Considerazioni sulla registrazione delle app
ALM Accelerator for Power Platform si affida alle registrazioni delle app di Microsoft Entra per comunicare con i servizi richiesti. Questo articolo discute le considerazioni da tenere a mente e gli approcci che puoi adottare quando progetti una strategia di registrazione dell'app per ALM Accelerator.
Autorizzazioni API richieste
È necessario consentire alle registrazioni delle app di utilizzare le API pertinenti affinché ALM Accelerator comunichi con i servizi richiesti. I requisiti per la comunicazione con questi servizi dipendono dalla funzionalità di ALM Accelerator.
La tabella seguente mostra le autorizzazioni API richieste per le diverse funzionalità di ALM Accelerator.
| Funzionalità | Autorizzazione API | Tipo di autorizzazione | Descrizione |
|---|---|---|---|
| Connettore personalizzato CustomAzureDevOps | Azure DevOps - user_impersonation | Delegato | L'app canvas ALM Accelerator necessita di autorizzazioni API Azure DevOps per comunicare con Azure DevOps. |
| Distribuzione delle pipeline di convalida | Dynamics CRM - user_impersonation | Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Distribuzione delle pipeline di convalida | Power Apps Advisor - Analysis.All | Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Distribuzione di pipeline di test | Dynamics CRM - user_impersonation | Delegato | La pipeline per distribuire le soluzioni nell'ambiente di test richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Distribuzione delle pipeline di produzione | Dynamics CRM - user_impersonation | Delegato | Per distribuire le soluzioni nell'ambiente di produzione la pipeline richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Esporta la pipeline della soluzione | Dynamics CRM - user_impersonation | Delegato | Per esportare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
| Importa la pipeline della soluzione | Dynamics CRM - user_impersonation | Delegato | Per importare soluzioni dal controllo del codice sorgente Git di Azure nell'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
| Elimina la pipeline della soluzione | Dynamics CRM - user_impersonation | Delegato | Per eliminare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
Considerazioni per una strategia di registrazione dell'app
Quando progetti la strategia per la creazione e la gestione di registrazioni app per ALM Accelerator, devi considerare sia la sicurezza che la manutenzione.
Principio del privilegio minimo
Dal punto di vista della sicurezza, ti consigliamo di considerare il principio del privilegio minimo. Qualsiasi registrazione app deve disporre dei privilegi minimi necessari per eseguire le operazioni necessarie.
Semplicità di manutenzione
Dal punto di vista della manutenzione, prendi in considerazione una strategia che richieda di eseguire il minor lavoro possibile per mantenere le registrazioni dell'app e i servizi che le utilizzano. Ad esempio, una delle attività di gestione delle registrazioni delle app è la rotazione dei segreti, ovvero la revoca del segreto corrente e la creazione di uno nuovo. Ogni servizio che utilizza la registrazione di un'app deve essere riconfigurato quando viene ruotato un segreto. Più registrazioni di app utilizzi, più lavoro devi fare per mantenerle.
Strategie di registrazione delle app di Azure
Le strategie per la registrazione delle app con Microsoft Entra ID per l'utilizzo da parte dell'acceleratore ALM vanno da una strategia molto semplice a una molto granulare.
Una registrazione dell'app per tutto
La strategia più semplice è creare un'unica registrazione dell'app per tutte le tue esigenze. Questa strategia prevede di utilizzare la stessa registrazione app per il connettore personalizzato CustomAzureDevOps e tutte le connessioni del servizio Azure DevOps necessarie per accedere agli ambienti Power Platform.
Sebbene questa strategia sia la più facile da gestire, viola il principio del privilegio minimo. Una registrazione dell'app dispone delle autorizzazioni per eseguire tutte le operazioni richieste tramite il connettore personalizzato e tutte le connessioni del servizio Azure DevOps che hai configurato.
| Registrazione app | Tipo e autorizzazione API | Descrizione |
|---|---|---|
| Registrazione app singola per tutti gli scopi | Azure DevOps - user_impersonation - Delegato | L'app canvas ALM Accelerator necessita di autorizzazioni API Azure DevOps per comunicare con Azure DevOps. |
| Registrazione app singola per tutti gli scopi | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dagli ambienti di sviluppo dell'autore e distribuire soluzioni nell'ambiente di convalida, test e produzione, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione |
| Registrazione app singola per tutti gli scopi | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
Una registrazione dell'app per Azure DevOps e una per Power Platform
Una strategia più granulare consiste nel creare una registrazione dell'app per il connettore personalizzato CustomAzureDevOps e una per le pipeline per comunicare con gli ambienti Power Platform.
