Considérations sur l’inscription de l’application
ALM Accelerator for Power Platform s’appuie sur les inscriptions d’applications Microsoft Entra pour communiquer avec les services requis. Cet article traite des considérations que vous devez garder à l’esprit et des approches que vous pouvez adopter lorsque vous concevez une stratégie d’inscription d’application pour ALM Accelerator.
Autorisations API requises
Autorisez les inscriptions d’applications pour utiliser les API correspondantes pour que ALM Accelerator puisse communiquer avec les services requis. Les conditions requises pour la communication avec ces services dépendent de la fonctionnalité d’ALM Accelerator.
La table suivante présente les autorisations d’API requises pour les différentes fonctionnalités d’ALM Accelerator.
| Fonctionnalité | Autorisation d’API | Type d’autorisation | Description |
|---|---|---|---|
| Connecteur personnalisé CustomAzureDevOps | Azure DevOps – user_impersonation | Délégué | L’application canevas ALM Accelerator a besoin des autorisations d’API Azure DevOps pour communiquer Azure DevOps. |
| Pipeline Déployer la validation | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Pipeline Déployer la validation | Power Apps Advisor – Analysis.All | Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Pipeline Déployer dans un environnement de test | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à déployer des solutions dans l’environnement de test doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Pipeline Déployer la production | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à déployer des solutions dans l’environnement de production doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Exporter le pipeline de solution | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à exporter des solutions depuis l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Importer le pipeline de solution | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à importer des solutions du contrôle de code source d’Azure Git vers l’environnement des créateurs doit avoir les autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Supprimer le pipeline de solution | Dynamics CRM – user_impersonation | Délégué | Le pipeline visant à supprimer des solutions dans l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
Considérations pour une stratégie d’enregistrement d’application
Dans le cadre de la conception de votre stratégie de création et de gestion des inscriptions d’applications pour ALM Accelerator, tenez compte de la sécurité et de la maintenance.
Principe du moindre privilège
Du point de vue de la sécurité, mettez en place le principe du moindre privilège. Toute inscription d’applications doit avoir les moindres privilèges requis pour effectuer ses opérations nécessaires.
Simplicité de maintenance
Du point de vue de la maintenance, veillez à définir une stratégie impliquant un minimum d’interventions pour entretenir vos inscriptions d’applications et ces services qui les utilisent. Par exemple, l’une des tâches relatives à la maintenance des inscriptions d’applications n’est autre que la rotation de la clé secrète, c’est-à-dire révoquer la clé secrète actuelle pour en créer une autre. Chaque service qui utilise un enregistrement d’application doit être reconfiguré lors de la rotation d’un secret. Plus vous utilisez d’inscriptions d’applications, plus les efforts à fournir pour les tenir à jour sont importants.
Stratégies d’inscription de l’application Azure
Les stratégies d’inscription des applications avec Microsoft Entra ID utilisées par ALM Accelerator vont du très simple au très granulaire.
Une seule application d’enregistrement pour tout
La stratégie la plus simple consiste à créer un enregistrement d’application pour tous vos besoins. Avec cette stratégie, vous utilisez la même inscription d’applications pour le connecteur personnalisé CustomAzureDevOps et toutes les connexions de service Azure DevOps dont vous avez besoin pour accéder à vos environnements Power Platform.
Bien que cette stratégie soit la plus facile à gérer, elle viole le principe du moindre privilège. Un enregistrement d’application dispose des autorisations nécessaires pour effectuer toutes les opérations requises via le connecteur personnalisé et toutes les Azure DevOps connexions de service que vous avez configurées.
| Enregistrement d’application | Autorisation et type d’API | Description |
|---|---|---|
| Inscription d’applications unique à toutes fins utiles | Azure DevOps – user_impersonation – Délégué | L’application canevas ALM Accelerator a besoin des autorisations d’API Azure DevOps pour communiquer Azure DevOps. |
| Inscription d’applications unique à toutes fins utiles | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis les environnements de créateur et à déployer des solutions vers l’environnement de validation, de test et de production doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Inscription d’applications unique à toutes fins utiles | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
Une inscription d’application pour Azure DevOps et un pour Power Platform
Une stratégie plus granulaire consiste à créer une inscription d’application pour le connecteur personnalisé CustomAzureDevOps et une autre pour que les pipelines communiquent avec les environnements Power Platform.
