Jaa

Pikaopas: Microsoft Entran määrittäminen mukautetulle liittimelle

  • Artikkeli

Tässä oppaassa kuvataan vaiheet Microsoft Entra -sovelluksen määrittämiseksi käytettäväksi Power Queryn mukautetun liittimen kanssa. Suosittelemme, että liittimen kehittäjät tarkistavat Microsoftin käyttäjätietoympäristö käsitteet ennen jatkamista.

Koska sovellustermiä käytetään useissa konteksteissa Microsoft Entra -ympäristössä, tässä oppaassa käytetään seuraavia termejä liittimen ja tietolähteen sovellustunnusten erottamiseen:

  • Asiakassovellus: Microsoft Entra -asiakastunnukset, joita Power Query -liitin käyttää.
  • Resurssisovellus: Microsoft Entra -sovelluksen rekisteröinti päätepisteelle, johon liitin muodostaa yhteyden (eli sinun palvelusi tai tietolähteesi).

Microsoft Entran mukautetun liittimen tuen ottaminen käyttöön sisältää seuraavia:

  • Yhden tai useamman laajuuden määrittäminen liittimen käyttämässä resurssisovelluksessa.
  • Power Query -asiakastunnukset on valtuutettu käyttämään näitä vaikutusalueita.
  • Määritä oikeat Resource arvot ja Scopes liittimen määrityksessä.

Tässä oppaassa oletetaan, että uusi resurssisovellus on rekisteröity Microsoft Entrassa. Kehittäjät, joilla on aiemmin luotu resurssisovellus, voivat siirtyä Laajuuden määrittäminen -osaan.

Muistiinpano

Jos haluat lisätietoja Microsoft Entran käytöstä palvelussasi tai sovelluksessasi, siirry johonkin pika-aloitusoppaaseen.

Rekisteröi resurssisovellus

Tietolähteesi tai ohjelmointirajapintasi päätepiste käyttää tätä resurssisovellusta luottamuksen muodostamiseen palvelusi ja Microsoftin käyttäjätietoympäristö välille.

Rekisteröi uusi resurssisovellus noudattamalla seuraavia ohjeita:

  1. Kirjaudu sisään Microsoft Entra -hallintakeskukseen vähintään pilvipalvelusovelluksen Hallinta järjestelmä.
  2. Siirry kohtaan Käyttäjätietosovellusten>>sovelluksen rekisteröinnit ja valitse Uusi rekisteröinti.
  3. Anna sovelluksen näyttönimi.
  4. Valitse Tuetut tilityypit -kohdassa Tämän organisaatiohakemiston tilit vain , jos päätepiste on käytettävissä vain organisaatiostasi. Valitse minkä tahansa organisaatiohakemiston tilit julkisesti käytettäviä ja monia palveluja varten.
  5. Valitse Rekisteröi.

Sinun ei tarvitse määrittää Uudelleenohjauksen URI-arvoa .

Sovelluksen Yleiskatsaus-sivu tulee näkyviin, kun rekisteröinti on valmis. Pane muistiin hakemiston (vuokraajan) tunnus ja sovelluksen (asiakkaan) tunnusarvot sellaisina kuin niitä käytetään palvelun lähdekoodissa. Määritä, miten voit määrittää uuden sovelluksesi ja hyödyntää sitä noudattamalla yhtä Microsoftin käyttäjätietoympäristö koodimallien oppaista, jotka muistuttavat palveluympäristöäsi ja arkkitehtuuriasi.

Sovellustunnuksen URI:n määrittäminen

Ennen kuin voit määrittää vaikutusalueen päätepisteelle, sinun on määritettävä sovellustunnuksen URI resurssisovelluksellesi. Tätä tunnusta käytetään Resource liittimesi tietueen Aad kentässä. Arvoksi on määritetty palvelusi URL-pääosoite. Voit myös käyttää Microsoft Entran api://{clientId} oletusarvoista luomaa - missä {clientId} on resurssisovelluksesi asiakastunnus.

