Dijeli putem

Postavljanje Power Platform upravljanog identiteta za Dataverse dodatke ili pakete dodataka

Power Platform upravljani identitet omogućuje Dataverse dodacima ili paketima dodataka povezivanje s Azure resursima radi podrške upravljanom identitetu bez potrebe za vjerodajnicama. Ovaj vam članak pomaže da postavite upravljani identitet u svojim Power Platform okruženjima.

Preduvjeti

Postavljanje upravljanog identiteta

Za konfiguraciju Power Platform upravljanog identiteta za Dataverse dodatke ili pakete dodataka, izvršite sljedeće korake.

  1. Izradite novu registraciju aplikacije ili upravljani identitet kojem je dodijeljen korisnik.
  2. Konfigurirajte vjerodajnice vanjskog identiteta.
  3. Kreirajte i registrirajte Dataverse dodatke ili pakete dodataka.
    Obavezno sastavite sklop plug-in i registrirajte plug-in ili plug-in paket.
  4. Stvorite zapis upravljanog identiteta u usluzi Dataverse.
  5. Dodijelite pristup Azure resursima aplikaciji ili korisnički dodijeljenom upravljanom identitetu (UAMI).
  6. Potvrdite integraciju dodatka.

Stvaranje nove registracije aplikacije ili upravljanog identiteta koji je dodijelio korisnik

Možete kreirati korisnički dodijeljeni upravljani identitet ili aplikaciju u Microsoft Entra ID-u na temelju sljedećih scenarija.

  • Ako želite identitet aplikacije povezan s dodatkom koji se povezuje s Azure resursima, poput Azure Key Vault, koristite application registration. S identitetom aplikacije možete primijeniti Azure politike na dodatak koji pristupa Azure resursima.
  • Ako želite servisni principal za pristup Azure resursima, poput Azure Key Vault, možete omogućiti korisnički dodijeljeni upravljani identitet.

Napomena

Obavezno zabilježite sljedeće ID-jeve kako ih koristite u kasnijim koracima.

  • ID aplikacije (klijenta)
  • ID klijenta sustava

Konfiguriranje vjerodajnica vanjskog identiteta

Za konfiguraciju upravljanog identiteta, otvorite korisnički dodijeljeni upravljani identitet ili Microsoft Entra ID aplikaciju u Azure portalu koji ste kreirali u prethodnom odjeljku.

  1. Idi na Azure portal.
  2. Idite na Microsoft Entra ID.
  3. Odaberite App registrations.
  4. Otvorite aplikaciju koju ste izradili u odjeljku Postavljanje upravljanog identiteta.
  5. Idite na Certifikati i tajne.
  6. Odaberite karticu Vanjske vjerodajnice i odaberite Dodaj vjerodajnicu.
  7. Odaberite izdavatelja kao Drugog izdavatelja.
  8. Unesite sljedeće podatke:

Issuer

Koristite izdavatelja v2.0 najmoprimca:

https://login.microsoftonline.com/{tenantID}/v2.0

Primjer

https://login.microsoftonline.com/5f8a1a9f-2e1a-415f-b10c-84c3736a21b9/v2.0

Vrsta

Odaberite Eksplicitni identifikator predmeta.

Identifikator subjekta

Odaberite format koji odgovara vašoj vrsti certifikata:

  • Samopotpisani certifikat (samo za razvoj):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/h/{hash}

  • Certifikat pouzdanog izdavatelja (preporučuje se za proizvodnju):

    /eid1/c/pub/t/{encodedTenantId}/a/qzXoWDkuqUa3l6zM5mM0Rw/n/plugin/e/{environmentId}/i/{issuer}/s/{certificateSubject}

