Del via

Hurtigstart: Konfigurere Microsoft Entra for en egendefinert kobling

  • Artikkel

Denne veiledningen beskriver trinnene for å konfigurere et Microsoft Entra-program for bruk med en egendefinert Power Query-kobling. Vi anbefaler at koblingsutviklere ser gjennom konseptene i Microsofts identitetsplattform før de fortsetter.

Siden programtermen brukes i flere kontekster i Microsoft Entra-plattformen, bruker denne veiledningen følgende termer til å skille mellom program-ID-er for koblinger og datakilder:

  • Klientprogram: Microsoft Entra-klient-ID-er som brukes av Power Query-koblingen.
  • Ressursprogram: Microsoft Entra-programregistreringen for endepunktet koblingen kobler til (det vil eksempelvis tjenesten eller datakilden).

Aktivering av Microsoft Entra-støtte for en egendefinert kobling innebærer:

  • Definere ett eller flere omfang i ressursprogrammet som brukes av koblingen.
  • Forhåndsautoriser power query-klient-ID-ene for å bruke disse omfangene.
  • Angi riktige Resource verdier og Scopes verdier i koblingsdefinisjonen.

Denne veiledningen forutsetter at et nytt ressursprogram er registrert i Microsoft Entra. Utviklere med et eksisterende ressursprogram kan hoppe til delen Konfigurer et omfang .

Merk

Hvis du vil ha mer informasjon om hvordan du bruker Microsoft Entra i tjenesten eller programmet, kan du gå til en av hurtigstartveiledningene.

Registrer ressursprogrammet

Datakilden eller API-endepunktet bruker dette ressursprogrammet til å etablere klarering mellom tjenesten og Microsofts identitetsplattform.

Følg disse trinnene for å registrere et nytt ressursprogram:

  1. Logg på administrasjonssenteret for Microsoft Entra som minst en administrator for skyprogrammet.
  2. Bla til appregistreringer for identitetsprogrammer>>, og velg Ny registrering.
  3. Skriv inn et visningsnavn for programmet.
  4. Velg Kontoer i denne organisasjonskatalogen bare for kontotyper som støttes, hvis endepunktet bare er tilgjengelig fra organisasjonen. Velg Kontoer i en organisasjonskatalog for offentlig tilgjengelige tjenester med flere enheter.
  5. Velg Registrer.

Du trenger ikke å angi en URI-verdi for omadressering.

Oversiktssiden for programmet vises når registreringen er fullført. Noter katalog-ID-en (leier) og program-ID-verdiene (klient) slik de skal brukes i tjenestens kildekode. Følg en av veiledningene i Microsofts identitetsplattform kodeeksempler som ligner på tjenestemiljøet og arkitekturen, for å finne ut hvordan du konfigurerer og bruker det nye programmet.

Angi en program-ID URI

Før du kan konfigurere et omfang for endepunktet, må du angi en program-ID-URI for ressursprogrammet. Denne ID-en brukes av ResourceAad feltet i posten i koblingen. Verdien er satt til den primære URL-adressen for tjenesten. Du kan også bruke standardgenerert av Microsoft Entra – api://{clientId} hvor {clientId} er klient-ID-en til ressursprogrammet.

  1. Gå til oversiktssiden for ressursprogrammet.
  2. Velg Legg til en program-ID URI under Essentials på den midterste skjermen.
  3. Skriv inn en URI, eller godta standardverdien basert på app-ID-en.
  4. Velg Lagre, og fortsett.

Eksemplene i denne veiledningen forutsetter at du bruker standard URI-format for program-ID (for eksempel - api://44994a60-7f50-4eca-86b2-5d44f873f93f).

Konfigurer et omfang

Omfang brukes til å definere tillatelser eller funksjoner for å få tilgang til API-er eller data i tjenesten. Listen over støttede omfang er tjenestespesifikk. Du vil finne et minimalt sett med omfang som kreves av koblingen. Du må forhåndsautorisere minst ett omfang for Klient-ID-ene for Power Query.

Hvis ressursprogrammet allerede har definerte omfang, kan du gå til neste trinn.

Hvis tjenesten ikke bruker omfangsbaserte tillatelser, kan du fortsatt definere et enkelt omfang som brukes av koblingen. Du kan (eventuelt) bruke dette omfanget i tjenestekoden i fremtiden.

I dette eksemplet definerer du et enkelt omfang kalt Data.Read.

  1. Gå til oversiktssiden for ressursprogrammet.
  2. Velg Vis et API-tillegg > under Behandle.
  3. Skriv inn Data.Read for omfangsnavn.
  4. Velg alternativet Administratorer og brukere for Hvem kan samtykke.
  5. Fyll ut gjenstående visningsnavn og beskrivelsesbokser.
  6. Kontroller at statusen er satt til Aktivert.
  7. Velg Legg til omfang.

