Considerações sobre registro de aplicativo
O ALM Accelerator for Power Platform depende dos registros de aplicativos do Microsoft Entra para se comunicar com os serviços necessários. Este artigo debate considerações que você deve ter em mente e abordagens que pode adotar ao projetar uma estratégia do registro de aplicativo para o ALM Accelerator.
Permissões de API obrigatórias
Você precisa permitir que registros de aplicativo usem as APIs relevantes para que o ALM Accelerator se comunique com serviços obrigatórios. Os requisitos de comunicação com esses serviços dependem da funcionalidade do ALM Accelerator.
A tabela a seguir mostra quais permissões de API são obrigatórias para as funcionalidades diferentes do ALM Accelerator.
| Funcionalidade | Permissão de API | Tipo de permissão | Descrição |
|---|---|---|---|
| Conector personalizado CustomAzureDevOps | Azure DevOps – user_impersonation | Delegado | O aplicativo de tela ALM Accelerator precisa das permissões de API do Azure DevOps para se comunicar com o Azure DevOps. |
| Implantar pipelines de validação | Dynamics CRM – user_impersonation | Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Implantar pipelines de validação | Assistente do Power Apps – Analysis.All | Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Implantar pipelines de teste | Dynamics CRM – user_impersonation | Delegado | O pipeline para implantar soluções no ambiente de teste precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Implantar pipelines de produção | Dynamics CRM – user_impersonation | Delegado | O pipeline para implantar soluções no ambiente de produção precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Exportar pipeline de solução | Dynamics CRM – user_impersonation | Delegado | O pipeline para exportar soluções do ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Importar pipeline de solução | Dynamics CRM – user_impersonation | Delegado | O pipeline para importar soluções do controle do código-fonte do Azure Git para o ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Excluir pipeline de solução | Dynamics CRM – user_impersonation | Delegado | O pipeline para excluir soluções no ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
Considerações para uma estratégia de registro de aplicativo
Ao projetar a estratégia para criar e gerenciar registros de aplicativo para o ALM Accelerator, você deve levar em consideração a segurança e a manutenção.
Princípio do privilégio mínimo
De uma perspectiva de segurança, leve em consideração o princípio do menor privilégio. Qualquer registro de aplicativo deve ter o mínimo de privilégios necessários para realizar as operações necessárias.
Simplicidade de manutenção
De uma perspectiva de manutenção, leve em consideração uma estratégia que exija que você faça o mínimo de trabalho para manter os registros de aplicativo e os serviços que os usam. Por exemplo, uma das tarefas de manutenção dos registros de aplicativo é a rotação de segredo – revogando o segredo atual e criando um novo. Cada serviço que usa um registro de aplicativo precisa ser reconfigurado quando a rotação de um segredo é realizada. Quanto mais registros de aplicativo você usar, mais trabalho precisará fazer para mantê-los.
Estratégias de registro do Azure App
As estratégias de registro dos aplicativos com o Microsoft Entra ID para uso pelo intervalo do ALM Accelerator vão desde a muito simples a muito granular.
Um registro de aplicativo para tudo
A estratégia mais simples é criar um registro de aplicativo para todas as necessidades. Com essa estratégia, você usa o mesmo registro de aplicativo para o conector personalizado CustomAzureDevOps e todas as conexões do Azure DevOps Service das quais precisa para ter acesso aos ambientes do Power Platform.
Embora seja a mais fácil de gerenciar, essa estratégia viola o princípio do menor privilégio. Um registro de aplicativo tem permissões para realizar todas as operações obrigatórias por meio do conector personalizado e todas as conexões do Azure DevOps Service configuradas.
| Registro do aplicativo | Permissão e tipo da API | Descrição |
|---|---|---|
| Registro de aplicativo único para todas as finalidades | Azure DevOps - user_impersonation - Delegado | O aplicativo de tela ALM Accelerator precisa das permissões de API do Azure DevOps para se comunicar com o Azure DevOps. |
| Registro de aplicativo único para todas as finalidades | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções dos ambientes de desenvolvimento do criador e implantar soluções nos ambientes de validação, teste e produção precisa de permissões para usar a API do Power Platform (Dynamics CRM) a fim de realizar operações de solução. |
| Registro de aplicativo único para todas as finalidades | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
Um registro de aplicativo para o Azure DevOps e um para o Power Platform
Uma estratégia mais granular é criar um registro de aplicativo para o conector personalizado CustomAzureDevOps e outro para os pipelines se comunicarem com ambientes do Power Platform.
