Vadovėlis: vaidmenų priskyrimas pagrindiniams paslaugų teikėjams (peržiūra)

[Šis straipsnis yra negalutinio leidimo dokumentacija ir gali keistis.]

Vaidmenimis pagrįstas prieigos valdymas (RBAC) "Power Platform" leidžia administratoriams priskirti įtaisytuosius vaidmenis vartotojams, grupėms ir pagrindiniams tarnybos nariams nuomotojo, aplinkos grupės arba aplinkos aprėptyje. Šiame mokymo kurse aprašytas įprastas automatizavimo scenarijus: bendraautorio vaidmens priskyrimas pagrindiniam tarnybos nariui nuomotojo aprėptyje naudojant įgaliojimo API.

Norėdami sužinoti daugiau apie RBAC koncepcijas, įtaisytuosius vaidmenis ir aprėpties paveldėjimą, žr. Vaidmenimis pagrįstas prieigos valdymas "Power Platform" administravimo centre.

Svarbu

• Tai yra peržiūros versijos funkcija.
• Peržiūros versijos funkcijos nėra skirtos naudoti gamybai ir gali būti apribotas jų funkcionalumas. Šioms funkcijoms taikomos papildomos naudojimo sąlygos ir jos pasiekiamos prieš oficialų leidimą, kad klientai galėtų iš anksto gauti access ir pateikti atsiliepimų.

Šioje mokymo programoje sužinosite:

• Autentifikuokite naudodami "Power Platform" API.
• Pateikti galimus vaidmenų aprašus.
• Kurti pagrindinio tarnybos nario vaidmens priskyrimą nuomotojo aprėptyje.
• Patikrinkite vaidmens priskyrimą.

Būtinosios sąlygos

• "Microsoft Entra" taikomosios programos registracija, sukonfigūruota "Power Platform" API, su sertifikatu arba kliento slaptu pagrindinio tarnybos autentifikavimo autentifikavimu. Jei reikia patarimų, žr. Autentifikavimas.
• Įmonės taikomosios programos objekto ID, skirtas tarnybos nariui (rastas "Microsoft Entra ID>Enterprise" programose).
• Skambinimo tapatybė turi turėti "Power Platform" administratoriaus arba "Power Platform" vaidmenimis pagrįstos prieigos kontrolės administratoriaus vaidmenį.

Įtaisytieji vaidmenų apibrėžimai

"Power Platform" suteikia keturis įtaisytuosius vaidmenis, kuriuos galima priskirti naudojant RBAC. Kiekvienas vaidmuo turi fiksuotą teisių rinkinį ir gali būti priskirtas nuomotojui, aplinkos grupei arba aplinkos aprėpčiai.

Vaidmens pavadinimas	Vaidmens ID	Teisės
"Power Platform" savininkas	0cb07c69-1631-4725-ab35-e59e001c51ea	Visos teisės
"Power Platform" bendraautorius	ff954d61-a89a-4fbe-ace9-01c367b89f87	Valdykite ir skaitykite visus išteklius, bet negalite atlikti arba keisti vaidmenų priskyrimų
"Power Platform" skaitytuvas	c886ad2e-27f7-4874-8381-5849b8d8a090	Tik skaitymo prieiga prie visų išteklių
"Power Platform" vaidmenimis pagrįstas prieigos valdymo administratorius	95e94555-018c-447b-8691-bdac8e12211e	Skaityti visus išteklius ir valdyti vaidmenų priskyrimus

1 veiksmas. Galimų vaidmenų apibrėžimų sąrašas

Pirmiausia autentifikuokite ir gaukite galimus vaidmenų aprašus, kad patvirtintumėte bendraautoriaus vaidmens ID.

"PowerShell"

# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts

# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"

# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"

$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')

# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers

$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId

Numatoma išvestis:

roleDefinitionName                                          roleDefinitionId
------------------                                          ----------------
Power Platform owner                                        0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor                                  ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader                                       c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator      95e94555-018c-447b-8691-bdac8e12211e

C#

using Microsoft.PowerPlatform.Management;
using Microsoft.PowerPlatform.Management.Models;

var client = ServiceClientFactory.Create(clientId);

// List all role definitions
var roleDefinitions = await client.Authorization.RoleDefinitions.GetAsync();

foreach (var role in roleDefinitions.Value)
{
    Console.WriteLine($"{role.RoleDefinitionName}: {role.RoleDefinitionId}");
}

Numatoma išvestis:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

Python

import asyncio
from azure.identity import InteractiveBrowserCredential
from kiota_authentication_azure.azure_identity_authentication_provider import AzureIdentityAuthenticationProvider
from kiota_http.httpx_request_adapter import HttpxRequestAdapter
from mspp_management.service_client_base import ServiceClientBase

credential = InteractiveBrowserCredential()
auth_provider = AzureIdentityAuthenticationProvider(
    credential,
    scopes=["https://api.powerplatform.com/.default"]
)
adapter = HttpxRequestAdapter(auth_provider)
adapter.base_url = "https://api.powerplatform.com"
client = ServiceClientBase(adapter)