Questa strategia si allinea meglio con il principio del privilegio minimo. Solo la registrazione dell'app usata per il connettore personalizzato CustomAzureDevOps può accedere all'API Azure DevOps e solo la registrazione dell'app usata per connettersi a Power Platform può usare l'API Power Platform (Dynamics CRM).
| Registrazione app | Tipo e autorizzazione API | Descrizione |
|---|---|---|
| Registrazione delle app per Azure DevOps | Azure DevOps - user_impersonation - Delegato | L'app canvas ALM Accelerator necessita di autorizzazioni API Azure DevOps per comunicare con Azure DevOps. |
| Registrazione delle app per Power Platform | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dagli ambienti di sviluppo dell'autore e distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
| Registrazione delle app per Power Platform | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
Una registrazione dell'app per Azure DevOps e diverse per Power Platform
Una strategia ancora più granulare consiste nel creare registrazioni di app per l'accesso a diversi ambienti Power Platform. Puoi creare una registrazione dell'app per ogni ambiente a cui devi accedere utilizzando le pipeline di ALM Accelerator. Oppure puoi creare una registrazione dell'app per ogni progetto Power Platform supportato tramite ALM Accelerator.
Questa strategia si allinea ancora meglio con il principio del privilegio minimo. Tuttavia, dovresti considerare anche la manutenzione. Assicurati di mantenere un modo strutturato per identificare quale registrazione dell'app viene utilizzata per ogni ambiente. Queste informazioni torneranno utili quando si ruotano i segreti di registrazione dell'app.
La tabella seguente mostra come creare Registrazioni app Azure per progetto Power Platform per limitare l'accesso solo all'ambiente pertinente.
| Registrazione app | Ambito di Power Platform | Tipo e autorizzazione API | Descrizione |
|---|---|---|---|
| Registrazione delle app per Azure DevOps | Non applicabile | Azure DevOps - user_impersonation - Delegato | L'app canvas ALM Accelerator necessita di autorizzazioni API Azure DevOps per comunicare con Azure DevOps. |
| Registrazione delle app per Power Platform | Platform progetto 1 | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Progetto 1 | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Ambiente di sviluppo dell'autore 1 | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
| Registrazione delle app per Power Platform | Ambiente di sviluppo dell'autore 2 | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione |
La tabella seguente mostra come allineare ulteriormente il principio del privilegio minimo creando Registrazioni app per ciascun ambiente Power Platform.
| Registrazione app | Ambito di Power Platform | Tipo e autorizzazione API | Descrizione |
|---|---|---|---|
| Registrazione delle app per Azure DevOps | Non applicabile | Azure DevOps - user_impersonation - Delegato | L'app canvas ALM Accelerator necessita di autorizzazioni API Azure DevOps per comunicare con Azure DevOps. |
| Registrazione delle app per Power Platform | Progetto 1 - Ambiente di convalida | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Progetto 1 - Ambiente di convalida | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Progetto 1 - Ambiente di test | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Progetto 1 - Ambiente di produzione | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 - Ambiente di convalida | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 - Ambiente di convalida | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 - Ambiente di test | Power Apps Advisor - user_impersonation - Delegato | Per distribuire soluzioni nell'ambiente di convalida, la pipeline deve disporre delle autorizzazioni per utilizzare il servizio Power Apps Advisor al fine di eseguire l'attività Verifica soluzione. |
| Registrazione delle app per Power Platform | Progetto 2 - Ambiente di produzione | Dynamics CRM - user_impersonation - Delegato | La pipeline per distribuire le soluzioni nell'ambiente di convalida richiede le autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) per eseguire le operazioni della soluzione. |
| Registrazione delle app per Power Platform | Ambiente di sviluppo dell'autore 1 | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |
| Registrazione delle app per Power Platform | Ambiente di sviluppo dell'autore 2 | Dynamics CRM - user_impersonation - Delegato | Per esportare soluzioni dall'ambiente di sviluppo degli autori, la pipeline deve disporre delle autorizzazioni per utilizzare l'API Power Platform (Dynamics CRM) al fine di eseguire operazioni della soluzione. |