Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Tento článok poskytuje prehľad o nastavení služby Microsoft Entra na volanie rozhrania API Power Platformy. Ak chcete získať prístup k prostriedkom dostupným prostredníctvom rozhrania API služby Power Platform, musíte získať nosný token zo služby Microsoft Entra a odoslať ho ako hlavičku spolu s každou požiadavkou. V závislosti od typu identity, ktorú podporujete (používateľ vs. objekt služby), existujú rôzne postupy, ktoré tento nosný token získate, ako je popísané v tomto článku.
Ak chcete získať nosný token so správnymi povoleniami, vykonajte nasledujúce kroky:
- Vytvorenie registrácie aplikácie v nájomníkovi služby Microsoft Entra
- Konfigurácia povolení rozhrania API
- Konfigurácia platformy a identifikátor URI presmerovania
- (Voliteľné) Konfigurácia certifikátov a tajomstvá
- Vyžiadanie prístupového tokenu
Krok č. 1: Vytvorte registráciu aplikácie vo svojom Microsoft Entra nájomníkovi
- Choďte do portálu Azure .
- V hornej časti stránky vyberte položku Microsoft Entra ID . Potom vyberte položku + Pridať>registráciu aplikácie.
- Vyplňte stránku Registrácia aplikácie :
- Názov – zadajte aplikácii rozpoznateľný názov, napríklad súpravu Power Platform Admin SDK.
- Podporované typy kont – vyberte len jedného nájomníka – <názov> vašej spoločnosti.
- Identifikátor URI presmerovania – tento identifikátor zatiaľ vynecháte. Konfiguráciu vykonáte v kroku 3.
- Výberom položky Registrovať vytvorte aplikáciu. Po dokončení registrácie si všimnite ID aplikácie (klienta) a ID adresára (nájomníka) zo stránky prehľadu – neskôr potrebujete obe hodnoty.
Registráciu môžete vytvoriť aj pomocou rozhrania Azure CLI:
az login
az ad app create --display-name "Power Platform Admin SDK" --sign-in-audience AzureADMyOrg
Príkaz vráti objekt JSON.
appId Všimnite si hodnotu – táto hodnota je vaše ID klienta.
Krok č. 2. Konfigurácia povolení rozhrania API
Pri registrácii novej aplikácie prejdite na kartu Spravovať – Povolenia rozhrania API . V časti Konfigurovať povolenia vyberte položku Pridať povolenie. V dialógovom okne vyberte kartu Rozhrania API, ktoré používa moja organizácia , a potom vyhľadajte rozhranie API služby Power Platform. Možno sa zobrazí niekoľko položiek s názvom podobným tomuto, preto sa uistite, že ste používali identifikátor GUID 8578e004-a5c6-46e7-913e-12f58912df43.
Ak sa pri vyhľadávaní identifikátorom GUID nezobrazuje rozhranie API Power Platformy zobrazené v zozname, pravdepodobne k nemu máte prístup, ale viditeľnosť sa neobnoví. Ak chcete vynútiť obnovenie, spustite nasledujúci skript:
#Install the Microsoft Graph PowerShell SDK module
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Connect-MgGraph
New-MgServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
Na tomto paneli vyberte potrebné povolenia. Tieto povolenia sú zoskupené podľa priestorov názvov. V priestore názvov sa zobrazujú typy prostriedkov a akcie, ako napríklad AppManagement.ApplicationPackages.Read, ktorá udeľuje povolenia na čítanie pre balíky aplikácií. Ďalšie informácie nájdete v článku Odkaz na povolenia .
Poznámka
Rozhranie API služby Power Platform používa momentálne iba delegované povolenia. V prípade aplikácií, ktoré sa spúšťajú v kontexte používateľa, požiadajte o delegované povolenia pomocou parametra rozsahu . Tieto povolenia delegujú oprávnenia prihláseného používateľa do vašej aplikácie, aby sa mohol správať ako používateľ pri volaní koncových bodov rozhrania API Power Platformy.