Cette stratégie s’aligne mieux sur le principe du moindre privilège. Seule l’inscription d’applications utilisée pour l’accès du connecteur personnalisé CustomAzureDevOps à l’API Azure DevOps et seules les inscriptions d’applications utilisées pour se connecter à Power Platform sont autorisées à utiliser l’API Power Platform (Dynamics CRM).
| Enregistrement d’application | Autorisation et type d’API | Description |
|---|---|---|
| Inscriptions d’applications pour Azure DevOps | Azure DevOps – user_impersonation – Délégué | L’application canevas ALM Accelerator a besoin des autorisations d’API Azure DevOps pour communiquer Azure DevOps. |
| Inscriptions d’applications pour Power Platform | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis les environnements des créateurs et à déployer des solutions vers l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
Une inscription d’application pour Azure DevOps et plusieurs pour Power Platform
Une stratégie plus granulaire consiste à créer des inscriptions d’applications pour accéder à différents environnements Power Platform. Vous pouvez créer un enregistrement d’application pour chaque environnement auquel vous devez accéder à l’aide des pipelines de ALM Accelerator. Sinon, créez une inscription d’application par projet Power Platform que vous soutenez via ALM Accelerator.
Cette stratégie s’aligne étroitement sur le principe du moindre privilège. Cependant, vous devriez également penser à l’entretien. Assurez-vous de conserver une méthode structurée pour identifier l’enregistrement d’application utilisé pour chaque environnement. Cette information vous sera utile lorsque vous effectuerez la rotation des clés secrètes d’inscription d’applications.
Le tableau suivant montre comment vous pouvez créer des inscriptions d’applications par projet Power Platform visant à restreindre l’accès qu’à l’environnement pertinent.
| Enregistrement d’application | Étendue Power Platform | Autorisation et type d’API | Description |
|---|---|---|---|
| Inscriptions d’applications pour Azure DevOps | Non applicable | Azure DevOps – user_impersonation – Délégué | L’application canevas ALM Accelerator a besoin des autorisations d’API Azure DevOps pour communiquer Azure DevOps. |
| Inscriptions d’applications pour Power Platform | Platform Projet 1 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Projet 1 | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Projet 2 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Projet 2 | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Environnement de développement de créateur 1 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Environnement de développement de créateur 2 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution |
Le tableau suivant montre comment vous pouvez vous aligner davantage sur le principe du moindre privilège en créant des inscriptions d’applications pour chaque environnement Power Platform.
| Enregistrement d’application | Étendue Power Platform | Autorisation et type d’API | Description |
|---|---|---|---|
| Inscriptions d’applications pour Azure DevOps | Non applicable | Azure DevOps – user_impersonation – Délégué | L’application canevas ALM Accelerator a besoin des autorisations d’API Azure DevOps pour communiquer Azure DevOps. |
| Inscriptions d’applications pour Power Platform | Project 1 – Environnement de validation | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Project 1 – Environnement de validation | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Projet 1 – Environnement de test | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Project 1 – Environnement de production | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Project 2 – Environnement de validation | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Project 2 – Environnement de validation | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Projet 2 – Environnement de test | Power Apps Advisor – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser le service Power Apps Advisor afin d’exécuter la tâche du vérificateur de solution. |
| Inscriptions d’applications pour Power Platform | Project 2 – Environnement de production | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à déployer des solutions dans l’environnement de validation doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) pour exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Environnement de développement de créateur 1 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |
| Inscriptions d’applications pour Power Platform | Environnement de développement de créateur 2 | Dynamics CRM – user_impersonation – Délégué | Le pipeline visant à exporter des solutions depuis l’environnement des créateurs doit disposer des autorisations nécessaires pour utiliser l’API Power Platform (Dynamics CRM) afin d’exécuter les opérations de solution. |