שתף דרך

הגדרת זהות מנוהלת של Power Platform עבור יישומי Plug-in או חבילות יישומי Plug-in של Dataverse

הזהות המנוהלת של Power Platform מאפשרת ל- Dataverse יישומי Plug-in או לחבילות תוסף להתחבר למשאבי Azure כדי לתמוך זהות מנוהלת ללא צורך באישורים. מאמר זה עוזר לך להגדיר זהות מנוהלת בסביבות שלך ב- Power Platform.

דרישות מוקדמות

  • מנוי Azure עם גישה להקצאת זהות מנוהלת (UAMI) שהוקצתה על-ידי המשתמש או רישום אפליקציה.
  • כלים לתוסף או חבילות תוסף:
  • אישור חוקי כדי לחתום על הרכבת התוסף.

הגדרת זהות מנוהלת

כדי לקבוע את התצורה של הזהות המנוהלת של Power Platform עבור יישומי Plug-in או חבילות של Dataverse, בצע את השלבים הבאים.

  1. צור רישום אפליקציה חדש או זהות מנוהלת שהוקצתה על-ידי המשתמש.
  2. הגדר אישורי זהות מאוחדת.
  3. צור ורשום יישומי Plug-in או חבילות יישומי Plug-in של Dataverse.
    הקפד לבנות את אוסף התוסף ולרשום את התוסף או חבילת התוסף.
  4. צור רשומת זהות מנוהלת ב- Dataverse.
  5. הענק גישה למשאבי Azure ליישום או לזהות מנוהלת שהוקצתה למשתמש (UAMI).
  6. אמת את האינטגרציה של יישום plug-in.

צור רישום אפליקציה חדש או זהות מנוהלת שהוקצתה על-ידי המשתמש

באפשרותך ליצור זהות מנוהלת שהוקצתה למשתמש או יישום במזהה Entra של Microsoft בהתבסס על התרחישים הבאים.

  • אם אתה מעוניין לזהות אפליקציה המשויכת לתוסף שתואם למשאבי Azure, כגון Azure Key Vault, השתמש ברישום יישומים. עם זהות אפליקציה, באפשרותך להחיל מדיניות Azure על יישום ה- plug-in שניגש למשאבי Azure.
  • אם ברצונך שמנהל שירות יוכל לגשת למשאבי Azure, כגון Azure Key Vault, באפשרותך להקצות זהות מנוהלת שהוקצתה למשתמש.

הערה

הקפד ללכוד את הזהות הבאות, בעת השימוש בהן בשלבים מאוחרים יותר.

  • מזהה יישום (לקוח)
  • מזהה דייר של

הגדר אישורי זהות מאוחדת

כדי לקבוע את תצורת הזהות המנוהלת, פתח את הזהות המנוהלת על-ידי המשתמש או אפליקציית מזהה Microsoft Entra בפורטל Azure שיצרת בסעיף הקודם.

  1. עבור אל פורטל Azure .
  2. עבור אל מזהה Microsoft Entra.
  3. בחר רישומי אפליקציות.
  4. פתח את האפליקציה שיצרת בשלב הגדר זהות מנוהלת.
  5. נווט אל אישורים & סודות.
  6. בחר את הכרטיסיה אישורים מאוחדים ובחר הוסף אישור.
  7. בחר מנפיק בתור מנפיק אחר.
  8. הזן את המידע הבא:

מנפיק

השתמש במנפיק v2.0 של הדייר.

https://login.microsoftonline.com/{tenantID}/v2.0

דוגמה

https://login.microsoftonline.com/5f8a1a9f-2e1a-415f-b10c-84c3736a21b9/v2.0

סוג

בחר מזהה נושא מפורש.