Pre identity objektov služby nepoužívajte povolenia aplikácie. Namiesto toho jej po vytvorení registrácie aplikácie priraďte rolu RBAC, aby ste udelili obmedzené povolenia (napríklad prispievateľ alebo používateľ s právami len na čítanie). Ďalšie informácie nájdete v téme Kurz: Priradenie rolí RBAC objektom služby.
Po pridaní požadovaných povolení do aplikácie vyberte položku Udeliť súhlas správcu a dokončite nastavenie. Udelením súhlasu správcu oprávňujete povolenia pre všetkých používateľov v nájomníkovi, aby sa im pri prvom použití aplikácie nezobrazovali výzvy s interaktívnym dialógovým oknom na udelenie súhlasu. Ak preferujete interaktívny súhlas na používateľa, postupujte podľa platformy Microsoft identity a postupu kódu oprávnenia OAuth 2.0.
Súhlas správcu môžete udeliť aj pomocou rozhrania Azure CLI:
# Replace <app-id> with your application (client) ID
az ad app permission admin-consent --id <app-id>
Krok č. 3. Konfigurácia platformy a identifikátor URI presmerovania
Súpravy SDK, skripty PowerShell a počítačové aplikácie, ktoré sa overujú v mene používateľa, vyžadujú identifikátor URI presmerovania, aby služba Microsoft Entra mohla po overení vrátiť tokeny späť do aplikácie.
V rámci registrácie aplikácie prejdite na položku Spravovať – Overovanie.
Vyberte položku Pridať identifikátor URI presmerovania a potom vyberte položku Mobilné a počítačové aplikácie.
Vyberte nasledujúci vstavaný identifikátor URI presmerovania:
https://login.microsoftonline.com/common/oauth2/nativeclientVyberte položku Konfigurovať a uložte zostavu.
Identifikátor URI presmerovania môžete pridať aj pomocou rozhrania Azure CLI:
# Replace <app-id> with your application (client) ID
az ad app update --id <app-id> --public-client-redirect-uris https://login.microsoftonline.com/common/oauth2/nativeclient
Nastavenie verejného klienta
V časti Rozšírené nastavenia na tej istej karte overenia je prepínač Povoliť verejné klientske postupy . Nastavte tento prepínač na možnosť Áno iba v prípade, ak plánujete použiť postup Poverenia pre heslo vlastníka zdroja (ROPC), ktorý odosiela meno používateľa a heslo priamo v tele požiadavky tokenu.
Tento postup nefunguje pre kontá, ktoré majú povolené overovanie viacerýchfaktorov. V prípade interaktívnych postupov kódu prehliadača alebo zariadenia toto nastavenie nie je potrebné povoliť.
Krok č. 4. (Voliteľné) Konfigurácia certifikátov a tajomstvá
Ak vaša aplikácia vyžaduje na čítanie a zapisovanie prostriedky (známe aj ako objekt služby), existujú dva spôsoby overovania. Ak chcete použiť certifikáty, prejdite na položku Spravovať – certifikáty a tajné kódy. V časti Certifikáty nahrajte certifikát x509, ktorý môžete použiť na overenie.
Druhý spôsob je použitie sekcie Tajné kódy na vygenerovanie tajného kľúča klienta. Uložte tajný kľúč na bezpečnom mieste na použitie s vašimi potrebami automatizácie. Možnosti certifikátu alebo tajného kódu umožňujú overenie v aplikácii Microsoft Entra a získanie tokenu pre tohto klienta, ktorý odovzdáte cez rozhrania REST API alebo rutiny typu cmdlet prostredia PowerShell.
Krok č. 5: Požiadanie o prístupový token
Prístupový nosný token môžete získať dvoma spôsobmi: jedným zo spôsobov je pre meno používateľa a heslo, druhý je pre objekty služby.
Postup s menom používateľa a heslom
Nezabudnite si prečítať verejnú klientsku časť. Potom odošlite požiadavku POST cez HTTP na Microsoft Entra ID s používateľským menom a heslom.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Predchádzajúci príklad obsahuje zástupné symboly, ktoré môžete načítať z klientskej aplikácie v identifikátore Microsoft Entra ID. Zobrazí sa odpoveď, ktorú môžete použiť na následné volania rozhrania API Power Platformy.
