Kopīgot, izmantojot

Pakalpojuma principāla programmas izveide, izmantojot PowerShell

  • Raksts

Autentificēšana, izmantojot lietotājvārdu un paroli, bieži vien nav lieliski piemērota, jo īpaši ar vairāku faktoru autentifikācijas pārspīlēšanu. Šādos gadījumos ir vēlama pakalpojuma vadītāja (vai klienta akreditācijas datu plūsmas) autentifikācija. To var izdarīt, gan reģistrējot jaunu pakalpojuma galveno lietojumprogrammu savā Microsoft Entra nomniekā, gan pēc tam reģistrējot to pašu lietojumprogrammu ar Power Platform.

Administratora pārvaldības lietojumprogrammas reģistrēšana

Pirmkārt, klienta lietojumprogrammai jābūt reģistrētai jūsu Microsoft Entra nomniekā. Lai iestatītu šo iestatījumu, pārbaudiet rakstu Autentifikācija Power Platform API, jo PowerShell ir nepieciešama tāda pati lietojumprogrammas iestatīšana.

Pēc tam, kad jūsu klienta pieteikums ir reģistrēts Microsoft Entra ID, tas arī ir jāreģistrē Microsoft Power Platform. Šodien, izmantojot Power Platform administrēšanas centru, to nevar izdarīt programmiski ar Power Platform API vai PowerShell Power Platform administratoriem. Servisa pakalpojumu vadītājs nevar reģistrēties pats — noformējot šo lietojumprogrammu, tā jāreģistrē ar administratora lietotājvārdu un paroles kontekstu. Tas nodrošina, ka lietojumprogrammu izveido kāds, kurš ir nomnieka administrators.

Lai reģistrētu jaunu pārvaldības lietojumprogrammu, izmantojiet šādu skriptu:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Izveidojiet pieprasījumus kā pakalpojuma principāls

Tagad, kad tā ir reģistrēta pakalpojumā Microsoft Power Platform, varat veikt autentifikāciju kā pats pakalpojuma vadītājs. Izmantojiet šo skriptu, lai vaicātu par savas vides sarakstu:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Pakalpojuma vadītāju ierobežojumi

Pašlaik pakalpojuma galvenais autentifikācija darbojas vides pārvaldības, nomnieka iestatījumos un Power Apps pārvaldībā. Ar Flow saistītās cmdlet komandas tiek atbalstītas pakalpojuma galvenā autentifikācijai situācijās, kad licence nav nepieciešama, jo ID nav iespējams piešķirt licences pakalpojumu vadītāju identitātēm Microsoft Entra .

Pakalpojumu galvenās lietojumprogrammas tiek apstrādātas līdzīgi Power Platform kā parastie lietotāji ar piešķirto administratora Power Platform lomu. Detalizētas lomas un atļaujas nevar piešķirt, lai ierobežotu to iespējas. Lietojumprogrammai ID nav piešķirta Microsoft Entra īpaša loma, jo šādi platformas pakalpojumi apstrādā pakalpojumu vadītāju pieprasījumus.