Appregistreringsvurderinger
ALM Accelerator for Power Platform er avhengig av Microsoft Entra-appregistreringer for å kunne kommunisere med de nødvendige tjenestene. Denne artikkelen beskriver vurderinger du bør huske på og fremgangsmåter du kan ta når du utformer en strategi for appregistrering for ALM Accelerator.
Nødvendige API-tillatelser
Du må tillate at appregistreringer bruker de relevante API-ene for ALM Accelerator til å kommunisere med nødvendige tjenester. Krav til kommunikasjon med disse tjenestene avhenger av funksjonaliteten til ALM Accelerator.
Tabellen nedenfor viser hvilke API-tillatelser som kreves for de ulike funksjonene i ALM Accelerator.
| Funksjon | API-tillatelse | Tillatelsestype | Bekrivelse |
|---|---|---|---|
| Den egendefinerte koblingen CustomAzureDevOps | Azure DevOps - user_impersonation | Delegert | ALM Accelerator-lerretsappen trenger Azure DevOps-API-tillatelser for å kunne kommunisere med Azure DevOps. |
| Rull ut valideringskanaler | Dynamics CRM - user_impersonation | Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Rull ut valideringskanaler | Power Apps-rådgiver – Analysis.All | Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Rull ut testkanaler | Dynamics CRM - user_impersonation | Delegert | Kanalen for utrulling av løsninger til testmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Rull ut produksjonskanaler | Dynamics CRM - user_impersonation | Delegert | Kanalen for utrulling av løsninger til produksjonsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Eksporter løsningspipeline | Dynamics CRM - user_impersonation | Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Importer løsningspipeline | Dynamics CRM - user_impersonation | Delegert | Kanalen for import av løsninger fra Azure Git-kildekontroll til utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Slett løsningspipeline | Dynamics CRM - user_impersonation | Delegert | Kanalen for sletting av løsninger i utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
Vurderinger for en appregistreringsstrategi
Når du utformer strategien for å opprette og administrere appregistreringer for ALM Accelerator, bør du vurdere både sikkerhet og vedlikehold.
Prinsippet om minimale rettigheter
Fra et sikkerhetsperspektiv bør du ta hensyn til det minste rettighetsprinsippet. Alle appregistreringer må ha de minste rettighetene som kreves for å utføre nødvendige operasjoner.
Forenkling av vedlikehold
Fra et vedlikeholdsperspektiv bør du vurdere en strategi som krever at du gjør minst mulig arbeid for å vedlikeholde appregistreringene og tjenestene som bruker dem. En av oppgavene ved vedlikehold av appregistreringer er for eksempel hemmelighetsrotering – å oppheve den nåværende hemmeligheten og opprette en ny. Hver tjeneste som bruker en appregistrering, må konfigureres på nytt når en hemmelighet roteres. Jo flere appregistreringer du bruker, jo mer arbeid må du gjøre for å vedlikeholde dem.
Azure-appregistreringsstrategier
Strategier for registrering av apper med Microsoft Entra ID som skal brukes av ALM Accelerator, varierer fra det svært enkle til det mest detaljerte.
Én appregistrering for alt
Den enkleste strategien er å opprette én appregistrering for alle dine behov. Med denne strategien bruker du den samme appregistreringen for den egendefinerte CustomAzureDevOps-koblingen og Azure DevOps-tjenestetilkoblinger du trenger for å få tilgang til Power Platform-miljøene.
Selv om denne strategien er den enkleste å administrere, bryter den minimumsrettighetsprinsippet. Én appregistrering har tillatelser til å utføre alle nødvendige operasjoner via den egendefinerte koblingen og alle Azure DevOps-tjenestetilkoblinger du har konfigurert.
| Appregistrering | API-tillatelse og -type | Bekrivelse |
|---|---|---|
| Registrering av én app for alle formål | Azure DevOps - user_impersonation - Delegert | ALM Accelerator-lerretsappen trenger Azure DevOps-API-tillatelser for å kunne kommunisere med Azure DevOps. |
| Registrering av én app for alle formål | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøer og distribusjonsløsninger for validerings-, test- og produksjonsmiljøene, må ha tillatelser til å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Registrering av én app for alle formål | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
Én appregistrering for Azure DevOps og én for Power Platform
En mer detaljert strategi er å opprette én appregistrering for den egendefinerte CustomAzureDevOps-koblingen og en for kanalene for å kommunisere med Power Platform-miljøer.