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Použite hodnotu access_token v následných volaniach rozhrania API s Power Platform pomocou hlavičky HTTP Overenie.
Hlavný tok služby
Nezabudnite si prečítať časť Konfigurovať certifikáty a tajné kódy . Potom odošlite požiadavku POST cez HTTP na Microsoft Entra ID s tajným dátovým zaťažením klienta. Táto metóda overovania sa často označuje ako overovanie objektom služby.
Dôležité
Pred použitím overovania objektom služby vykonajte kroky 1 až 4 uvedené vyššie v tomto článku a vytvorte a nakonfigurujte registráciu aplikácie pomocou certifikátu alebo tajného kľúča klienta. Potom priraďte objektu služby rolu RBAC, aby ste mohli riadiť jeho úroveň prístupu. Ďalšie informácie nájdete v téme Kurz: Priradenie rolí RBAC objektom služby.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Predchádzajúci príklad obsahuje zástupné symboly, ktoré môžete načítať z klientskej aplikácie v identifikátore Microsoft Entra ID. Zobrazí sa odpoveď, ktorú môžete použiť na následné volania rozhrania API Power Platformy.
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Použite hodnotu access_token v následných volaniach rozhrania API s Power Platform pomocou hlavičky HTTP Overenie. Účinné povolenia objektu služby sú určené rolou RBAC, ktorá je mu priradená. Ďalšie informácie o priraďovaní roly nájdete v téme Kurz: Priradenie rolí RBAC objektom služby.
Rýchly štart s Azure CLI
Nasledujúci skript vytvorí registráciu aplikácie od konca až po koniec. Spustite každý príkaz v poradí a nahraďte hodnoty zástupných symbolov vašimi vlastnými príkazmi.
# Sign in to Azure CLI
az login
# Create the app registration (single tenant)
az ad app create --display-name "Power Platform Admin SDK" --sign-in-audience AzureADMyOrg
# Save the app ID from the output, then create a service principal for it
az ad sp create --id <app-id>
# Add a delegated permission (example: AppManagement.ApplicationPackages.Read)
# The --api value is the Power Platform API app ID.
# The --api-permissions value is the permission ID and type (Scope = delegated).
# Repeat this command for each permission you need. See the Permission reference for IDs.
az ad app permission add --id <app-id> \
--api 8578e004-a5c6-46e7-913e-12f58912df43 \
--api-permissions <permission-id>=Scope
# Grant admin consent so users aren't prompted individually
az ad app permission admin-consent --id <app-id>
# Add the native client redirect URI for interactive auth
az ad app update --id <app-id> \
--public-client-redirect-uris https://login.microsoftonline.com/common/oauth2/nativeclient
Po spustení týchto príkazov môžete použiť registráciu aplikácie pomocou súpravy SDK, PowerShell alebo priamych volaní REST. Ak chcete vyhľadať ID povolení pre --api-permissions parameter, pozrite si tému Odkaz na povolenia.
Riešenie bežných problémov
Chyby "Vyžaduje sa súhlas" alebo "potrebuje schválenie správcom"
Táto chyba sa vyskytne, keď správca nedostal súhlas s povoleniami rozhrania API pri registrácii aplikácie. Prejdite do časti Registrácie aplikácií> povolenia rozhrania API aplikácie > a vyberte položku Udeliť súhlas správcu.
Prípadne spustite:
az ad app permission admin-consent --id <app-id>
Chyby Používateľ nie je priradený k role pre aplikáciu
Táto chyba znamená, že podniková aplikácia priradená k registrácii aplikácie má priradenie používateľa nastavené na hodnotu Áno. Keď je toto nastavenie povolené, môžu sa prihlásiť iba používatelia alebo skupiny, ktoré sú explicitne priradené k aplikácii. Ak chcete túto chybu opraviť, vykonajte jednu z nasledujúcich akcií:
- Prejdite na podnikovéaplikácie>Microsoft Entra ID> Enterprise a nastavte >položku Priradenie požadované na hodnotu Nie.
