Jaa

Power Platformin hallitsemien käyttäjätietojen määrittäminen Dataverse-laajennuksia tai laajennuspaketteja varten

Power Platformin hallitut käyttäjätiedot mahdollistavat Dataverse-laajennukset tai laajennukset yhteyden muodostamiseksi Azure-resursseihin hallittujen käyttäjätietojen tukemiseksi ilman tunnistetietoja. Tämän artikkelin avulla voit määrittää hallitut käyttäjätiedot Power Platform -ympäristöissäsi.

Edellytykset

  • Azure-tilaus, joka sisältää oikeuden valmistella käyttäjän määrittämiä hallittuja käyttäjätietoja (UAMI) tai sovelluksen rekisteröinti.
  • Laajennukset- ja laajennuspakettien työkalut:
  • Kelvollinen varmenne liitännäisen koontiversion allekirjoittamiseen.

Hallittujen käyttäjätietojen määrittäminen

Jos haluat määrittää Power Platformin hallitut käyttäjätiedot Dataverse-laajennuksia tai laajennuspaketteja varten, suorita seuraavat vaiheet.

  1. Luo uusi sovellusrekisteröinti tai käyttäjän määrittämät hallitut käyttäjätiedot.
  2. Määritä yhdistetyt käyttäjätunnistetiedot.
  3. Luo ja rekisteröi Dataverse-laajennuksia tai laajennuspaketteja.
    Muista luoda laajennuskokoonpano ja rekisteröidä laajennus- tai laajennuspaketti.
  4. Luo hallittu käyttäjätietotietue Dataversessa.
  5. Anna azure-resurssien käyttöoikeus sovellukseen tai käyttäjän määrittämiin hallittuihin käyttäjätietoihin (UAMI).
  6. Laajennuksen integroinnin tarkistaminen.

Luo uusi sovellusrekisteröinti tai käyttäjän määrittämät hallitut käyttäjätiedot

Voit luoda joko käyttäjän määrittämät hallitut käyttäjätiedot tai sovelluksen Microsoft Entra -tunnuksella seuraavien skenaarioiden perusteella.

  • Jos haluat Azure-resursseihin, kuten Azure Key Vaultiin, yhdistettyyn laajennukseen liittyvät sovelluksen käyttäjätiedot, käytä sovelluksen rekisteröintiä. Sovelluksen käyttäjätietojen avulla voit käyttää Azure-käytäntöjä laajennuksessa, joka käyttää Azure-resursseja.
  • Jos haluat palvelun päänimen käytettävän Azure-resursseja, kuten Azure Key Vaultia, voit valmistella käyttäjän määrittämät hallitut käyttäjätiedot.

Muistiinpano

Muista siepata seuraavat tunnukset, kuten käytät niitä myöhemissä vaiheissa.

  • Sovelluksen (asiakkaan) tunnus
  • Vuokraajatunnus

Määritä yhdistetyt käyttäjätunnistetiedot

Jos haluat määrittää hallittuja käyttäjätietoja, avaa käyttäjän määrittämät hallitut käyttäjätiedot tai Microsoft Entra ID -sovellus edellisessä osassa luomassasi Azure-portaalissa.

  1. Siirry Azure-portaaliin.
  2. Siirry kohtaan Microsoft Entra ID.
  3. Valitse Sovelluksen rekisteröinnit.
  4. Avaa Määritä hallitut käyttäjätiedot -kohdassa luomasi sovellus.
  5. Siirry kohtaan Varmenteet ja salaisuudet.
  6. Valitse Liitettyjen tunnistetietojen välilehti ja valitse Lisää tunnistetiedot.
  7. Valitse myöntäjäksi Muu myöntäjä.
  8. Anna seuraavat tiedot:

Myöntäjä

Käytä vuokraajan v2.0-myöntäjää:

https://login.microsoftonline.com/{tenantID}/v2.0

Esimerkki

https://login.microsoftonline.com/5f8a1a9f-2e1a-415f-b10c-84c3736a21b9/v2.0

Laji

Valitse eksplisiittinen aihetunniste.