מזהה נושא

בחר את התבנית התואמת לסוג האישור שלך:

  • אישור בחתימה עצמית (פיתוח בלבד):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/h/{hash}

  • אישור של מנפיק מהימן (מומלץ לייצור):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/i/{issuer}/s/{certificateSubject}

הפניה לקטע

פלח שוק תיאור
eid1 גירסת תבנית זהות
c/pub קוד ענן עבור ענן ציבורי, Government Community Cloud (GCC) ותחנת ההפצה הראשונה ב- GCC.
t/{encodedTenantId} מזהה דייר של
a/qzXoWDkuqUa3l6zM5mM0Rw/ לשימוש פנימי בלבד. אל תשנה.
n/תוסף רכיב תוסף
e/{environmentId} מזהה סביבה
h/{hash} SHA-256 של אישור (בחתימה עצמית בלבד)
i/{issuer}
s/{certificateSubject}		 פרטי מנפיק מהימן

יצירת אישור בחתימה עצמית

לכל תוסף חייבת להיות זהות הניתנת לאימות, ואישור החתימה פועל כטביעת אצבע ייחודית של התוסף. הקוד הבא הוא מקטע לדוגמה של PowerShell שניתן להשתמש בו כדי ליצור אישור בחתימה עצמית לתרחישי פיתוח או בדיקה. לעיון, באפשרותך לפעול לפי דוגמה 3.

 $params = @{
     Type = 'Custom'
     Subject = 'E=admin@contoso.com,CN=Contoso'
     TextExtension = @(
         '2.5.29.37={text}1.3.6.1.5.5.7.3.4',
         '2.5.29.17={text}email=admin@contoso.com' )
     KeyAlgorithm = 'RSA'
     KeyLength = 2048
     SmimeCapabilities = $true
     CertStoreLocation = 'Cert:\CurrentUser\My'
 }
 New-SelfSignedCertificate @params

הערה

קידוד עבור {encodedTenantId}

  1. המר GUID → הקס.
  2. המר הקסדצימלי → Base64URL (לא Base64 רגיל).

קוד Hash בחתימה עצמית

  • חישב SHA-256 עבור .cer. אם יש לך .pfx, יש לייצא תחילה .cer: 
    CertUtil -hashfile <CertificateFilePath> SHA256

$cert = Get-PfxCertificate -FilePath "path	o\your.pfx"
$cert.RawData | Set-Content -Encoding Byte -Path "extracted.cer"

סביבת ענן מיוחדת של Azure

הגדר קידומתקהל, כתובת URL של נושא ונושא באופן מפורש בעת פריסה מחוץ לענן ציבורי, GCC ותחנת ההפצה הראשונה ב- GCC:

ענן קהל כתובת URL של המנפיק קידומת נושא
GCC High ו-DoD api://AzureADTokenExchangeUSGov https://login.microsoftonline.us /eid1/c/usg
עוגת ירח (סין) api://AzureADTokenExchangeChina https://login.partner.microsoftonline.cn /eid1/c/chn
US National (USNAT) api://AzureADTokenExchangeUSNat https://login.microsoftonline.eaglex.ic.gov /eid1/c/uss
US Secure (USSec) api://AzureADTokenExchangeUSSec https://login.microsoftonline.scloud /eid1/c/usn

הערה

ערך Audience הוא רגיש לרישיות וחייב להתאים במדויק.
עבור ענן ציבורי, GCC ותחנת ההפצה הראשונה ב- GCC (ועננים אחרים שאינם ברשימה), ברירות המחדל הן:
קהל api://AzureADTokenExchange, נושא https://login.microsoftonline.com, קידומת נושא /eid1/c/pub.

יצירה ורישום של יישומי Plug-in או חבילות יישומי Plug-in של Dataverse

בנה הרכבת יישום plug-in

אריזה וחתימה

חתימה על חבילת תוסף

אם אתה בונה חבילת תוסף, השתמש ב- CLI של סימן NuGet כדי ליצור חבילה מקובץ .nuspec או .csproj לאחר יצירת החבילה, חתום על החבילה באמצעות האישור שלך.

 nuget sign YourPlugin.nupkg `
   -CertificatePath MyCert.pfx `
   -CertificatePassword "MyPassword" `
   -Timestamper http://timestamp.digicert.com

חותם על הרכבת יישום plug-in

אם אתה נרשם תוסף (הרכבה), חתום על ה- DLL באמצעות אישור באמצעותSignTool.exe (כלי החתימה).

signtool sign /f MyCert.pfx /p MyPassword /t http://timestamp.digicert.com /fd SHA256 MyAssembly.dll

באפשרותך להוסיף חותמת זמן על-ידי אספקת כתובת ה- URL של שרת חותמת זמן תואם RFC 3161.