Referenca na segment

Segment Opis
EID1 Verzija u formatu identiteta
c/pub Cloud kod za javni oblak, Government Community Cloud (GCC) i prvu stanicu za izdavanje u GCC-u.
t/{encodedTenantId} ID klijenta sustava
a/qzXoWDkuqUa3l6zM5mM0Rw/ Samo interna upotreba. Nemojte mijenjati.
n/plugin Plug-in komponenta
e/{environmentId} ID okruženja
h/{hash} SHA-256 certifikata (samo samostalno potpisan)
i/{issuer}
s/{certificateSubject}		 Podaci o pouzdanom izdavatelju

Generiranje samopotpisanog certifikata

Svaki dodatak mora imati provjerljiv identitet, a certifikat za potpisivanje djeluje kao jedinstveni otisak prsta dodatka. Sljedeći kod je primjer PowerShell isječka koji možete koristiti za generiranje samopotpisanog certifikata za razvojne ili testne scenarije. Za referencu, možete slijediti primjer 3.

 $params = @{
     Type = 'Custom'
     Subject = 'E=admin@contoso.com,CN=Contoso'
     TextExtension = @(
         '2.5.29.37={text}1.3.6.1.5.5.7.3.4',
         '2.5.29.17={text}email=admin@contoso.com' )
     KeyAlgorithm = 'RSA'
     KeyLength = 2048
     SmimeCapabilities = $true
     CertStoreLocation = 'Cert:\CurrentUser\My'
 }
 New-SelfSignedCertificate @params

Napomena

Kodiranje za {encodedTenantId}

  1. Pretvorite GUID → Hex.
  2. Pretvorite Hex → Base64URL (nije standardni Base64).

Samopotpisani hash

  • Izračunajte SHA-256 preko .cer. Ako imate .pfx, prvo izvezite .cer : 
    CertUtil -hashfile <CertificateFilePath> SHA256

$cert = Get-PfxCertificate -FilePath "path	o\your.pfx"
$cert.RawData | Set-Content -Encoding Byte -Path "extracted.cer"

Specijalizirana Azure cloud okruženja

Izričito postavite prefiks publike, URL-a izdavatelja i predmeta prilikom implementacije izvan javnog oblaka, GCC-a i stanice prvog izdanja u GCC-u:

Oblak Publika URL izdavatelja Prefiks predmeta
GCC High & DoD api://AzureADTokenExchangeUSGov https://login.microsoftonline.us /eid1/c/usg
Mooncake (Kina) api://AzureADTokenExchangeChina https://login.partner.microsoftonline.cn /eid1/c/chn
Američki državljanin (USNAT) api://AzureADTokenExchangeUSNat https://login.microsoftonline.eaglex.ic.gov /eid1/c/uss
US Secure (USSec) api://AzureADTokenExchangeUSSec https://login.microsoftonline.scloud /eid1/c/usn

Napomena

Vrijednost publike razlikuje velika i mala slova i mora se točno podudarati.
Za javni oblak, GCC i stanicu prvog izdanja u GCC-u (i drugim oblacima koji nisu na popisu), zadane vrijednosti su:
Publika api://AzureADTokenExchange, Izdavatelj https://login.microsoftonline.com, Prefiks /eid1/c/pubpredmeta .

Kreirajte i registrirajte Dataverse dodatke ili pakete dodataka

Izgradite sklop dodatka

Pakiranje i potpisivanje

Potpisivanje plug-in paketa

Ako gradite paket za plug-in, koristite NuGet Sign CLI za generiranje paketa iz .nuspec ili .csproj datoteke. Nakon generiranja paketa, potpišite ga svojim certifikatom.

 nuget sign YourPlugin.nupkg `
   -CertificatePath MyCert.pfx `
   -CertificatePassword "MyPassword" `
   -Timestamper http://timestamp.digicert.com

Potpisivanje sklopa plug-ina

Ako registrirate plug-in (asembler), potpišite DLL certifikatom koristeći SignTool.exe (Sign Tool).

signtool sign /f MyCert.pfx /p MyPassword /t http://timestamp.digicert.com /fd SHA256 MyAssembly.dll

Opcionalno možete dodati vremenske oznake tako da unesete URL servera za vremenske oznake usklađenog s RFC 3161.