Denne strategien er bedre tilpasset det minste rettighetsprinsippet. Bare appregistreringen som brukes av den egendefinerte CustomAzureDevOps-koblingen, har tilgang til Azure DevOps-API-en, og bare appregistreringen som brukes til å koble deg til Power Platform, kan bruke API-en for Power Platform (Dynamics CRM).
| Appregistrering | API-tillatelse og -type | Bekrivelse |
|---|---|---|
| Appregistrering for Azure DevOps | Azure DevOps - user_impersonation - Delegert | ALM Accelerator-lerretsappen trenger Azure DevOps-API-tillatelser for å kunne kommunisere med Azure DevOps. |
| Appregistrering for Power Platform | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøer og distribusjonsløsninger for valideringsmiljøet, må ha tillatelser til å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
Én appregistrering for Azure DevOps og flere for Power Platform
En enda mer detaljert strategi er å opprette appregistreringer for tilgang til ulike Power Platform-miljøer. Du kan opprette én appregistrering for hvert miljø du trenger tilgang til, ved hjelp av ALM Accelerator-kanalene. Du kan også opprette én appregistrering for hvert Power Platform-prosjekt som du støtter, ved hjelp av ALM Accelerator.
Denne strategien er tett tilpasset det minste rettighetsprinsippet. Du bør imidlertid også vurdere vedlikehold. Sørg for at du opprettholder en strukturert måte å identifisere hvilken appregistrering som brukes for hvert miljø. Denne informasjonen er nyttig når du trenger hjelp med å rotere appregistreringshemmelighetene.
Tabellen nedenfor viser hvordan du kan opprette appregistreringer for hvert Power Platform-prosjekt for å begrense tilgang til bare det relevante miljøet.
| Appregistrering | Power Platform-omfang | API-tillatelse og -type | Bekrivelse |
|---|---|---|---|
| Appregistrering for Azure DevOps | Ikke aktuelt | Azure DevOps - user_impersonation - Delegert | ALM Accelerator-lerretsappen trenger Azure DevOps-API-tillatelser for å kunne kommunisere med Azure DevOps. |
| Appregistrering for Power Platform | Platform-prosjekt 1 | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Prosjekt 1 | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Prosjekt 2 | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Prosjekt 2 | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Produksjonsutviklingsmiljø 1 | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Produksjonsutviklingsmiljø 2 | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å gjøre løsningsoperasjoner |
Tabellen nedenfor viser hvordan du kan justere ytterligere med det minste rettighetsprinsippet ved å opprette appregistreringer for hvert Power Platform-miljø.
| Appregistrering | Power Platform-omfang | API-tillatelse og -type | Bekrivelse |
|---|---|---|---|
| Appregistrering for Azure DevOps | Ikke aktuelt | Azure DevOps - user_impersonation - Delegert | ALM Accelerator-lerretsappen trenger Azure DevOps-API-tillatelser for å kunne kommunisere med Azure DevOps. |
| Appregistrering for Power Platform | Prosjekt 1 - Valideringsmiljø | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Prosjekt 1 - Valideringsmiljø | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Prosjekt 1 - Testmiljø | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Prosjekt 1 - Produksjonsmiljø | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Prosjekt 2 - Valideringsmiljø | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Prosjekt 2 - Valideringsmiljø | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Prosjekt 2 - Testmiljø | Power Apps Advisor - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke tjenesten for Power Apps-rådgiver til å kjøre oppgaven for løsningskontroll. |
| Appregistrering for Power Platform | Prosjekt 2 - Produksjonsmiljø | Dynamics CRM - user_impersonation - Delegert | Kanalen for utrulling av løsninger til valideringsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Produksjonsutviklingsmiljø 1 | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |
| Appregistrering for Power Platform | Produksjonsutviklingsmiljø 2 | Dynamics CRM - user_impersonation - Delegert | Kanalen for eksport av løsninger fra utviklerutviklingsmiljøet må ha tillatelser for å bruke API-en for Power Platform (Dynamics CRM) til å utføre løsningsoperasjoner. |