  1. Siirry resurssisovelluksen Yleiskatsaus-sivulle .
  2. Valitse keskimmäisen näytön Essentials-kohdasta Lisää sovellustunnuksen URI.
  3. Anna URI tai hyväksy oletusarvo sovellustunnuksesi perusteella.
  4. Valitse Tallenna ja jatka.

Tämän oppaan esimerkeissä oletetaan, että käytät oletusarvoista Sovellustunnuksen URI-muotoa (esimerkiksi - api://44994a60-7f50-4eca-86b2-5d44f873f93f).

Vaikutusalueen määrittäminen

Alueiden avulla määritetään käyttöoikeudet tai ominaisuudet, joiden avulla voit käyttää ohjelmointirajapintoja tai tietoja palvelussasi. Tuettujen vaikutusalueiden luettelo on palvelukohtainen. Haluat määrittää liittimesi vaatiman vähimmäisaluejoukon. Sinun on valtuutettava vähintään yksi Laajuus Power Query -asiakastunnuksille.

Jos resurssisovellukseesi on jo määritetty vaikutusalueita, voit siirtyä seuraavaan vaiheeseen.

Jos palvelussasi ei käytetä vaikutusalueeseen perustuvia käyttöoikeuksia, voit silti määrittää yhden vaikutusalueen, jota liitin käyttää. Voit käyttää tätä vaikutusaluetta palvelukoodissasi tulevaisuudessa (valinnaisesti).

Tässä esimerkissä määrität yksittäisen vaikutusalueen nimeltä Data.Read.

  1. Siirry resurssisovelluksen Yleiskatsaus-sivulle .
  2. Valitse Hallinta-kohdassa Paljasta ohjelmointirajapinta > Lisää vaikutusalue.
  3. Kirjoita Alueen nimi -kohtaan Data.Read.
  4. Jos Ken voi antaa suostumuksensa, valitse Hallinta s ja käyttäjät -vaihtoehto.
  5. Täytä jäljellä olevat näyttönimi- ja kuvausruudut.
  6. Varmista, että Tila-kohdan asetuksena on Käytössä.
  7. Valitse Lisää vaikutusalue.

Power Query -asiakassovellusten ennakkovaltuutus

Power Query -liittimet käyttävät kahta eri Microsoft Entra -asiakastunnusta. Näiden asiakastunnuksia varten määritettyjen alueiden ennakkovaltuutus yksinkertaistaa yhteyskokemusta.

Client ID Sovelluksen nimi Käyttänyt
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query for Excel Työpöytäympäristöt
b52893c8-bc2e-47fc-918b-77022b299bbc Power BI:n tietojen päivitys Palveluympäristöt

Power Query -asiakastunnukset ennakkovaltuutetaan seuraavasti:

  1. Siirry resurssisovelluksen Yleiskatsaus-sivulle .
  2. Valitse Hallinta-kohdassa Paljasta ohjelmointirajapinta.
  3. Valitse Lisää asiakassovellus.
  4. Anna jokin Power Query -asiakasohjelman tunnuksista.
  5. Valitse haluamasi Valtuutetut alueet.
  6. Valitse Lisää sovellus.
  7. Toista vaiheet 3 – 6 jokaisen Power Query -asiakastunnuksen kohdalla.

Aad-todennuslajin käyttöönotto liittimessä

Microsoft Entra ID -tuki otetaan käyttöön liittimessäsi lisäämällä Aad todennuslaji liittimesi tietolähdetietueeseen.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

{YourApplicationIdUri} Korvaa arvo sovellustunnuksen URI-arvolla resurssisovelluksellesi, esimerkiksi api://44994a60-7f50-4eca-86b2-5d44f873f93f.

