Piezīmes
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt pierakstīties vai mainīt direktorijus.
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt mainīt direktorijus.
[Šis raksts ir pirmsizlaides dokuments, un tas var tikt mainīts.]
Lomu piekļuves kontrole (RBAC) Power Platform ļauj administratoriem piešķirt iebūvētās lomas lietotājiem, grupām un pakalpojumu vadītājiem nomniekā, vides grupā vai vides tvērumā. Šajā apmācībā ir aprakstīts izplatīts automatizācijas scenārijs: līdzstrādnieka lomas piešķiršana pakalpojuma galvenajam nomnieka tvērumā , izmantojot autorizācijas API.
Lai uzzinātu vairāk par RBAC koncepcijām, iebūvētajām lomām un tvēruma pārmantošanu, skatiet rakstu Lomu piekļuves kontrole Power Platform administrēšanas centram.
Svarīgi
- Šis ir priekšskatījuma līdzeklis.
- Priekšskatījuma līdzekļi nav paredzēti komerciālai lietošanai, un to funkcionalitāte var būt ierobežota. Uz šīm funkcijām attiecas papildu lietošanas nosacījumi, un tās ir pieejamas pirms oficiālā laidiena, lai klienti varētu iegūt agrīnu piekļuvi un sniegt atsauksmes.
Šajā apmācībā jūs iemācīsities:
- Autentificējieties, izmantojot Power Platform API.
- Uzskaitiet pieejamās lomu definīcijas.
- Izveidojiet lomas piešķiršanu pakalpojuma galvenajam nomnieka tvērumā.
- Pārbaudiet lomu piešķiršanu.
Priekšnosacījumi
- Microsoft Entra programmas reģistrācija, kas konfigurēta Power Platform API, ar sertifikātu vai klienta noslēpumu pakalpojuma galvenā autentifikācijai. Norādījumus skatiet sadaļā Autentifikācija.
- Uzņēmuma lietojumprogrammas objekta ID pakalpojuma galvenajam pakalpojumam (atrodams Microsoft Entra ID>Enterprise lietojumprogrammās).
- Izsaucēja identitātei ir jābūt Power Platform administratora vai Power Platform lomu piekļuves kontroles administratora lomai.
Iebūvētās lomu definīcijas
Power Platform nodrošina četras iebūvētas lomas, kuras var piešķirt, izmantojot RBAC. Katrai lomai ir fiksēta atļauju kopa, un to var piešķirt nomniekam, vides grupai vai vides tvērumam.
| Lomas nosaukums | Lomas ID | Atļaujas |
|---|---|---|
| Power Platform īpašnieks | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Visas atļaujas |
| Power Platform līdzstrādnieks | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Pārvaldīt un lasīt visus resursus, bet nevar veikt vai mainīt lomu piešķiršanu |
| Power Platform lasītājs | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Tikai lasīšanas piekļuve visiem resursiem |
| Power Platform lomu piekļuves kontroles administrators | 95e94555-018c-447b-8691-bdac8e12211e |
Lasīt visus resursus + pārvaldīt lomu piešķiršanu |
1. darbība. Pieejamo lomu definīciju saraksts
Vispirms autentificējiet un izgūstiet pieejamās lomu definīcijas, lai apstiprinātu līdzstrādnieka lomas ID.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Paredzamais rezultāts:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Power Platform API atsauce: Role-Based piekļuves kontrole — saraksta lomu definīcijas
2. darbība. Līdzstrādnieka lomas piešķiršana pakalpojuma vadītājam
Izveidojiet lomas piešķiršanu, kas piešķir Power Platform līdzstrādnieka lomu pakalpojuma galvenajam nomnieka tvērumā. Aizstājiet YOUR_TENANT_ID ar nomnieka GUID un YOUR_ENTERPRISE_APP_OBJECT_ID uzņēmuma lietojumprogrammas objekta ID no Microsoft Entra ID.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Paredzamais rezultāts:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Power Platform API atsauce: Role-Based piekļuves kontrole — lomu piešķiršanas izveide
3. darbība. Lomu piešķiršanas pārbaude
Izgūstiet visas lomu piešķires, lai apstiprinātu, ka jaunā piešķiršana pastāv.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Paredzamais rezultāts:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Power Platform API atsauce: Lomu piekļuves kontrole — lomu piešķires saraksts