Share via

Verificatie (preview)

  • Artikel

Dit artikel geeft een overzicht van de Microsoft Entra-configuratie om de Power Platform-API aan te roepen (preview). Als u toegang wilt krijgen tot resources die beschikbaar zijn via Power Platform-API, u moet een bearer-token krijgen van Microsoft Entra en deze samen met elke aanvraag als een header verzenden. Afhankelijk van het identiteitstype dat u ondersteunt (gebruiker versus service principal), zijn er verschillende stromen om dit bearer-token te verkrijgen, zoals beschreven in dit artikel.

De volgende stappen zijn vereist om een bearer-token met de juiste machtigingen te verkrijgen:

  1. Een toepassingsregistratie maken in uw Microsoft Entra-tenant
  2. API-machtigingen configureren
  3. Openbare client configureren (optioneel)
  4. Certificaten en geheimen configureren (optioneel)
  5. Een toegangstoken aanvragen

Stap 1. Een toepassingsregistratie maken

Navigeer naar de pagina Registratie voor Microsoft Entra-app en maak een nieuwe registratie. Geef de toepassing een naam en zorg ervoor dat de optie Eén tenant is geselecteerd. U kunt de instelling van de omleidings-URI overslaan.

Stap 2. API-machtigingen configureren

Navigeer in uw nieuwe app-registratie naar het tabblad Beheren - API-machtigingen. Selecteer onder de sectie Machtigingen configureren de optie Een machtiging toevoegen. Selecteer in het dialoogvenster dat wordt geopend het tabblad API's die mijn organisatie gebruikt en zoek Power Platform-API. Mogelijk ziet u verschillende vermeldingen met een soortgelijke naam, dus zorg ervoor dat u degene met de GUID 8578e004-a5c6-46e7-913e-12f58912df43 gebruikt.

Als u de Power Platform-API niet ziet in de lijst wanneer u met GUID zoekt, het is mogelijk dat u er nog wel toegang toe hebt, maar de zichtbaarheid niet is vernieuwd. Forceer vernieuwen door het onderstaande PowerShell-script uit te voeren:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

Vanaf hier moet u de benodigde machtigingen selecteren. Deze zijn gegroepeerd op Naamruimten. Binnen een naamruimte ziet u bijvoorbeeld resourcetypen en acties als AppManagement.ApplicationPackages.Read die leesmachtigingen geeft voor toepassingspakketten. Zie ons artikel Machtigingsverwijzing voor meer informatie.

Opmerking

Power Platform-API maakt op dit moment alleen gebruik van gedelegeerde machtigingen. Voor toepassingen die met een gebruikerscontext worden uitgevoerd, vraagt u gedelegeerde machtigingen aan met behulp van de scope-parameter. Deze machtigingen delegeren de bevoegdheden van de aangemelde gebruiker aan uw toepassing, waardoor deze als gebruiker kan optreden bij het aanroepen van Power Platform-API-eindpunten.

Voor service principal-identiteiten worden geen toepassingsmachtigingen gebruikt. In plaats daarvan worden service principals nu behandeld als Power Platform-beheerders en moeten ze worden geregistreerd door PowerShell - Service Principal maken te volgen.

Nadat de vereiste machtigingen aan de toepassing zijn toegevoegd, selecteert u Beheerderstoestemming verlenen om de installatie te voltooien. Dit is nodig voor gevallen waarin u gebruikers meteen toegang tot uw app wilt geven, in plaats van een interactieve toestemmingservaring te vereisen. Als u interactieve toestemming kunt ondersteunen, raden wij u aan de Microsoft identiteitsplatform- en OAuth 2.0-autorisatiecodestroom te volgen.

Stap 3. Openbare client configureren (optioneel)

Als uw app lees- en schrijfresources vereist namens een gebruiker, moet u de instelling voor openbare client inschakelen. Dit is de enige manier waarop Microsoft Entra ID gebruikersnaam- en wachtwoordeigenschappen in de hoofdtekst van uw tokenaanvraag accepteert. Houd er ook rekening mee dat als u van plan bent deze functie te gebruiken, deze niet werkt voor accounts waarvoor meervoudige verificatie is ingeschakeld.

Als u dit wilt inschakelen, gaat u naar het tabblad Beheren - Verificatie. Stel onder de sectie Geavanceerde instellingen de schakelaar Openbare client in op Ja.

Stap 4. Certificaten en geheimen configureren (optioneel)

Als uw app lees- en schrijfresources als zichzelf nodig heeft, ook wel bekend als een Service Principal, zijn er twee manieren om de verificatie uit te voeren. Om certificaten te gebruiken, gaat u naar het tabblad Beheren - Certificaten en geheimen. Upload onder de sectie Certificaten een x509-certificaat dat u kunt gebruiken voor de verificatie. De andere manier is om de sectie Geheimen te gebruiken om een clientgeheim te genereren. Bewaar het geheim op een veilige locatie voor gebruik bij uw automatiseringsbehoeften. Met de certificaat- of geheime opties kunt u verifiëren bij Microsoft Entra en een token ontvangen voor deze client, die u doorgeeft aan de REST API's of PowerShell-cmdlets.

Stap 5. Een toegangstoken aanvragen

Er zijn twee manieren om een bearer-token voor toegang te verkrijgen. De ene is voor gebruikersnaam en wachtwoord en de andere is voor service principals.

Gebruikersnaam en wachtwoord-stroom

Zorg ervoor dat u de sectie Openbare client hierboven leest. Stuur dan een POST-aanvraag via HTTP naar Microsoft Entra ID met een nettolading gebruikersnaam en wachtwoord.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

Het bovenstaande voorbeeld bevat tijdelijke aanduidingen die u kunt ophalen uit uw clienttoepassing in Microsoft Entra ID. U ontvangt een antwoord dat kan worden gebruikt om volgende aanroepen te plaatsen naar de Power Platform-API.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Gebruik de toegangstoken-waarde in volgende aanroepen naar de Power Platform-API met behulp van de HTTP-header Autorisatie.

Service Principal-stroom

Zorg ervoor dat u de sectie Certificaten en geheimen hierboven leest. Stuur dan een POST-aanvraag via HTTP naar Microsoft Entra met een clientgeheim-nettolading. Dit wordt vaak Service Principal-verificatie genoemd.

Belangrijk

Dit kan alleen worden gebruikt nadat u deze clienttoepassings-id hebt geregistreerd met Microsoft Power Platform volgend op ofwel de gerelateerde PowerShell- of REST-documentatie.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

Het bovenstaande voorbeeld bevat tijdelijke aanduidingen die u kunt ophalen uit uw clienttoepassing in Microsoft Entra ID. U ontvangt een antwoord dat kan worden gebruikt om volgende aanroepen te plaatsen naar de Power Platform-API.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Gebruik de toegangstoken-waarde in volgende aanroepen naar de Power Platform-API met behulp van de HTTP-header Autorisatie. Zoals hierboven vermeld, gebruikt de Service Principal-stroom geen toepassingsmachtigingen en wordt in plaats daarvan voorlopig behandeld als een Power Platform-beheerder voor alle oproepen die ze doen.

Zie ook

Een serviceprincipaltoepassing maken via API (preview)
PowerShell - Serviceprincipal maken