatzen dituzula.

Eman Azure baliabideetarako sarbidea aplikazioari edo erabiltzaileak esleitutako kudeatutako identitateari

Azure baliabideetara sartzeko aplikazio ID baterako sarbidea eman behar baduzu, hala nola Azure Key Vault, eman aplikaziorako sarbidea edo erabiltzaileak esleitutako nortasun kudeatua baliabide horri.

Balioztatu pluginaren integrazioa

Egiaztatu zure pluginak kudeatutako identitatea onartzen duten Azure baliabideetarako sarbidea modu seguruan eska dezakeela, kredentzial bereizien beharra ezabatuz.

Ohiko galderak

Nola konpondu dezaket errore hau?

Errore hau jasotzen baduzu:
Errorea lortzea: konfigurazio arazo batek autentifikazioa eragozten du.
AADSTS700213: Ez da bat datorren identitate federatuaren erregistrorik aurkitu

Arazoa konpontzeko urrats hauek bete behar dituzu:

  1. Ziurtatu FIC ongi konfiguratuta eta gorde dela.

  2. Egiaztatu jaulkitzailea/subjektua lehenago zehaztutako formatuarekin bat datorrela.

    Errore-pilan espero den formatua ere aurki dezakezu.

Nola konpondu dezaket "Ezin da Power Platform-era iritsi edo hara konektatu" errorea?

Ikus Power Platform-eko URLak eta IP helbide-barrutiak Power Platform-eko amaiera-puntuak eskuragarri eta baimendutako zerrendan daudela ziurtatzeko.

  • Last updated on