Autentifikavimas (peržiūros versija)
Šiame straipsnyje pateikiama skambinimo Microsoft Entra API (peržiūros versija) sąrankos apžvalga Power Platform . Norėdami pasiekti išteklius, pasiekiamus per Power Platform API, turite gauti nešėjo žetoną Microsoft Entra ir išsiųsti jį kaip antraštę kartu su kiekviena užklausa. Atsižvelgiant į palaikomą tapatybės tipą (vartotojas ir pagrindinė paslauga), yra skirtingi srautai šiam pareikštiniam atpažinimo ženklui gauti, kaip aprašyta šiame straipsnyje.
Norint gauti integruotąjį prieigos atpažinimo ženklą su reikiamomis teisėmis, reikia atlikti šiuos veiksmus:
- Taikomosios programos registracijos kūrimas nuomotojuje Microsoft Entra
- Konfigūruoti API teises
- Konfigūruoti viešąjį klientą (pasirinktinai)
- Konfigūruoti sertifikatus ir slaptuosius raktus (pasirinktinai)
- Pateikti prieigos atpažinimo ženklo užklausą
1 veiksmas. Programos registravimo kūrimas
Eikite į Microsoft Entra programos registracijos puslapį ir sukurkite naują registraciją. Suteikite programai pavadinimą ir įsitikinkite, kad pažymėta parinktis Vienas nuomotojas. Galite praleisti peradresavimo URI sąranką.
2 veiksmas. Konfigūruoti API teises
Naujame programos registravime pereikite į skirtuką Valdyti – API teisės. Skyriuje Konfigūruoti teises pasirinkite Įtraukti teisę. Atsidariusiame dialogo lange pasirinkite Mano organizacijos naudojami API skirtuką ir tada ieškokite „Power Platform” API. Gali būti rodomi keli įrašai, kurių pavadinimas panašus į šį, todėl įsitikinkite, kad naudojate įrašą su tokiu GUID „8578e004-a5c6-46e7-913e-12f58912df43”.
Jei ieškodami pagal GUID sąraše nematote Power Platform API, gali būti, kad vis tiek turite prieigą prie jos, bet matomumas neatnaujinamas. Norėdami priverstinai atnaujinti, vykdykite toliau pateiktą „PowerShell“ scenarijų:
#Install the Microsoft Entra the module
Install-Module AzureAD
Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
Čia turite pažymėti reikiamas teises. Jos sugrupuotos pagal vardų sritis. Vardų srityje matysite išteklių tipus ir veiksmus, pvz., AppManagement.ApplicationPackages.Read, kurie suteikia programų paketų skaitymo teises. Daugiau informacijos rasite mūsų straipsnyje "Leidimų nuoroda ".
Pastaba.
„Power Platform“ API tik šį kartą naudoja suteiktas teises. Programoms, paleidžiamos naudojant vartotojo kontekstą, suteiktų teisių prašote naudodami parametrą scope. Šios teisės suteikia prisijungusio vartotojo teises į jūsų programą ir leidžia veikti kaip vartotojui iškviečiant „Power Platform“ API galinius punktus.
Tarnybos nario tapatybės atveju programos teisės nenaudojamos. Šiandien tarnybos nariai laikomi „Power Platform“ administratoriais, todėl juos reikia užregistruoti vadovaujantis „PowerShell“ – tarnybos nario kūrimas.
Įtraukus reikiamas teises į programą, pasirinkite Suteikti administratoriaus sutikimą sąrankai užbaigti. Tai būtina tada, kai norite leisti vartotojams iš karto pasiekti jūsų programą, o ne interaktyviai naudoti sutikimą. Jei galite palaikyti interaktyvų sutikimą, rekomenduojame vadovautis Microsoft tapatybės platforma ir OAuth 2.0 autorizacijos kodo srautu.