# List all role definitions
role_definitions = await client.authorization.role_definitions.get()

for role in role_definitions.value:
    print(f"{role.role_definition_name}: {role.role_definition_id}")

Numatoma išvestis:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

"Power Platform" API nuoroda: Role-Based prieigos valdymas – sąrašo vaidmens apibrėžimai

2 veiksmas. Bendraautoriaus vaidmens priskyrimas pagrindiniam tarnybos nariui

Sukurkite vaidmens priskyrimą, kuris suteikia "Power Platform" bendraautoriui vaidmenį pagrindiniam tarnybos nariui nuomotojo aprėptyje. Pakeiskite YOUR_TENANT_ID savo nuomotojo GUID ir YOUR_ENTERPRISE_APP_OBJECT_ID įmonės taikomosios programos objekto ID iš "Microsoft Entra" ID.

"PowerShell"

$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"

$body = @{
    roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
    principalObjectId = $EnterpriseAppObjectId
    principalType = "ApplicationUser"
    scope = "/tenants/$TenantId"
} | ConvertTo-Json

$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body

$roleAssignment

Numatoma išvestis:

roleAssignmentId   : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId  : <your-enterprise-app-object-id>
roleDefinitionId   : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope              : /tenants/<your-tenant-id>
principalType      : ApplicationUser
createdOn          : 2026-03-02T12:00:00.0000000+00:00

C#

var request = new RoleAssignmentRequest
{
    RoleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87",
    PrincipalObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID",
    PrincipalType = "ApplicationUser",
    Scope = "/tenants/YOUR_TENANT_ID"
};

var roleAssignment = await client.Authorization.RoleAssignments.PostAsync(request);

Console.WriteLine($"Assignment ID: {roleAssignment.Value[0].RoleAssignmentId}");
Console.WriteLine($"Scope: {roleAssignment.Value[0].Scope}");
Console.WriteLine($"Principal: {roleAssignment.Value[0].PrincipalObjectId}");

Python

from mspp_management.models.role_assignment_request import RoleAssignmentRequest

request = RoleAssignmentRequest(
    role_definition_id="ff954d61-a89a-4fbe-ace9-01c367b89f87",
    principal_object_id="YOUR_ENTERPRISE_APP_OBJECT_ID",
    principal_type="ApplicationUser",
    scope="/tenants/YOUR_TENANT_ID",
)

role_assignment = await client.authorization.role_assignments.post(request)

print(f"Assignment ID: {role_assignment.value[0].role_assignment_id}")
print(f"Scope: {role_assignment.value[0].scope}")
print(f"Principal: {role_assignment.value[0].principal_object_id}")

"Power Platform" API nuoroda: Role-Based prieigos valdymas – vaidmenų priskyrimo kūrimas

3 veiksmas. Patvirtinti vaidmens priskyrimą

Gaukite visus vaidmenų priskyrimus, kad patvirtintumėte, jog yra naujas priskyrimas.

"PowerShell"

$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers

# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType

Numatoma išvestis:

roleAssignmentId                        roleDefinitionId                        scope                          principalType
----------------                        ----------------                        -----                          -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890    ff954d61-a89a-4fbe-ace9-01c367b89f87    /tenants/<your-tenant-id>      ApplicationUser

C#

var roleAssignments = await client.Authorization.RoleAssignments.GetAsync();

var myAssignments = roleAssignments.Value
    .Where(a => a.PrincipalObjectId == "YOUR_ENTERPRISE_APP_OBJECT_ID");

foreach (var assignment in myAssignments)
{
    Console.WriteLine($"ID: {assignment.RoleAssignmentId}");
    Console.WriteLine($"Role: {assignment.RoleDefinitionId}");
    Console.WriteLine($"Scope: {assignment.Scope}");
    Console.WriteLine($"Type: {assignment.PrincipalType}");
}

Python

role_assignments = await client.authorization.role_assignments.get()

my_assignments = [
    a for a in role_assignments.value
    if a.principal_object_id == "YOUR_ENTERPRISE_APP_OBJECT_ID"
]

for assignment in my_assignments:
    print(f"ID: {assignment.role_assignment_id}")
    print(f"Role: {assignment.role_definition_id}")
    print(f"Scope: {assignment.scope}")
    print(f"Type: {assignment.principal_type}")

"Power Platform" API nuoroda: vaidmenimis pagrįstas prieigos valdymas – sąrašo vaidmenų priskyrimai

Susijęs turinys

• Vaidmenimis pagrįstas prieigos valdymas "Power Platform" administravimo centre
• Teisių nuoroda
• Autentifikavimas – sukurkite pirmąją taikomosios programos registraciją