Partager via

Déployer des pipelines en tant que principal de service ou propriétaire de pipeline

  • Article

Les déploiements délégués peuvent être exécutés en tant que principal de service ou propriétaire d’étape de pipeline. Lorsqu’elle est activée, l’étape de pipeline se déploie en tant que délégué (principal du service ou propriétaire de l’étape de pipeline) au lieu du créateur demandeur.

Déployer avec un principal de service

Conditions préalables

  • Un compte utilisateur Microsoft Entra. Si vous n’en avez pas, vous pouvez créer un compte gratuitement.
  • L’un des rôles suivants : Application cloud Administrateur ou Application Administrateur. Microsoft Entra
  • Vous devez être le propriétaire de l’application d'entreprise (principal de service) dans Microsoft Entra ID.

Pour un déploiement délégué avec un principal de service, procédez comme suit.

  1. Créez une application d’entreprise (principal de service) dans Microsoft Entra ID.

    Important

    Toute personne activant ou modifiant les configurations du principal de service dans les pipelines doit être un propriétaire de l’application d’entreprise (principal de service) dans Microsoft Entra ID.

  2. Ajoutez l’application d’entreprise en tant qu’utilisateur de serveur à serveur (S2S) dans votre environnement hôte de pipelines et dans chaque environnement cible dans lequel elle est déployée.

  3. Attribuez le rôle de sécurité Administrateur du pipeline de déploiement à l’utilisateur S2S dans l’hôte des pipelines et le rôle de sécurité Administrateur système dans les environnements cibles. Les rôles de sécurité à autorisation inférieure ne peuvent pas déployer de plug-ins ni d’autres composants de code.

  4. Choisissez (cochez) Déploiement délégué sur une étape de pipeline, sélectionnez Principal du service et saisissez l’ID client. Sélectionnez Enregistrer.

  5. En option, autorisez les demandes de partage afin que les demandeurs de déploiement puissent spécifier quels groupes de sécurité peuvent accéder aux objets déployés dans la cible Terminé. Les demandes de partage font partie de la demande de déploiement et peuvent être approuvées ou rejetées.

Important

Les approbateurs de déploiement sont responsables d’examiner attentivement les informations de partage et rôle de sécurité. Lorsqu’un déploiement est approuvé, les pipelines attribuent automatiquement des autorisations à l’aide de l’identité du principal du service de déploiement.
>

  1. Créez un flux de cloud dans l’environnement hôte des pipelines. Des systèmes alternatifs peuvent être intégrés à l’aide des API Microsoft Dataverse des pipelines.

  2. Sélectionnez le déclencheur OnApprovalStarted.

  3. Ajoutez des étapes pour la logique personnalisée souhaitée.

  4. Insérez une étape d’approbation. Utilisez le contenu dynamique pour envoyer des informations de demande de déploiement aux approbateurs.

  5. Insérez une condition.

  6. Créez une connexion Dataverse pour le principal de service. Un ID client et un secret sont nécessaires.

  7. Ajoutez Dataverse Effectuer une action indépendante en utilisant les paramètres indiqués ici.
    Nom de l’action : UpdateApprovalStatus ApprovalComments : insérer du contenu dynamique. Les commentaires sont visibles par le demandeur du déploiement. ApprovalStatus : 20 = approuvé, 30 = rejeté ApprovalProperties : insérer du contenu dynamique. Informations d’administration accessibles depuis l’hôte des pipelines.

    Important

    L’action UpdateApprovalStatus doit utiliser la connexion du principal du service.

    Se connecter au principal de service

    Astuce

    Pour améliorer l’expérience de débogage, sélectionnez ApprovalProperties et insérez workflow() dans le menu de contenu dynamique. Cela relie l’exécution de flux à l’exécution de l’étape du pipeline (historique des exécutions).

  8. Enregistrez, puis testez le pipeline.

Voici une capture d’écran d’un flux d’approbation canonique.

Flux d’approbation canonique

Déployer en tant que propriétaire de l’étape du pipeline

Les utilisateurs réguliers, y compris ceux utilisés comme comptes de service, peuvent également servir de délégués. La configuration est plus simple que celle des principaux de service, mais les solutions contenant des références de connexion pour les connexions oAuth ne peuvent pas être déployées.

Pour déployer en tant que propriétaire de l’étape du pipeline, procédez comme suit.

  1. Attribuez le rôle de sécurité Administrateur du pipeline de déploiement au propriétaire de l’étape du pipeline dans l’hôte des pipelines et attribuez le rôle de sécurité Administrateur système dans les environnements cibles.

    Les rôles de sécurité à autorisation inférieure ne peuvent pas déployer de plug-ins ni d’autres composants de code.

  2. Connectez-vous en tant que propriétaire de la phase du pipeline Seul le propriétaire peut activer ou modifier ces paramètres. Une propriété d’équipe n’est pas autorisée.

  3. Sélectionnez Est un déploiement de type délégué sur une phase du pipeline, puis sélectionnez Propriétaire de la phase.

    • L’identité du propriétaire de la phase du pipeline est utilisée pour tous les déploiements dans cette phase.
    • De même, cette identité doit être utilisée pour approuver les déploiements.

  4. Créez un flux de cloud dans une solution dans l’environnement hôte des pipelines.

    1. Sélectionnez le déclencheur OnApprovalStarted.
    2. Insérez les actions comme vous le souhaitez. Par exemple, une approbation.
    3. Ajoutez Dataverse Effectuer une action non liée.
      Nom de l’action : UpdateApprovalStatus (20 = terminé, 30 = rejeté)

Exemples de déploiement délégué

Important

Les fonctionnalités fournies dans ces exemples sont désormais prises en charge nativement dans le produit, mais ces exemples peuvent fournir des informations sur l’extension des fonctionnalités de partage natives.