3 veiksmas. Konfigūruoti viešąjį klientą (pasirinktinai)
Jei programai reikia skaitymo ir rašymo išteklių naudotojo vardu, turite įgalinti viešojo kliento nustatymą. Tai vienintelis būdas, kuriuo Microsoft Entra ID priima vartotojo vardo ir slaptažodžio ypatybes jūsų atpažinimo ženklo užklausos tekste. Taip pat atminkite, kad jei planuojate naudoti šią funkciją, ji neveiks paskyrose, kuriose įjungtas kelių dalių autentifikavimas.
Norėdami įjungti, eikite į skirtuką Valdyti – autentifikavimas. Skyriuje Išplėstiniai parametrai nustatykite perjungiklį Viešasis klientas kaip Taip".
4 veiksmas. Konfigūruoti sertifikatus ir slaptuosius raktus (pasirinktinai)
Jei programai reikia skaitymo ir rašymo išteklių kaip pačiai (tai dar vadinama paslaugos vykdytoju), autentifikuoti galima dviem būdais. Norėdami naudoti sertifikatus, eikite į skirtuką Valdyti – Sertifikatai ir slaptieji raktai. Skyriuje Sertifikatai įkelkite x509 sertifikatą, kurį galėsite naudoti autentifikavimui. Kitas būdas yra naudoti skyrių Slaptieji raktai kliento slaptajam raktui generuoti. Įrašykite slaptąjį raktą saugioje vietoje ir naudokite jį pagal savo automatizavimo poreikius. Sertifikatas arba slaptos parinktys leidžia autentifikuoti Microsoft Entra ir gauti šio kliento atpažinimo ženklą, kurį perduodate REST API arba "PowerShell" cmdlet.
5 veiksmas. Pateikti prieigos atpažinimo ženklo užklausą
Yra du būdai gauti prieigos integruotąjį atpažinimo ženklą. Vienas jų – vartotojo vardas ir slaptažodis, o kitas – tarnybos nariai.
Vartotojo vardo ir slaptažodžio srautas
Būtinai perskaitykite aukščiau pateiktą skyrių „Viešasis klientas“. Tada išsiųskite POST užklausą per HTTP į Microsoft Entra ID su vartotojo vardu ir slaptažodžiu naudingoji apkrova.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Aukščiau pateiktame pavyzdyje yra vietos rezervavimo ženklų, kuriuos galite gauti iš savo kliento programos ID Microsoft Entra . Gaunate atsakymas, kurį galima naudoti vėlesniems skambučiams į Power Platform API.
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Naudokite reikšmę access_token tolesniems „Power Platform” API iškvietimams atlikti naudodami Autorizavimo HTTP antraštę.
Pagrindinis paslaugos srautas
Būtinai perskaitykite aukščiau pateiktą skyrių „Sertifikatai ir slaptieji raktai“. Tada išsiųskite POST užklausą per HTTP į Microsoft Entra ID su kliento slapta naudinga apkrova. Tai dažnai vadinama pagrindinio tarnybos pavadinimo autentifikavimu.
Svarbu
Tai galima naudoti tik užregistravus šį kliento programos ID vadovaudamiesi Microsoft Power Platform susijusiais "PowerShell " arba REST dokumentais.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Aukščiau pateiktame pavyzdyje yra vietos rezervavimo ženklų, kuriuos galite gauti iš savo kliento programos ID Microsoft Entra . Gaunate atsakymas, kurį galima naudoti vėlesniems skambučiams į Power Platform API.
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Naudokite reikšmę access_token tolesniems „Power Platform” API iškvietimams atlikti naudodami Autorizavimo HTTP antraštę. Kaip minėta pirmiau, pagrindinis tarnybos srautas nenaudoja programos teisių ir kol kas Power Platform laikomas administratoriumi visiems jų atliekamiems skambučiams.
Taip pat žr.
Pagrindinės paslaugos programos kūrimas naudojant API (peržiūros versija)
"PowerShell" – sukurkite pagrindinę paslaugą