Pertimbangan pendaftaran aplikasi
Mereka bergantung pada ALM Accelerator for Power Platform pendaftaran aplikasi untuk berkomunikasi dengan layanan yang Microsoft Entra diperlukan. Artikel ini membahas pertimbangan yang harus Anda ingat dan pendekatan yang dapat Anda ambil ketika Anda merancang strategi pendaftaran aplikasi untuk ALM Accelerator.
Izin API yang diperlukan
Anda harus mengizinkan pendaftaran aplikasi untuk menggunakan API yang relevan agar ALM Accelerator dapat berkomunikasi dengan layanan yang diperlukan. Persyaratan untuk komunikasi dengan layanan ini tergantung pada fungsionalitas ALM Accelerator.
Tabel berikut menunjukkan izin API apa yang diperlukan untuk berbagai fungsi ALM Accelerator.
| Fungsi | Izin API | Jenis izin | Description |
|---|---|---|---|
| Konektor kustom CustomAzureDevOps | Azure DevOps - user_impersonation | Didelegasikan | Aplikasi kanvas ALM Accelerator memerlukan Azure DevOps izin API untuk berkomunikasi Azure DevOps. |
| Menyebarkan alur validasi | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Menyebarkan alur validasi | Power Apps Penasihat - Analysis.All | Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Menyebarkan alur pengujian | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan pengujian memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Menyebarkan alur produksi | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan produksi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Ekspor alur solusi | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Impor alur solusi | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk mengimpor solusi dari kontrol sumber Azure Git ke lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Hapus alur solusi | Dynamics CRM - user_impersonation | Didelegasikan | Alur untuk menghapus solusi di lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
Pertimbangan untuk strategi pendaftaran aplikasi
Ketika Anda merancang strategi Anda untuk membuat dan mengelola pendaftaran aplikasi untuk ALM Accelerator, Anda harus mempertimbangkan keamanan dan pemeliharaan.
Prinsip hak istimewa minimal
Dari perspektif keamanan, pertimbangkan prinsip hak istimewa paling sedikit. Setiap pendaftaran aplikasi harus memiliki hak istimewa paling sedikit yang diperlukan untuk melakukan operasi yang diperlukan.
Kepraktisan pemeliharaan
Dari perspektif pemeliharaan, pertimbangkan strategi yang mengharuskan Anda melakukan pekerjaan paling sedikit untuk mempertahankan pendaftaran aplikasi dan layanan yang menggunakannya. Misalnya, salah satu tugas mempertahankan pendaftaran aplikasi adalah rotasi rahasia — mencabut rahasia saat ini dan membuat yang baru. Setiap layanan yang menggunakan pendaftaran aplikasi perlu dikonfigurasi ulang saat rahasia diputar. Semakin banyak pendaftaran aplikasi yang Anda gunakan, semakin banyak pekerjaan yang perlu Anda lakukan untuk mempertahankannya.
Strategi pendaftaran aplikasi Azure
Strategi untuk mendaftarkan aplikasi dengan Microsoft Entra penggunaan ID oleh ALM Accelerator berkisar dari yang sangat sederhana hingga yang sangat terperinci.
Satu pendaftaran aplikasi untuk semuanya
Strategi paling sederhana adalah membuat satu pendaftaran aplikasi untuk semua kebutuhan Anda. Dengan strategi ini, Anda menggunakan pendaftaran aplikasi yang sama untuk konektor kustom CustomAzureDevOps dan semua Azure DevOps koneksi Layanan yang Anda perlukan untuk mengakses lingkungan Anda Power Platform .
Meskipun strategi ini paling mudah dikelola, strategi ini melanggar prinsip hak istimewa paling sedikit. Satu pendaftaran aplikasi memiliki izin untuk melakukan semua operasi yang diperlukan melalui konektor kustom dan semua Azure DevOps koneksi Layanan yang telah Anda konfigurasi.
| Pendaftaran aplikasi | Izin dan jenis API | Description |
|---|---|---|
| Pendaftaran aplikasi tunggal untuk semua tujuan | Azure DevOps - user_impersonation - Didelegasikan | Aplikasi kanvas ALM Accelerator memerlukan Azure DevOps izin API untuk berkomunikasi Azure DevOps. |
| Pendaftaran aplikasi tunggal untuk semua tujuan | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat dan menyebarkan solusi ke lingkungan validasi, pengujian, dan produksi memerlukan izin untuk menggunakan Power Platform API (Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi tunggal untuk semua tujuan | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
Satu pendaftaran aplikasi untuk dan satu untuk Azure DevOps Power Platform
Strategi yang lebih terperinci adalah membuat satu pendaftaran aplikasi untuk konektor kustom CustomAzureDevOps dan satu untuk alur untuk berkomunikasi dengan Power Platform lingkungan.
