Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
Acest articol oferă o prezentare generală a configurării Microsoft Entra pentru apelarea API-ului Power Platform. Pentru a accesa resursele disponibile prin API-ul Power Platform, trebuie să obțineți un token de urs de la Microsoft Entra și să îl trimiteți ca antet împreună cu fiecare solicitare. În funcție de tipul de identitate pe care îl acceptați (utilizator versus principal de serviciu) există fluxuri diferite pentru a obține acest token de urs, așa cum este descris în acest articol.
Următorii pași sunt necesari pentru a obține un token la purtător cu permisiunile corecte:
- Creați o înregistrare a aplicației în Microsoft Entra chiriașul dvs
- Configurarea permisiunilor API
- Configurarea clientului public (opțional)
- Configurarea certificatelor și secretelor (opțional)
- Solicitarea unui token de acces
Pasul 1. Crearea unei înregistrări a aplicației
Navigați la pagina Microsoft Entra înregistrarea aplicației și creați o înregistrare nouă. Dați un nume aplicației și asigurați-vă că opțiunea O singură entitate găzduită este selectată. Puteți sări peste configurarea URI-ului de redirecționare.
Pasul 2. Configurarea permisiunilor API
În cadrul înregistrării noii dvs. aplicații, navigați la fila Gestionați - Permisiuni API. Sub secțiunea Configurați permisiunile, selectați Adăugați o permisiune. În fereastra de dialog care se deschide, selectați fila API-urile pe care le folosește organizația mea, apoi căutați Power Platform API. Este posibil să vedeți mai multe intrări cu un nume similar cu acesta, deci asigurați-vă că îl utilizați pe cel cu GUID 8578e004-a5c6-46e7-913e-12f58912df43.
Dacă nu vedeți Power Platform API care apare în listă când căutați după GUID, este posibil să aveți în continuare acces la el, dar vizibilitatea nu este reîmprospătată. Pentru a impune o reîmprospătare, rulați următorul script:
#Install the Microsoft Graph PowerShell SDK module
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Connect-MgGraph
New-MgServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
De aici, trebuie să selectați permisiunile de care aveți nevoie. Acestea sunt grupate după Spații de nume. Într-un spațiu de nume, vedeți tipurile de resurse și acțiunile, de exemplu AppManagement.ApplicationPackages.Read , care oferă permisiuni de citire pentru pachetele de aplicații. Pentru mai multe informații, consultați articolul nostru de referință la permisiuni .
Notă
Power Platform API utilizează numai permisiuni delegate în acest moment. Pentru aplicațiile care rulează cu un context de utilizator, solicitați permisiuni delegate utilizând parametrul scope. Aceste permisiuni deleagă privilegiile utilizatorului autentificat către aplicația dvs., permițându-i să acționeze ca utilizator atunci când apelează punctele finale Power Platform API.
Pentru identitățile principalelor de serviciu, permisiunile de aplicație nu sunt utilizate. Entitățile principale de serviciu sunt tratate acum ca administratori Power Platform și trebuie să fie înregistrate urmând PowerShell - Crearea unei entități principale de serviciu.
După adăugarea permisiunilor necesare la aplicație, selectați Acordă consimțământul administratorului pentru a finaliza configurarea. Acest lucru este necesar pentru cazurile în care doriți să permiteți utilizatorilor să acceseze aplicația dvs. imediat, în loc să fie nevoie de o experiență interactivă de consimțământ. Dacă puteți accepta consimțământul interactiv, vă recomandăm să urmați Microsoft platforma de identitate și OAuth fluxul codurilor de autorizare 2.0.
Pasul 3. Configurarea clientului public (opțional)
Dacă aplicația dvs. necesită resurse de citire și scriere în numele unui utilizator, trebuie să activați setarea Public Client. Acesta este singurul mod prin care Microsoft Entra ID acceptă proprietățile numelui de utilizator și parolei în corpul solicitării de simbol. De asemenea, rețineți că, dacă intenționați să utilizați această caracteristică, nu funcționează pentru conturile care au activată autentificarea multifactor.
Pentru activare, accesați fila Gestionați - Autentificare. Sub secțiunea Setări avansate, setați comutatorul Public Client la Da.
Pasul 4. Configurarea certificatelor și secretelor (opțional)
Dacă aplicația dvs. necesită resurse de citire și scriere ca ea însăși - cunoscută și ca principal de serviciu, există două moduri de autentificare. Pentru a utiliza certificate, navigați la fila Gestionați - Certificate și secrete. Sub secțiunea Certificate , încărcați un certificat x509 pe care îl puteți utiliza pentru autentificare. O altă metodă este utilizarea secțiunii Secrete pentru a genera un secret de client. Salvați secretul într-o locație sigură pentru a fi utilizat cu nevoile dvs. de automatizare. Certificatul sau opțiunile secrete vă permit să vă autentificați cu Microsoft Entra și să primiți un simbol pentru acest client, pe care îl transmiteți fie către API-urile REST, fie către cmdleturile PowerShell.
Pasul 5. Solicitarea unui token de acces
Există două modalități de a obține un token de acces la purtător. Una este pentru nume de utilizator și parolă, iar cealaltă este pentru entități principale de serviciu.
Fluxul de nume de utilizator și parolă
Asigurați-vă că citiți secțiunea Public Client de mai sus. Apoi, trimiteți o solicitare POST prin HTTP la Microsoft Entra ID cu un nume de utilizator și o parolă.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Exemplul de mai sus conține substituenți pe care îi puteți prelua din aplicația dvs. client în Microsoft Entra ID. Primiți un răspuns care poate fi folosit pentru a efectua apeluri ulterioare către Power Platform API.
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Utilizați valoarea access_token în apelurile ulterioare către API Power Platform cu antetul HTTP Autorizare.
Fluxul principal al serviciului
Asigurați-vă că citiți secțiunea Certificate și secrete de mai sus. Apoi, trimiteți o solicitare POST prin HTTP către Microsoft Entra ID cu o sarcină utilă secretă a clientului. Aceasta este adesea denumită autentificare principală a serviciului.
Important
Acesta poate fi utilizat numai după ce ați înregistrat acest ID de aplicație client cu Microsoft Power Platform urmând fie PowerShell sau REST documentație.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Exemplul de mai sus conține substituenți pe care îi puteți prelua din aplicația dvs. client în Microsoft Entra ID. Primiți un răspuns care poate fi folosit pentru a efectua apeluri ulterioare către Power Platform API.
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Utilizați valoarea access_token în apelurile ulterioare către API Power Platform cu antetul HTTP Autorizare. După cum s-a menționat mai sus, fluxul principal de servicii nu utilizează permisiunile aplicației și este tratat, deocamdată, ca un Power Platform administrator pentru toate apelurile pe care le efectuează.
Conținut asociat
Crearea unei aplicații principale de serviciu prin API (versiune preliminară)
PowerShell - Creați principalul de serviciu