Compartir por

Autenticación (versión preliminar)

  • Artigo

Este artigo ofrece unha visión xeral da Microsoft Entra configuración para chamar Power Platform API (versión preliminar). Para acceder aos recursos dispoñibles mediante Power Platform API, debes obter un token de portador de Microsoft Entra e envialo como cabeceira xunto con cada solicitude. Dependendo do tipo de identidade que estea a admitir (usuario e principal de servizo), existen diferentes fluxos para obter este token de portador, como se describe neste artigo.

Son necesarios os seguintes pasos para obter un token de portador cos permisos correctos:

  1. Crea un rexistro de solicitude no teu Microsoft Entra inquilino
  2. Configurar permisos de API
  3. Configurar cliente público (opcional)
  4. Configurar certificados e segredos (opcional)
  5. Solicitar un token de acceso

Paso 1. Crear un modelo de rexistro de aplicación

Navega ata a páxina Microsoft Entra rexistro da aplicación e crea un novo rexistro. Déalle un nome á aplicación e asegúrese de seleccionar a opción Arrendatario único . Pode omitir a configuración do URI de redirección.

Paso 2. Configurar permisos de API

Dentro do seu novo rexistro de aplicación, desprácese ata o separador Xestionar: Permisos da API. Na sección Configurar permisos, seleccione Engadir un permiso. Na xanela de diálogo que se abre, seleccione o separador API que usa a miña organización e logo busque API de Power Platform. É posible que vexa varias entradas cun nome similar a este, así que asegúrese de usar a que contén o GUID 8578e004-a5c6-46e7-913e-12f58912df43.

Se non ves que a Power Platform API aparece na lista cando buscas por GUID, é posible que aínda teñas acceso a ela pero a visibilidade non se actualice. Para forzar unha actualización execute o seguinte script de PowerShell:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

Desde aquí, debe seleccionar os permisos que necesite. Estes agrúpanse por Namespaces. Dentro dun espazo de nomes, verás tipos de recursos e accións, por exemplo AppManagement.ApplicationPackages.Read , que dan permisos de lectura aos paquetes de aplicacións. Para obter máis información, consulta o noso artigo de referencia de permisos .

Nota

A API de Power Platform só fai uso de permisos delegados neste momento. Para aplicacións que se executan cun contexto de usuario, solicite permisos delegados mediante o parámetro ámbito. Estes permisos delegan os privilexios do usuario que iniciou sesión na súa aplicación, permitíndolle que actúe como usuario ao chamar puntos finais da API de Power Platform.

Para as identidades dos principais de servizo, non se utilizan os permisos das aplicacións. Pola contra, os principais de servizo trátanse como administradores de Power Platform hoxe e deben rexistrarse seguindo PowerShell: crear un principal de servizo.

Despois de engadir os permisos necesarios á aplicación, seleccione Conceder o consentimento do administrador para completar a configuración. Isto é necesario nos casos nos que quere permitir que os usuarios accedan á súa aplicación de inmediato, en lugar de requirir unha experiencia de consentimento interactiva. Se podes admitir o consentimento interactivo, recomendámosche seguir a Microsoft plataforma de identidade e o OAuth fluxo de códigos de autorización 2.0.

Paso 3. Configurar cliente público (opcional)

Se a túa aplicación require recursos de lectura e escritura en nome dun usuario, debes activar a configuración de Cliente público. Este é o único xeito de que Microsoft Entra ID acepta as propiedades de nome de usuario e contrasinal no corpo da túa solicitude de token. Teña en conta tamén que se pensas usar esta función, non funcionará para as contas que teñan activada a autenticación multifactor.

Para activalo, visite o separador Xestionar - Autenticación. Na sección Configuración avanzada, poña o conmutador Cliente público en Si.

Paso 4. Configurar certificados e segredos (opcional)

Se a túa aplicación require recursos de lectura e escritura como si mesma, tamén coñecida como principal de servizo, hai dúas formas de autenticarse. Para usar certificados, desprácese ata o separador Xestionar: Certificados e segredos. Na sección Certificados, cargue un certificado x509 que poida usar para autenticarse. O outro xeito é usar a sección Segredos para xerar un segredo do cliente. Garde o segredo nun lugar seguro para empregalo coas súas necesidades de automatización. As opcións de certificado ou segredo permítenche autenticarse con Microsoft Entra e recibir un token para este cliente, do que pasas ás API REST ou aos cmdlets de PowerShell.

Paso 5. Solicitar un token de acceso

Hai dúas formas de obter un token de portador de acceso. Un é para o nome de usuario e o contrasinal e o outro para os principais de servizo.

Fluxo de nome de usuario e contrasinal

Asegúrese de ler a sección Cliente público anterior. A continuación, envíe unha solicitude POST a través de HTTP a Microsoft Entra ID cunha carga útil de nome de usuario e contrasinal.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

O exemplo anterior contén marcadores de posición que podes recuperar da túa aplicación cliente en Microsoft Entra ID. Recibes un resposta que se pode usar para facer chamadas posteriores á Power Platform API.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Use o valor access_token nas chamadas posteriores á API de Power Platform coa cabeceira HTTP de autorización.

Fluxo principal do servizo

Asegúrese de ler a sección Certificados e Segredos anterior. A continuación, envíe unha solicitude POST a través de HTTP a Microsoft Entra ID cunha carga útil secreta do cliente. A miúdo chámase autenticación de entidade de servizo.

Importante

Isto só se pode usar despois de rexistrar este ID de aplicación cliente con Microsoft Power Platform seguindo o relacionado PowerShell ou REST documentación.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

O exemplo anterior contén marcadores de posición que podes recuperar da túa aplicación cliente en Microsoft Entra ID. Recibes un resposta que se pode usar para facer chamadas posteriores á Power Platform API.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Use o valor access_token nas chamadas posteriores á API de Power Platform coa cabeceira HTTP de autorización. Como se indicou anteriormente, o fluxo principal do servizo non utiliza permisos de aplicación e, polo momento, trátase como un Power Platform administrador de todas as chamadas que realicen.

Consulte tamén

Creación dunha aplicación principal de servizo mediante API (versión preliminar)
PowerShell - Crear principal de servizo