Napomena

Koristite samopotpisani certifikat samo za razvoj ili testiranje. Nemojte koristiti samostalno potpisane certifikate u produkcijskim okruženjima.

Registrirajte dodatak

  • Instaliraj alat za registraciju plug-ina ako ga već nemaš na svom računalu. Dodatne informacije potražite u odjeljku Dataverse Razvojni alati.

  • Registrirajte dodatak. Dodatne informacije potražite u odjeljku Registracija dodatka.

Stvaranje zapisa upravljanog identiteta u Dataverse

Za pružanje upravljanog zapisa identiteta u Dataverseu, izvršite sljedeće korake.

  1. Kreirajte upravljani identitet slanjem HTTP POST zahtjeva s REST klijentom (kao što je Insomnia). Koristite URL i tijelo zahtjeva u sljedećem formatu.

    POST https://<<orgURL>>/api/data/v9.0/managedidentities

    Obavezno zamijenite orgURL URL-om tvrtke ili ustanove.

  2. Provjerite je li credentialsource postavljen na 2 u korisnom sadržaju, subjectscope je postavljen na 1 za scenarije specifične za okruženje, a verzija je postavljena na 1 u korisnom sadržaju.

    Nosivost uzorka

    {
  "applicationid": "<<appId>>", //Application Id, or ClientId, or User Managed Identity
  "managedidentityid": "<<anyGuid>>",
  "credentialsource": 2, // Managed client
  "subjectscope": 1, //Environment Scope
  "tenantid": "<<tenantId>>", //Entra Tenant Id
  "version": 1
}

  3. Ažurirajte svoj paket dodataka ili asemblerski zapis plug-ina slanjem HTTP PATCH zahtjeva za povezivanje s upravljanim identitetom stvorenim u koraku 1.

    Sklop priključka

    PATCH https://<<orgURL>>/api/data/v9.0/pluginassemblies(<<PluginAssemblyId>>)

    Plug-in paket

    PATCH https://<<orgURL>>/api/data/v9.0/pluginpackages(<<PluginPackageId>>)

    Nosivost uzorka

    {
  "managedidentityid@odata.bind": "/managedidentities(<<ManagedIdentityGuid>>)"
}

    Obavezno zamijenite orgURL,PluginAssemblyId (ili PluginPackageId) i ManagedIdentityGuid svojim vrijednostima.

Dodijelite pristup Azure resursima aplikaciji ili upravljanom identitetu dodijeljenom od strane korisnika

Ako trebate dati pristup aplikacijskom ID-u za pristup Azure resursima, poput Azure Key Vault-a, dodijelite pristup aplikaciji ili korisnički dodijeljenom upravljanom identitetu tom resursu.

Provjera valjanosti integracije dodatka

Provjerite može li vaš dodatak sigurno tražiti pristup Azure resursima koji podržavaju upravljani identitet, čime se eliminira potreba za zasebnim vjerodajnicama.

Često postavljana pitanja (FAQ)

Kako da riješim ovu grešku?

Ako se prikaže sljedeća pogreška:
Dobivanje pogreške – Problem s konfiguracijom sprječava provjeru autentičnosti.
AADSTS700213: Nije pronađen odgovarajući zapis o udruženom identitetu

Da biste riješili problem, poduzmite sljedeće korake:

  1. Provjerite je li FIC ispravno konfiguriran i spremljen.

  2. Provjerite odgovara li izdavatelj/subjekt formatu navedenom ranije.

    Očekivani format možete pronaći i u snopu pogrešaka.

Kako mogu riješiti pogrešku "Nije moguće doći do platforme Power Platform ili se povezati s njom"?

Pogledajte Power Platform URL-ove i IP raspon adresa kako biste osigurali da su Power Platform endpointi dostupni i dozvoljeni na listi.

  • Last updated on