Tässä esimerkissä:

  • AuthorizationUri: Microsoft Entran URL-osoite, jota käytettiin todentamisen työnkulun aloittamiseen. Useimmat liittimet voivat kovakoodata tämän arvon arvoksi https://login.microsoftonline.com/common/oauth2/authorize, mutta se voidaan määrittää myös dynaamisesti, jos palvelusi tukee Azure B2B:tä/vierastilejä. Jos haluat lisätietoja, siirry näytteisiin.
  • Resurssi: Liittimen sovellustunnuksen URI.
  • Laajuus: Voit ottaa kaikki ennalta määritetyt vaikutusalueet automaattisesti käyttöön .oletusalueen avulla. - .default toiminnolla voit muuttaa resurssisovelluksen rekisteröinnin vaadittuja liitinalueita ilman liittimen päivittämistä.

Saat lisätietoja ja vaihtoehtoja Microsoft Entra -tuen määrittämiseen liittimessäsi Microsoft Entra ID -todennuksen mallit -sivulta.

Muodosta liitin uudelleen, niin sinun pitäisi nyt voida suorittaa todentaminen palvelusi avulla Microsoft Entra -tunnuksen avulla.

Vianmääritys

Tässä osiossa kuvataan yleisiä virheitä, joita saatat saada, jos Microsoft Entra -sovellus on määritetty väärin.

Power Query -sovellusta ei ole esivaltuutettu

access_denied: AADSTS650057: Virheellinen resurssi. Asiakas on pyytänyt käyttöoikeutta resurssiin, jota ei ole lueteltu pyydetyissä käyttöoikeuksissa asiakkaan sovelluksen rekisteröinnissä. Asiakkaan sovellustunnus: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query for Excel). Resurssiarvo pyynnöstä: 44994a60-7f50-4eca-86b2-5d44f873f93f. Resurssisovelluksen tunnus: 44994a60-7f50-4eca-86b2-5d44f873f93

Saatat saada tämän virheilmoituksen, jos resurssisovelluksesi ei ole valtuuttanut Power Query -asiakassovelluksia valmiiksi. Esivaltuuta Power Query -asiakastunnukset noudattamalla ohjeita.

Näyttöyhteys orin Aad-tietueesta puuttuu Scope-arvo

access_denied: AADSTS650053: Microsoft Power Query for Excel -sovellus pyysi vaikutusaluetta "user_impersonation", jota ei ole resurssissa "44994a60-7f50-4eca-86b2-5d44f873f93f". Ota yhteyttä sovelluksen toimittajaan.

Power Query pyytää user_impersonation vaikutusaluetta, jos liittimen Aad tietue ei määritä Scope kenttää tai Scope jos arvo on null. Voit ratkaista tämän ongelman määrittämällä Scope arvon liittimessä. .default Käyttöaluetta suositellaan, mutta voit myös määrittää vaikutusalueita liittimen tasolla (esimerkiksi - Data.Read).

Laajuus tai asiakassovellus vaatii järjestelmänvalvojan hyväksynnän

Tarvitset järjestelmänvalvojan hyväksynnän. <vuokraaja> tarvitsee organisaatiosi resurssien käyttöoikeuden, jonka vain järjestelmänvalvoja voi myöntää. Pyydä järjestelmänvalvojaa myöntämään käyttöoikeus tähän sovellukseen, ennen kuin voit käyttää sitä.

Käyttäjä saattaa saada tämän virheen todentamisen työnkulun aikana, jos resurssisovelluksesi edellyttää järjestelmänvalvojan rajoitettuja käyttöoikeuksia tai kun käyttäjän vuokraaja estää nonadmin-käyttäjiä suostumasta uusiin sovelluksen käyttöoikeuspyyntöihin. Voit välttää tämän ongelman varmistamalla, että liittimesi ei edellytä järjestelmänvalvojan rajoittamia vaikutusalueita, ja ennakkovaltuuttamalla Power Query -asiakastunnukset resurssisovelluksellesi.