Essa estratégia se alinha melhor com o princípio do menor privilégio. Somente o registro de aplicativo usado no conector personalizado CustomAzureDevOps pode acessar a API do Azure DevOps e apenas o registro de aplicativo usado para se conectar ao Power Platform pode usar a API do Power Platform (Dynamics CRM).
| Registro do aplicativo | Permissão e tipo da API | Descrição |
|---|---|---|
| Registro de aplicativo para Azure DevOps | Azure DevOps - user_impersonation - Delegado | O aplicativo de tela ALM Accelerator precisa das permissões de API do Azure DevOps para se comunicar com o Azure DevOps. |
| Registro de aplicativo para Power Platform | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções dos ambientes de desenvolvimento do criador e implantar soluções nos ambientes de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) a fim de realizar operações de solução. |
| Registro de aplicativo para Power Platform | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
Um registro de aplicativo para o Azure DevOps e diversos para o Power Platform
Uma estratégia ainda mais granular é criar registros de aplicativo para ter acesso a ambientes do Power Platform diferentes. Convém criar um registro de aplicativo para cada ambiente que você precisa acessar usando os pipelines do ALM Accelerator. Ou crie um registro de aplicativo para cada projeto do Power Platform para o qual você dá suporte usando o ALM Accelerator.
Essa estratégia se alinha perfeitamente com o princípio do menor privilégio. No entanto, você também deve levar em consideração a manutenção. Não se esqueça de manter uma maneira estruturada de identificar qual registro de aplicativo é usado em cada ambiente. Essas informações serão úteis quando você fizer a rotação dos segredos do registro de aplicativo.
A tabela a seguir mostra como você pode criar registros de aplicativo para cada projeto do Power Platform a fim de restringir o acesso apenas ao ambiente relevante.
| Registro do aplicativo | Escopo do Power Platform | Permissão e tipo da API | Descrição |
|---|---|---|---|
| Registro de aplicativo para Azure DevOps | Não aplicável | Azure DevOps - user_impersonation - Delegado | O aplicativo de tela ALM Accelerator precisa das permissões de API do Azure DevOps para se comunicar com o Azure DevOps. |
| Registro de aplicativo para Power Platform | Platform Projeto 1 | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Projeto 1 | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Ambiente de desenvolvimento do Criador 1 | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções do ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Ambiente de desenvolvimento do Criador 2 | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções do ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para fazer operações de solução |
A tabela a seguir mostra como você pode se alinhar ainda mais com o princípio do menor privilégio criando registros de aplicativo para cada ambiente do Power Platform.
| Registro do aplicativo | Escopo do Power Platform | Permissão e tipo da API | Descrição |
|---|---|---|---|
| Registro de aplicativo para Azure DevOps | Não aplicável | Azure DevOps - user_impersonation - Delegado | O aplicativo de tela ALM Accelerator precisa das permissões de API do Azure DevOps para se comunicar com o Azure DevOps. |
| Registro de aplicativo para Power Platform | Projeto 1 - Ambiente de Validação | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Projeto 1 - Ambiente de Validação | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Projeto 1 - Ambiente de Teste | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Projeto 1 - Ambiente de Produção | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 - Ambiente de Validação | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 - Ambiente de Validação | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 - Ambiente de Teste | Assistente do Power Apps - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar o serviço Assistente do Power Apps para executar a tarefa do verificador de solução. |
| Registro de aplicativo para Power Platform | Projeto 2 - Ambiente de Produção | Dynamics CRM - user_impersonation - Delegado | O pipeline para implantar soluções no ambiente de validação precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Ambiente de desenvolvimento do Criador 1 | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções do ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |
| Registro de aplicativo para Power Platform | Ambiente de desenvolvimento do Criador 2 | Dynamics CRM - user_impersonation - Delegado | O pipeline para exportar soluções do ambiente de desenvolvimento do criador precisa de permissões para usar a API do Power Platform (Dynamics CRM) para realizar operações de solução. |