Aiheen tunnus

Valitse varmennetyyppiäsi vastaava muoto:

  • Itse allekirjoitettu varmenne (vain kehityskäyttöön):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/h/{hash}

  • Luotetun myöntäjän varmenne (suositellaan tuotantoon):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/i/{issuer}/s/{certificateSubject}

Segmenttiviittaus

Segmentti Description
eid1 Tunnusmuodon versio
c/pub Julkisen pilvipalvelun, Government Community Cloudin (GCC) ja GCC:n ensimmäisen julkaisuaseman pilvipalvelukoodi.
t/{encodedTenantId} Vuokraajatunnus
a/qzXoWDkuqUa3l6zM5mM0Rw/ Vain sisäiseen käyttöön. Älä muokkaa.
n/liitännäinen Laajennusosa
e/{environmentId} Ympäristön tunnus
h/{hash} SHA-256-varmenne (vain itse allekirjoitettu)
i/{issuer}
s/{certificateSubject}		 Luotetun myöntäjän tiedot

Luo itse allekirjoitettu varmenne

Jokaisella laajennuksella on oltava todennettavissa olevat käyttäjätiedot, ja allekirjoitusvarmenne toimii laajennuksen yksilöllisenä sormenjäljenä. Seuraava koodi on PowerShell-mallikatkelmia, jonka avulla voit luoda itse allekirjoitetun varmenteen kehitys- tai testausskenaarioita varten. Voit viitata esimerkkiin 3.

 $params = @{
     Type = 'Custom'
     Subject = 'E=admin@contoso.com,CN=Contoso'
     TextExtension = @(
         '2.5.29.37={text}1.3.6.1.5.5.7.3.4',
         '2.5.29.17={text}email=admin@contoso.com' )
     KeyAlgorithm = 'RSA'
     KeyLength = 2048
     SmimeCapabilities = $true
     CertStoreLocation = 'Cert:\CurrentUser\My'
 }
 New-SelfSignedCertificate @params

Muistiinpano

Koodaus kohteelle {encodedTenantId}

  1. Muunna GUID→ heksa.
  2. Muunna heksa → Base64URL (ei vakiomuotoinen Base64).

Itse allekirjoitettu hajautus

  • Laske SHA-256-tiedostolle .cer. Jos sinulla on .pfx-tiedosto, vie .cer ensin: 
    CertUtil -hashfile <CertificateFilePath> SHA256

$cert = Get-PfxCertificate -FilePath "path	o\your.pfx"
$cert.RawData | Set-Content -Encoding Byte -Path "extracted.cer"

Erityiset Azure-pilviympäristöt

Määritä Kohderyhmä-, Myöntäjän URL-osoite- ja Aihe-etuliite eksplisiittisesti, kun otat käyttöön julkisen pilvipalvelun, GCC:n ja GCC:n ensimmäisen julkaisuaseman:

Pilvi Yleisö Myöntäjän URL-osoite Aiheen etuliite
GCC High ja DoD api://AzureADTokenExchangeUSGov https://login.microsoftonline.us /eid1/c/usg
Mooncake (Kiina) api://AzureADTokenExchangeChina https://login.partner.microsoftonline.cn /eid1/c/chn
Yhdysvaltain kansallinen (USNAT) api://AzureADTokenExchangeUSNat https://login.microsoftonline.eaglex.ic.gov /eid1/c/uss
US Secure (USSec) api://AzureADTokenExchangeUSSec https://login.microsoftonline.scloud /eid1/c/usn

Muistiinpano

Yleisö-arvon kirjainkoolla on merkitystä, ja sen on vastattava täydellisesti.
Julkisen pilvipalvelun, GCC:n ja GCC:n ensimmäisen julkaisuaseman (ja muiden listaamattomien pilvipalveluiden) oletusasetukset ovat seuraavat:
Kohderyhmä api://AzureADTokenExchange, Liikkeeseenlaskija https://login.microsoftonline.com, Aiheen etuliite /eid1/c/pub.

Luo ja rekisteröi Dataverse-laajennuksia tai laajennuspaketteja

Luo laajennuskokoonpano

Pakkaaminen ja allekirjoittaminen

Laajennuspaketin allekirjoittaminen

Jos olet luomassa laajennuspakettia, luo paketti joko .nuspec- tai .csproj-tiedostosta NuGet-merkin komentorivikäyttöliittymän avulla. Kun olet luonut paketin, allekirjoita se varmenteellasi.

 nuget sign YourPlugin.nupkg `
   -CertificatePath MyCert.pfx `
   -CertificatePassword "MyPassword" `
   -Timestamper http://timestamp.digicert.com

Liitännäisen kokoonpanon allekirjoittaminen

Jos olet rekisteröimässä laajennusta (kokoonpanoa), allekirjoita DLL varmenteella käyttämällä SignTool.exe (Sign Tool).

signtool sign /f MyCert.pfx /p MyPassword /t http://timestamp.digicert.com /fd SHA256 MyAssembly.dll

Voit halutessasi lisätä aikaleiman antamalla RFC 3161 -yhteensopivan aikaleimapalvelimen URL-osoitteen.

