Поделиться через

Краткое руководство. Настройка Microsoft Entra для пользовательского соединителя

  • Статья

В этом руководстве описаны действия по настройке приложения Microsoft Entra для использования с пользовательским соединителем Power Query. Перед продолжением мы рекомендуем разработчикам соединителей ознакомиться с понятиями платформа удостоверений Майкрософт.

Так как термин приложения используется в нескольких контекстах на платформе Microsoft Entra, в этом руководстве используются следующие термины для различения идентификаторов приложений соединителя и источника данных:

  • Клиентское приложение: идентификаторы клиента Microsoft Entra, используемые соединителем Power Query.
  • Приложение ресурсов: регистрация приложения Microsoft Entra для конечной точки соединителя подключается (т. е. служба или источник данных).

Включение поддержки Microsoft Entra для пользовательского соединителя включает:

  • Определение одного или нескольких область в приложении ресурсов, используемом соединителем.
  • Предварительная проверка идентификаторов клиента Power Query для использования этих область.
  • Задание правильности Resource и Scopes значений в определении соединителя.

В этом руководстве предполагается, что новое приложение ресурсов зарегистрировано в Microsoft Entra. Разработчики с существующим приложением ресурсов могут перейти к разделу "Настройка области ".

Примечание.

Дополнительные сведения об использовании Microsoft Entra в службе или приложении см. в одном из руководств по краткому руководству.

Регистрация приложения ресурсов

Источник данных или конечная точка API используют это приложение ресурсов для установления доверия между службой и платформа удостоверений Майкрософт.

Выполните следующие действия, чтобы зарегистрировать новое приложение ресурсов:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям> удостоверений>Регистрация приложений и выберите "Создать регистрацию".
  3. Введите отображаемое имя приложения.
  4. Для поддерживаемых типов учетных записей выберите учетные записи в этом каталоге организации только в том случае, если конечная точка доступна только из вашей организации. Выберите учетные записи в любом каталоге организации для общедоступных мультитенантных служб.
  5. Выберите Зарегистрировать.

Не нужно указывать значение URI перенаправления.

Страница обзора приложения отображается после завершения регистрации. Запишите идентификатор каталога (клиента) и значения идентификатора приложения (клиента), так как они будут использоваться в исходном коде службы. Следуйте одному из руководств в примерах кода платформа удостоверений Майкрософт, которые похожи на среду службы и архитектуру, чтобы определить, как настроить и использовать новое приложение.

Настройка URI идентификатора приложения

Прежде чем настроить область для конечной точки, необходимо задать URI идентификатора приложения для приложения ресурсов. Этот идентификатор будет использоваться Resource полем Aad записи в соединителе. Значение имеет корневой URL-адрес службы. Вы также можете использовать значение по умолчанию, созданное Microsoft Entra— api://{clientId} где {clientId} находится идентификатор клиента приложения ресурсов.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. На центральной странице в разделе Essentials выберите " Добавить URI идентификатора приложения".
  3. Введите универсальный код ресурса (URI) или примите значение по умолчанию на основе идентификатора приложения.
  4. Выберите Сохранить и продолжить.

В примерах в этом руководстве предполагается, что используется формат URI идентификатора приложения по умолчанию (например, — api://44994a60-7f50-4eca-86b2-5d44f873f93f).

Настройка области

Области используются для определения разрешений или возможностей для доступа к API или данным в службе. Список поддерживаемых область зависит от службы. Необходимо определить минимальный набор область, необходимых соединителю. Необходимо предварительно выполнить проверку подлинности по крайней мере один область для идентификаторов клиента Power Query.

Если приложение ресурсов уже определено область, перейдите к следующему шагу.

Если служба не использует разрешения на основе область, вы по-прежнему можете определить один область, используемый соединителем. Вы можете (необязательно) использовать этот область в коде службы в будущем.

В этом примере вы определяете один область с именем Data.Read.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. В разделе "Управление" выберите "Предоставить API>", чтобы добавить область.
  3. В поле "Имя области" введите Data.Read.
  4. Для Кто можно предоставить согласие, выберите вариант Администратор и пользователей.
  5. Заполните оставшиеся поля отображаемого имени и описания.
  6. Убедитесь, что для состояния задано значение "Включено".
  7. Выберите Добавить область.