Strategi ini lebih selaras dengan prinsip hak istimewa paling sedikit. Hanya pendaftaran aplikasi yang digunakan untuk konektor kustom CustomAzureDevOps yang dapat mengakses Azure DevOps API, dan hanya pendaftaran aplikasi yang digunakan untuk menyambungkan Power Platform yang dapat menggunakan API ( Power Platform Dynamics CRM).
| Pendaftaran aplikasi | Izin dan jenis API | Description |
|---|---|---|
| Pendaftaran aplikasi untuk Azure DevOps | Azure DevOps - user_impersonation - Didelegasikan | Aplikasi kanvas ALM Accelerator memerlukan Azure DevOps izin API untuk berkomunikasi Azure DevOps. |
| Pendaftaran aplikasi untuk Power Platform | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat dan menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
Satu pendaftaran aplikasi untuk dan beberapa untuk Azure DevOps Power Platform
Strategi yang lebih terperinci adalah membuat pendaftaran aplikasi untuk mengakses lingkungan yang berbeda Power Platform . Anda dapat membuat satu pendaftaran aplikasi untuk setiap lingkungan yang perlu Anda akses menggunakan alur ALM Accelerator. Atau, buat satu pendaftaran aplikasi untuk setiap Power Platform proyek yang Anda dukung menggunakan ALM Accelerator.
Strategi ini sejalan erat dengan prinsip hak istimewa paling sedikit. Namun, Anda juga harus mempertimbangkan perawatan. Pastikan untuk mempertahankan cara terstruktur untuk mengidentifikasi pendaftaran aplikasi mana yang digunakan untuk setiap lingkungan. Informasi ini akan berguna saat Anda memutar rahasia pendaftaran aplikasi.
Tabel berikut menunjukkan bagaimana Anda dapat membuat pendaftaran aplikasi untuk setiap Power Platform proyek guna membatasi akses hanya ke lingkungan yang relevan.
| Pendaftaran aplikasi | Power Platform ruang lingkup | Izin dan jenis API | Description |
|---|---|---|---|
| Pendaftaran aplikasi untuk Azure DevOps | Tidak berlaku | Azure DevOps - user_impersonation - Didelegasikan | Aplikasi kanvas ALM Accelerator memerlukan Azure DevOps izin API untuk berkomunikasi Azure DevOps. |
| Pendaftaran aplikasi untuk Power Platform | Proyek Platform 1 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 1 | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Lingkungan pengembangan pembuat 1 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Lingkungan pengembangan pembuat 2 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi |
Tabel berikut menunjukkan bagaimana Anda dapat lebih menyelaraskan dengan prinsip hak istimewa paling rendah dengan membuat pendaftaran aplikasi untuk setiap Power Platform lingkungan.
| Pendaftaran aplikasi | Power Platform ruang lingkup | Izin dan jenis API | Description |
|---|---|---|---|
| Pendaftaran aplikasi untuk Azure DevOps | Tidak berlaku | Azure DevOps - user_impersonation - Didelegasikan | Aplikasi kanvas ALM Accelerator memerlukan Azure DevOps izin API untuk berkomunikasi Azure DevOps. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 1 - Lingkungan Validasi | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 1 - Lingkungan Validasi | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 1 - Lingkungan Pengujian | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 1 - Lingkungan Produksi | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 - Lingkungan Validasi | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 - Lingkungan Validasi | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 - Lingkungan Pengujian | Power Apps Penasihat - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan Power Apps layanan Azure Advisor untuk menjalankan tugas pemeriksa solusi. |
| Pendaftaran aplikasi untuk Power Platform | Proyek 2 - Lingkungan Produksi | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk menyebarkan solusi ke lingkungan validasi memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Lingkungan pengembangan pembuat 1 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |
| Pendaftaran aplikasi untuk Power Platform | Lingkungan pengembangan pembuat 2 | Dynamics CRM - user_impersonation - Didelegasikan | Alur untuk mengekspor solusi dari lingkungan pengembangan pembuat memerlukan izin untuk menggunakan API ( Power Platform Dynamics CRM) untuk melakukan operasi solusi. |