Muistiinpano

Käytä itse allekirjoitettua varmennetta vain kehitys- tai testaustarkoituksiin. Älä käytä itse allekirjoitettuja varmenteita tuotantoympäristössä.

Laajennuksen rekisteröiminen

Luo hallitun identiteetin tietue Dataversessa

Jos haluat valmistella hallitun käyttäjätietotietueen Dataverse-funktiossa, suorita seuraavat vaiheet.

  1. Luo hallitut käyttäjätiedot lähettämällä HTTP POST -pyyntö REST-asiakkaan kanssa (kuten Insomnia). Käytä URL-osoitetta ja pyynnön runkoa seuraavassa muodossa.

    POST https://<<orgURL>>/api/data/v9.0/managedidentities

    Muista korvata orgURL organisaation URL-osoitteella.

  2. Varmista, että tietolähteessä tunnistetietolähteeksi on määritetty 2 , ympäristökohtaisissa skenaarioissa subjectscope-ominaisuudeksi1 ja hyötykuorman versioksi 1.

    Näytteen tietosisältö

    {
  "applicationid": "<<appId>>", //Application Id, or ClientId, or User Managed Identity
  "managedidentityid": "<<anyGuid>>",
  "credentialsource": 2, // Managed client
  "subjectscope": 1, //Environment Scope
  "tenantid": "<<tenantId>>", //Entra Tenant Id
  "version": 1
}

  3. Päivitä laajennuspaketti- tai laajennuskokoonpanotietuetta myöntämällä HTTP PATCH -pyyntö sen liittämään se vaiheessa 1 luotuihin hallittuihin käyttäjätietoihin.

    Laajennuskokoonpano

    PATCH https://<<orgURL>>/api/data/v9.0/pluginassemblies(<<PluginAssemblyId>>)

    Laajennuspaketti

    PATCH https://<<orgURL>>/api/data/v9.0/pluginpackages(<<PluginPackageId>>)

    Näytteen tietosisältö

    {
  "managedidentityid@odata.bind": "/managedidentities(<<ManagedIdentityGuid>>)"
}

    Muista korvata arvoillasi orgURL, PluginAssemblyId (tai PluginPackageId) ja ManagedIdentityGuid .

Myönnä Azure-resurssien käyttöoikeus sovellukselle tai käyttäjän määrittämälle hallitulle identiteetille

Jos sinun on annettava käyttöoikeus sovellustunnukseen Azure-resurssien, kuten Azure Key Vaultin, käyttämistä varten, myönnä käyttöoikeus sovellukseen tai käyttäjän määrittämät hallitut käyttäjätiedot kyseiseen resurssiin.

Laajennuksen integroinnin tarkistaminen

Varmista, että laajennus voi turvallisesti pyytää pääsyä Azure-resursseihin, jotka tukevat hallittuja käyttäjätietoja, jolloin erillisiä tunnistetietoja ei tarvita.

Usein kysytyt kysymykset

Miten tämä virhe ratkaistaan?

Jos näyttöön tulee seuraava virhe:
Virheen hakeminen – Määritysongelma estää todentamisen.
AADSTS700213: Vastaavaa yhdistettyä käyttäjätietotietuetta ei löytynyt

Ratkaise ongelma suorittamalla seuraavat vaiheet:

  1. Varmista, että FIC on määritetty ja tallennettu oikein.

  2. Varmista, että myöntäjä/aihe vastaa aiemmin määritettyä muotoa.

    Löydät myös odotetun muodon virhepinosta.

Miten voin ratkaista "Yhteyden muodostaminen Power Platformiin ei onnistu" -virheen?

Tutustu Power Platformin URL-osoitteisiin ja IP-osoitealueisiin varmistaaksesi, että Power Platform -päätepisteet ovat tavoitettavissa ja sallittuja.

  • Last updated on