הערה

השתמש באישור בחתימה עצמית למטרות פיתוח או בדיקה בלבד. אל תשתמש באישורים בחתימה עצמית בסביבות ייצור.

רשום את יישום ה- plug-in

צור רשומת זהות מנוהלת ב- Dataverse

כדי להקצות רשומת זהות מנוהלת ב- Dataverse, בצע את השלבים הבאים.

  1. צור זהות מנוהלת על-ידי שליחת בקשת HTTP POST עם לקוח REST (כגון Insomnia). השתמש בכתובת URL ובגוף בקשה בתבנית הבאה.

    POST https://<<orgURL>>/api/data/v9.0/managedidentities

    הקפד להחליף את orgURL בכתובת ה- URL של הארגון.

  2. ודא כי credentialsource מוגדר ל- 2 במטען, subjectscope מוגדר ל- 1 עבור תרחישים ספציפיים לסביבה, והגירסה מוגדרת ל- 1 במטען.

    תוכן מנה לדוגמה

    {
  "applicationid": "<<appId>>", //Application Id, or ClientId, or User Managed Identity
  "managedidentityid": "<<anyGuid>>",
  "credentialsource": 2, // Managed client
  "subjectscope": 1, //Environment Scope
  "tenantid": "<<tenantId>>", //Entra Tenant Id
  "version": 1
}

  3. עדכן את חבילת התוסף או את רשומת ההרכבה של התוסף על-ידי הנפקת בקשת HTTP PATCH כדי לשייך אותה לזהות המנוהלת שנוצרה בשלב 1.

    הרכבת תוסף

    PATCH https://<<orgURL>>/api/data/v9.0/pluginassemblies(<<PluginAssemblyId>>)

    חבילת תוסף

    PATCH https://<<orgURL>>/api/data/v9.0/pluginpackages(<<PluginPackageId>>)

    תוכן מנה לדוגמה

    {
  "managedidentityid@odata.bind": "/managedidentities(<<ManagedIdentityGuid>>)"
}

    הקפד להחליף את orgURL, PluginAssemblyId (או PluginPackageId) ואת ManagedIdentityGuid עם הערכים שלך.

הענק גישה למשאבי Azure ליישום או לזהות מנוהלת שהוקצו על-ידי המשתמש

אם עליך להעניק גישה אל מזהה יישום כדי לגשת למשאבי Azure, כגון Azure Key Vault, הענק גישה ליישום או לזהות המנוהלת שהוקצתה למשתמש למשאב זה.

אמת את האינטגרציה של יישום plug-in

ודא שיישום ה- plug-in יכול לבקש גישה באופן מאובטח למשאבי Azure התומכים בזהות מנוהלת, ובכך לבטל את הצורך באישורים נפרדים.

שאלות נפוצות (שאלות נפוצות)

כיצד ניתן לפתור שגיאה זו?

אם אתה מקבל את השגיאה הבאה:
מקבל שגיאה – בעיית תצורה מונעת אימות.
AADSTS700213: לא נמצאה רשומת זהות מאוחדת תואמת

בצע את השלבים הבאים כדי לפתור את הבעיה:

  1. ודא שתצורת FIC נקבעה כראוי ונשמרה.

  2. ודא שהנפפיק/הנושא תואם לתבנית שצוינה קודם לכן.

    באפשרותך גם למצוא את התבנית הצפויה בערימת השגיאות.

כיצד ניתן לפתור את השגיאה "לא ניתן להגיע ל- Power Platform או להתחבר אליו"?

עיין בטווחי כתובות ה- IP וכתובות ה- URL של Power Platform כדי להבטיח שנקודות קצה של Power Platform הן ניתנות להפעלה ומפורטות ברשימה.

  • Last updated on