Предварительная проверка подлинности клиентских приложений Power Query

Соединители Power Query используют два разных идентификатора клиента Microsoft Entra. Предварительная проверка подлинности область для этих идентификаторов клиента упрощает взаимодействие с подключением.

Client ID Имя приложения Где используется
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query для Excel Классические среды
b52893c8-bc2e-47fc-918b-77022b299bbc Обновление данных Power BI Среды службы

Чтобы предварительно выполнить проверку подлинности идентификаторов клиента Power Query, выполните следующие действия.

  1. Перейдите на страницу обзора приложения ресурсов.
  2. В разделе Управление выберите Предоставление API.
  3. Выберите Добавить клиентское приложение.
  4. Введите один из идентификаторов клиента Power Query.
  5. Выберите соответствующие авторизованные область.
  6. Выберите Добавить приложение.
  7. Повторите шаги 3 – 6 для каждого идентификатора клиента Power Query.

Включение типа проверки подлинности Aad в соединителе

Поддержка идентификатора Microsoft Entra включена для соединителя, добавив Aad тип проверки подлинности в запись источника данных соединителя.

MyConnector = [
    Authentication = [
        Aad = [
            AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
            Resource = "{YourApplicationIdUri}"
            Scope = ".default"
        ]
    ]
];

Замените {YourApplicationIdUri} значение URI идентификатора приложения для приложения ресурсов, напримерapi://44994a60-7f50-4eca-86b2-5d44f873f93f.

В этом примере:

  • AuthorizationUri: URL-адрес Microsoft Entra, используемый для запуска потока проверки подлинности. Большинство соединителей могут жестко закодировать это значение https://login.microsoftonline.com/common/oauth2/authorize, но оно также может быть динамически определено, если служба поддерживает Azure B2B/Гостевые учетные записи. Дополнительные сведения см. в примерах.
  • Ресурс: URI идентификатора приложения соединителя.
  • Область. Используйте область по умолчанию для автоматического получения всех предварительно несанкционированных область. Использование .default позволяет изменять необходимые область соединителя в регистрации приложения ресурсов без необходимости обновлять соединитель.

Дополнительные сведения и параметры настройки поддержки Microsoft Entra в соединителе см. на странице примеров проверки подлинности идентификатора Microsoft Entra.

Перестройте соединитель, и теперь вы сможете пройти проверку подлинности со службой с помощью идентификатора Microsoft Entra.

Устранение неполадок

В этом разделе описываются распространенные ошибки, которые могут возникнуть, если приложение Microsoft Entra неправильно настроено.

Приложение Power Query не было предварительно несанкционированно

access_denied: AADSTS650057: недопустимый ресурс. Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query для Excel). Значение ресурса из запроса: 44994a60-7f50-4eca-86b2-5d4f873f93f93f. Идентификатор приложения ресурса: 44994a60-7f50-4eca-86b2-5d44f873f93f93

Эта ошибка может возникнуть, если приложение ресурсов не несанкционированно несанкционированно к клиентским приложениям Power Query. Выполните действия, чтобы предварительно выполнить проверку подлинности идентификаторов клиента Power Query.

запись Aad Подключение or отсутствует значение области

access_denied: AADSTS650053: приложение "Microsoft Power Query для Excel" попросило область "user_impersonation", которое не существует в ресурсе "44994a60-7f50-4eca-86b2-5d44f873f93f93f93f". Обратитесь к поставщику приложения.

Power Query запрашивает user_impersonation область, если запись соединителя Aad не определяет Scope поле или Scope значениеnull. Эту проблему можно устранить, определив Scope значение в соединителе. .default Рекомендуется использовать область, но можно также указать область на уровне соединителя (например, — Data.Read).

Для области или клиентского приложения требуется утверждение администратора

Требуется утверждение администратора. <клиенту> требуется разрешение на доступ к ресурсам в организации, которым может предоставить только администратор. Попросите администратора предоставить разрешение для этого приложения, прежде чем его можно будет использовать.

Пользователь может получить эту ошибку во время своего потока проверки подлинности, если приложению ресурсов требуются разрешения , ограниченные администратором, или клиент пользователя неадминирует согласие на новые запросы разрешений приложения. Эту проблему можно избежать, убедив, что соединитель не требует каких-либо область с правами администратора и предварительной проверки подлинности идентификаторов клиента Power Query для приложения ресурсов.