Forhåndsautoriser Power Query-klientprogrammene

Power Query-koblinger bruker to forskjellige Microsoft Entra-klient-ID-er. Forhåndsautorisering av omfang for disse klient-ID-ene forenkler tilkoblingsopplevelsen.

Client ID Programnavn Brukt av
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query for Excel Skrivebordsmiljøer
b52893c8-bc2e-47fc-918b-77022b299bbc Oppdatering av Power BI-data Tjenestemiljøer

Slik forhåndsautoriserer du Klient-ID-ene for Power Query:

  1. Gå til oversiktssiden for ressursprogrammet.
  2. Velg Vis en API under Administrer.
  3. Velg Legg til et klientprogram.
  4. Skriv inn én av Klient-ID-ene for Power Query.
  5. Velg de aktuelle autoriserte omfangene.
  6. Velg Legg til program.
  7. Gjenta trinn 3 – 6 for hver Power Query-klient-ID.

Aktiver Aad-godkjenningstype i koblingen

Microsoft Entra ID-støtte er aktivert for koblingen ved å legge til Aad godkjenningstypen i koblingens datakildepost.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

{YourApplicationIdUri} Erstatt verdien med program-ID-URI-verdien for ressursprogrammet, for eksempel api://44994a60-7f50-4eca-86b2-5d44f873f93f.

I dette eksemplet:

  • AuthorizationUri: Nettadressen for Microsoft Entra som brukes til å starte godkjenningsflyten. De fleste koblinger kan hardkode denne verdien til https://login.microsoftonline.com/common/oauth2/authorize, men den kan også bestemmes dynamisk hvis tjenesten støtter Azure B2B/Gjestekontoer. Hvis du vil ha mer informasjon, kan du gå til eksempler.
  • Ressurs: Program-ID-URI-en for koblingen.
  • Omfang: Bruk standardomfanget til automatisk å motta alle forhåndsautoriserte omfang. Med .default bruk kan du endre de nødvendige koblingsomfangene i ressursprogramregistreringen, uten å måtte oppdatere koblingen.

Hvis du vil ha mer informasjon og alternativer for konfigurering av Microsoft Entra-støtte i koblingen, kan du gå til eksempler på Microsoft Entra ID-godkjenning.

Gjenoppbygg koblingen, og nå skal du kunne godkjenne med tjenesten ved hjelp av Microsoft Entra ID.

Feilsøking

Denne delen beskriver vanlige feil du kan få hvis Microsoft Entra-programmet er feilkonfigurert.

Power Query-programmet er ikke forhåndsautorisert

access_denied: AADSTS650057: Ugyldig ressurs. Klienten har bedt om tilgang til en ressurs som ikke er oppført i de forespurte tillatelsene i klientens programregistrering. Klientapp-ID: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query for Excel). Ressursverdi fra forespørsel: 44994a60-7f50-4eca-86b2-5d44f873f93f. Ressursapp-ID: 44994a60-7f50-4eca-86b2-5d44f873f93

Det kan hende du ser denne feilen hvis ressursprogrammet ikke har forhåndsautorisert Power Query-klientprogrammene. Følg trinnene for å forhåndsautorisere Klient-ID-ene for Power Query.

Koble til or's Aad-post mangler en omfangsverdi

access_denied: AADSTS650053: Programmet Microsoft Power Query for Excel ba om omfanget user_impersonation som ikke finnes på ressursen 44994a60-7f50-4eca-86b2-5d44f873f93f. Kontakt appleverandøren.

Power Query ber om user_impersonation omfanget hvis koblingens Aad post ikke definerer et Scope felt, eller Scope verdien er null. Du kan løse dette problemet ved å definere en Scope verdi i koblingen. Bruk av .default omfanget anbefales, men du kan også angi omfang på koblingsnivå (for eksempel - Data.Read).

Omfang eller klientprogram krever administratorgodkjenning

Trenger administratorgodkjenning. <leieren> trenger tillatelse til å få tilgang til ressurser i organisasjonen som bare en administrator kan gi. Be en administrator om å gi tillatelse til denne appen før du kan bruke den.

En bruker kan få denne feilen under godkjenningsflyten hvis ressursprogrammet krever administratorbegrensede tillatelser , eller brukerens leier hindrer ikke-adminbrukere i å samtykke til nye forespørsler om programtillatelse. Du kan unngå dette problemet ved å sørge for at koblingen ikke krever administratorbegrensede omfang og forhåndsautorisering av Power Query-klient-ID-er for ressursprogrammet.