Share via

Autentificare (versiune preliminară)

  • Articol

Acest articol oferă o prezentare generală a configurării pentru apelarea Microsoft Entra API-ului Power Platform (versiune preliminară). Pentru a accesa resursele disponibile prin Power Platform API, trebuie să obțineți un token la purtător și Microsoft Entra să îl trimiteți ca antet împreună cu fiecare solicitare. În funcție de tipul de identitate pe care îl acceptați (utilizator vs principal de serviciu), există diferite fluxuri pentru a obține acest simbol la purtător, așa cum este descris în acest articol.

Următorii pași sunt necesari pentru a obține un token la purtător cu permisiunile corecte:

  1. Creați o înregistrare a aplicației în entitatea găzduită Microsoft Entra
  2. Configurarea permisiunilor API
  3. Configurarea clientului public (opțional)
  4. Configurarea certificatelor și secretelor (opțional)
  5. Solicitarea unui token de acces

Pasul 1. Crearea unei înregistrări a aplicației

Navigați la pagina de înregistrare a Microsoft Entra aplicației și creați o nouă înregistrare . Dați un nume aplicației și asigurați-vă că opțiunea O singură entitate găzduită este selectată. Puteți sări peste configurarea URI-ului de redirecționare.

Pasul 2. Configurarea permisiunilor API

În cadrul înregistrării noii dvs. aplicații, navigați la fila Gestionați - Permisiuni API. Sub secțiunea Configurați permisiunile, selectați Adăugați o permisiune. În fereastra de dialog care se deschide, selectați fila API-urile pe care le folosește organizația mea, apoi căutați Power Platform API. Este posibil să vedeți mai multe intrări cu un nume similar cu acesta, deci asigurați-vă că îl utilizați pe cel cu GUID 8578e004-a5c6-46e7-913e-12f58912df43.

Dacă nu vedeți Power Platform API afișat în listă atunci când căutați după GUID, este posibil să aveți în continuare acces la acesta, dar vizibilitatea nu este reîmprospătată. Pentru a forța o reîmprospătare, rulați scriptul PowerShell de mai jos:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

De aici, trebuie să selectați permisiunile de care aveți nevoie. Acestea sunt grupate după Spații de nume. Într-un spațiu de nume, veți vedea tipuri de resurse și acțiuni, de exemplu , AppManagement.ApplicationPackages.Read care oferă permisiuni de citire pentru pachetele de aplicații. Pentru mai multe informații, consultați articolul Referință permisiune.

Notă

Power Platform API utilizează numai permisiuni delegate în acest moment. Pentru aplicațiile care rulează cu un context de utilizator, solicitați permisiuni delegate utilizând parametrul scope. Aceste permisiuni deleagă privilegiile utilizatorului autentificat către aplicația dvs., permițându-i să acționeze ca utilizator atunci când apelează punctele finale Power Platform API.

Pentru identitățile de entități principale de serviciu, permisiunile aplicației nu sunt utilizate. Entitățile principale de serviciu sunt tratate acum ca administratori Power Platform și trebuie să fie înregistrate urmând PowerShell - Crearea unei entități principale de serviciu.

După adăugarea permisiunilor necesare la aplicație, selectați Acordă consimțământul administratorului pentru a finaliza configurarea. Acest lucru este necesar pentru cazurile în care doriți să permiteți utilizatorilor să acceseze aplicația dvs. imediat, în loc să fie nevoie de o experiență interactivă de consimțământ. Dacă puteți accepta consimțământul interactiv, vă recomandăm să urmați platforma de identitate Microsoft și fluxul de coduri de autorizare OAuth 2.0.

Pasul 3. Configurarea clientului public (opțional)

Dacă aplicația necesită resurse de citire și scriere în numele unui utilizator, trebuie să activați setarea Client public. Acesta este singurul mod în care Microsoft Entra ID-ul acceptă proprietățile numelui de utilizator și parolei în corpul solicitării tokenului. De asemenea, rețineți că, dacă intenționați să utilizați această funcție, nu va funcționa pentru conturile care au activată autentificarea multifactorială.

Pentru activare, accesați fila Gestionați - Autentificare. Sub secțiunea Setări avansate, setați comutatorul Public Client la Da.

Pasul 4. Configurarea certificatelor și secretelor (opțional)

Dacă aplicația necesită resurse de citire și scriere ca atare, cunoscută și ca director de serviciu, există două modalități de autentificare. Pentru a utiliza certificate, navigați la fila Gestionați - Certificate și secrete. Sub secțiunea Certificate , încărcați un certificat x509 pe care îl puteți utiliza pentru autentificare. O altă metodă este utilizarea secțiunii Secrete pentru a genera un secret de client. Salvați secretul într-o locație sigură pentru a fi utilizat cu nevoile dvs. de automatizare. Certificatul sau opțiunile secrete vă permit să vă autentificați și Microsoft Entra să primiți un simbol pentru acest client, pe care îl transmiteți fie API-urilor REST, fie cmdleturilor PowerShell.

Pasul 5. Solicitarea unui token de acces

Există două modalități de a obține un token de acces la purtător. Una este pentru nume de utilizator și parolă, iar cealaltă este pentru entități principale de serviciu.

Fluxul de nume de utilizator și parolă

Asigurați-vă că citiți secțiunea Public Client de mai sus. Apoi, trimiteți o solicitare POST prin HTTP la Microsoft Entra ID cu o sarcină utilă de nume de utilizator și parolă.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

Exemplul de mai sus conține substituenți pe care îi puteți prelua din aplicația client în Microsoft Entra ID. Veți primi un răspuns care poate fi utilizat pentru a efectua apeluri ulterioare către Power Platform API.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Utilizați valoarea access_token în apelurile ulterioare către API Power Platform cu antetul HTTP Autorizare.

Fluxul principal al serviciului

Asigurați-vă că citiți secțiunea Certificate și secrete de mai sus. Apoi, trimiteți o solicitare POST prin HTTP la Microsoft Entra ID cu o sarcină utilă secretă client. Aceasta este adesea denumită autentificare principală a serviciului.

Important

Acest lucru poate fi utilizat numai după ce ați înregistrat acest ID de Microsoft Power Platform aplicație client urmând documentația PowerShell sau REST aferentă .

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

Exemplul de mai sus conține substituenți pe care îi puteți prelua din aplicația client în Microsoft Entra ID. Veți primi un răspuns care poate fi utilizat pentru a efectua apeluri ulterioare către Power Platform API.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Utilizați valoarea access_token în apelurile ulterioare către API Power Platform cu antetul HTTP Autorizare. După cum s-a menționat mai sus, fluxul principal de servicii nu utilizează permisiunile aplicației și este, deocamdată, tratat ca administrator Power Platform pentru toate apelurile pe care le efectuează.

Consultați și

Crearea unei aplicații de entitate principală de serviciu via API (versiune preliminară)
PowerShell - Crearea unei entități principale de serviciu