- V časti Používatelia a skupiny pridajte relevantných používateľov alebo skupiny zabezpečenia.
Politiky podmieneného prístupu blokujú prístup
Ak vaša organizácia uplatňuje politiky podmieneného prístupu, môžu zablokovať získanie tokenu pre registráciu aplikácie. Medzi bežné príčiny patria požiadavky na dodržiavanie súladu zariadení, obmedzenia umiestnenia alebo politiky založené na rizikách. V spolupráci so správcom spoločnosti Microsoft Entra buď vylúčite registráciu aplikácie z politiky, alebo zaistite, aby klienti spĺňali požiadavky politiky.
Vo výbere rozhrania API rozhrania API sa nenašlo pole "Power Platform API".
Ak vyhľadávanie rozhrania API Power Platformy podľa názvu alebo identifikátora GUID v dialógovom okne povolení rozhrania API nevráti žiadne výsledky, objekt služby sa vo vašom nájomníkovi nevytvorí. Vytvorte ho pomocou krokov na obnovenie sily v kroku 2 .
Overenie pomocou súpravy SDK služby Power Platform a prostredia PowerShell
Nasledujúce príklady ukazujú, ako pomocou každej súpravy SDK a prostredia PowerShell overiť a vykonať vzorové volanie rozhrania API. Pred spustením týchto príkladov dokončite kroky 1 až 3 uvedené vyššie v tomto článku a vytvorte a nakonfigurujte registráciu aplikácie.
Interaktívne overovanie (delegovaný používateľ)
Interaktívne overovanie otvorí používateľovi okno prehliadača na prihlásenie. Tento postup funguje najlepšie pri skriptoch vývojárov, správcovských nástrojoch a všetkých scenároch, v ktorých je používateľ prítomný.
# Sign in interactively (opens a browser)
Connect-AzAccount
# Get an access token for the Power Platform API
$token = Get-AzAccessToken -ResourceUrl "https://api.powerplatform.com"
# Call the List Environments endpoint as an example
$headers = @{ Authorization = "Bearer $($token.Token)" }
$environments = Invoke-RestMethod -Uri "https://api.powerplatform.com/environmentmanagement/environments?api-version=2024-10-01" -Headers $headers
$environments.value | Format-Table name, properties.displayName
Dôverný klient (objekt služby)
Overenie dôverného klienta používa tajný kľúč klienta alebo certifikát a nevyžaduje zásah používateľa. Tento postup overenia je najvhodnejší pre služby, kanály a automatizáciu na pozadí.
Dôležité
Pred použitím overovania objektom služby vykonajte kroky 1 až 4 uvedené vyššie a vytvorte a nakonfigurujte registráciu aplikácie pomocou certifikátu alebo tajného kľúča klienta. Potom priraďte objektu služby rolu RBAC, aby ste mohli riadiť jeho úroveň prístupu. Ďalšie informácie nájdete v téme Kurz: Priradenie rolí RBAC objektom služby.
$tenantId = "YOUR_TENANT_ID"
$clientId = "YOUR_CLIENT_ID"
$clientSecret = "YOUR_CLIENT_SECRET"
# Request a token using client credentials
$body = @{
client_id = $clientId
scope = "https://api.powerplatform.com/.default"
client_secret = $clientSecret
grant_type = "client_credentials"
}
$tokenResponse = Invoke-RestMethod -Method Post `
-Uri "https://login.microsoftonline.com/$tenantId/oauth2/v2.0/token" `
-ContentType "application/x-www-form-urlencoded" `
-Body $body
# Call the List Environments endpoint as an example
$headers = @{ Authorization = "Bearer $($tokenResponse.access_token)" }
$environments = Invoke-RestMethod -Uri "https://api.powerplatform.com/environmentmanagement/environments?api-version=2024-10-01" -Headers $headers
$environments.value | Format-Table name, properties.displayName
Súvisiaci obsah
Kurz: Priradenie rolí RBAC objektom služby
Riadenie prístupu na základe rolí pre Centrum spravovania Power Platformy
Odkaz na povolenia