Ce téléchargement contient des exemples de flux de cloud pour gérer les approbations et partager des applications canevas et des flux déployés dans l’environnement cible. Télécharger un exemple de solution

Téléchargez et importez la solution gérée dans l’environnement hôte de vos pipelines. La solution peut ensuite être personnalisée pour répondre aux besoins de votre organisation.

Questions fréquentes

Comment les créateurs peuvent-ils accéder aux objets déployés dans les environnements cibles ?

Le partage pendant le déploiement est une capacité native des déploiements délégués avec des principaux de service. Cela évite aux administrateurs de devoir attribuer manuellement des rôles de sécurité et des applications, des flux, des copilotes, etc. déployés par Partager, dans le Power Platform environnement. Au lieu de cela, les administrateurs doivent simplement approuver la demande de déploiement et le partage est effectué automatiquement par le système.

Quels types d’objets peuvent être partagés lors du déploiement ?

Actuellement, les rôles de sécurité, les applications canevas et les flux cloud sont pris en charge. Le partage de copilote peut également être disponible selon votre région.

Quelles autorisations sont attribuées aux applications et aux flux de canevas ?

Pipelines attribue les privilèges minimaux requis pour exécuter des applications et des flux. Si des privilèges plus élevés sont souhaités, les pipelines peuvent être étendus. Nous vous recommandons d’activer la fonctionnalité "Bloquer les personnalisations non gérées" lors de l’attribution d’autorisations supérieures.

Les créateurs peuvent-ils Partager avec des utilisateurs individuels ?

Actuellement non. Nous vous recommandons de gérer l’accès individuel des utilisateurs via des groupes de sécurité après le premier déploiement de l’objet.

Je reçois une erreur La phase de déploiement n’est pas propriétaire du principal de service (<AppId>). Seuls les propriétaires du principal de service peuvent l’utiliser pour les déploiements délégués.

Assurez-vous d’être le propriétaire de l’application d’entreprise (principal de service) dans Microsoft Entra ID (anciennement Azure AD). Vous n’êtes peut-être que le propriétaire de l’enregistrement de l’application, et non de l’application d’entreprise.

Applications d’entreprise

Pour les déploiements délégués basés sur le propriétaire de la phase, pourquoi ne puis-je pas affecter un autre utilisateur comme déployeur ?

Pour des raisons de sécurité, vous devez vous connecter en tant qu’utilisateur qui sera défini comme propriétaire de la phase du pipeline. Cela empêche l’ajout d’un utilisateur non consentant comme déployeur.

Pour les déploiements délégués basés sur le propriétaire d’étape, puis-je utiliser un fichier DeploymentSettings.json personnalisé ?

Pas actuellement dans l’expérience du créateur.

Pourquoi mes déploiements délégués sont-ils bloqués dans un état en attente ?

Tous les déploiements délégués sont en attente jusqu’à leur approbation. Assurez-vous que votre administrateur a configuré un flux d’approbation Power Automate ou une autre automatisation, qu’il fonctionne correctement et que le déploiement a été approuvé.

À qui appartiennent les objets de solution déployés ?

L’identité de déploiement. Pour les déploiements délégués, le propriétaire est le principal de service délégué ou le propriétaire de la phase du pipeline.

Puis-je ajouter des étapes d’approbation personnalisées ?

Oui. Par exemple, les approbations Power Automate peuvent être personnalisées pour répondre aux besoins de votre organisation. Vous pouvez également intégrer d’autres systèmes d’approbation.

Pourquoi dois-je posséder le principal du service ?

Ceci est appliqué pour des raisons de sécurité. Vous pouvez également créer des pipelines à l’aide d’un compte de service et ajouter le même compte de service que propriétaire. Une autre option consiste à affecter le principal du service (utilisateur de l’application) comme propriétaire de l’étape du pipeline et comme propriétaire de lui-même (application d’entreprise) Microsoft Entra. Cependant, l’attribution de la propriété de l’étape du pipeline à une application doit être effectuée via l’API dans l’hôte des pipelines. Dataverse

Je reçois une erreur Les déploiements délégués de type « ServicePrincipal » ne peuvent être approuvés ou rejetés que par le principal de service configuré dans la phase de déploiement.

Assurez-vous que l’action personnalisée UpdateApprovalStatus de Dataverse est appelée par le principal de service. Si vous utilisez les approbations Power Automate, assurez-vous que cette action est configurée pour utiliser la connexion du principal de service délégué.

Je reçois une erreur Les déploiements délégués de type « Owner » ne peuvent être approuvés ou rejetés que par le propriétaire de la phase de déploiement.

Assurez-vous que l’action personnalisée UpdateApprovalStatus de Dataverse est appelée par le propriétaire de la phase du pipeline. Si vous utilisez les approbations Power Automate, assurez-vous que cette action est configurée pour utiliser la connexion du propriétaire de la phase du pipeline.

Je reçois une erreur dans mon processus d’approbation Impossible de trouver l’attribut de statut d’approbation pour l’enregistrement d’exécution de la phase.

Cela se produit lorsque le statut d’approbation n’est pas encore à l’état en attente. Assurez-vous qu’il s’agit d’un déploiement délégué et que vous utilisez le déclencheur OnApprovalStarted dans votre processus d’approbation.

Puis-je utiliser différents principaux de service pour différents pipelines et phases ?

Oui.