Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Tento článok poskytuje prehľad o nastavení služby Microsoft Entra na volanie rozhrania API Power Platformy. Ak chcete získať prístup k prostriedkom dostupným prostredníctvom rozhrania API služby Power Platform, musíte získať nosný token zo služby Microsoft Entra a odoslať ho ako hlavičku spolu s každou požiadavkou. V závislosti od typu identity, ktorú podporujete (používateľ vs. objekt služby), existujú rôzne postupy, ktoré tento nosný token získate, ako je popísané v tomto článku.
Na získanie nosného tokenu so správnymi povoleniami sú potrebné tieto kroky:
- Vytvorte registráciu aplikácie vo svojom Microsoft Entra nájomníkovi
- Konfigurácia povolení rozhrania API
- Konfigurácia verejného klienta (voliteľné)
- Konfigurácia certifikátov a tajných kódov (voliteľné)
- Požiadanie o prístupový token
Krok č. 1: Vytvorenie registrácie aplikácie
Prejdite na stránku Microsoft Entra registrácia aplikácie a vytvorte novú registráciu. Pomenujte aplikáciu a uistite sa, že je vybratá možnosť Jeden nájomník. Nastavenie presmerovania URI môžete preskočiť.
Krok č. 2. Konfigurácia povolení rozhrania API
V rámci registrácie novej aplikácie prejdite na kartu Spravovať – Povolenia API. Pod sekciou Nakonfigurovať povolenia vyberte Pridať povolenie. V dialógovom okne, ktoré sa otvorí, vyberte kartu Rozhrania API, ktoré používa moja organizácia a potom vyhľadajte Rozhranie API Power Platform. Môže sa zobraziť niekoľko záznamov s podobným názvom, takže používajte ten s identifikátorom GUID 8578e004-a5c6-46e7-913e-12f58912df43.
Ak nevidíte Power Platform API zobrazené v zozname pri vyhľadávaní podľa GUID, je možné, že k nemu stále máte prístup, ale viditeľnosť sa neobnovila. Ak chcete vynútiť obnovenie, spustite nasledujúci skript:
#Install the Microsoft Graph PowerShell SDK module
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Connect-MgGraph
New-MgServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"
Tu musíte vybrať povolenia, ktoré požadujete. Tieto sú zoskupené podľa priestorov názvov. V priestore názvov sa zobrazujú typy prostriedkov a akcie, napríklad AppManagement.ApplicationPackages.Read , ktoré udeľujú povolenia na čítanie pre balíky aplikácií. Ďalšie informácie nájdete v našom článku Referencia povolení .
Poznámka
Rozhranie API Power Platform v súčasnosti využíva iba delegované povolenia. Pre aplikácie, ktoré sú spustené v používateľskom kontexte, požadujete delegované povolenia pomocou parametra rozsah. Tieto povolenia delegujú oprávnenia používateľa prihláseného do vašej aplikácie, čo mu umožňuje konať ako používateľ pri volaní koncových bodov rozhrania API Power Platform.
Pre identity objektov služby sa nepoužívajú povolenia aplikácie. Namiesto toho sa s objektmi služby dnes zaobchádza ako so správcami Power Platform a musia sa zaregistrovať podľa nasledujúceho postupu PowerShell – Vytvorenie objektu služby.
Po pridaní požadovaných povolení do aplikácie vyberte Udeliť súhlas správcu na dokončenie konfigurácie. Je to potrebné v prípadoch, keď chcete používateľom umožniť okamžitý prístup k vašej aplikácii, namiesto toho, aby ste vyžadovali interaktívne prostredie so súhlasom. Ak podporujete interaktívny súhlas, odporúčame vám postupovať podľa Microsoft platformy identity a OAuth toku autorizačného kódu 2.0.
Krok č. 3. Konfigurácia verejného klienta (voliteľné)
Ak vaša aplikácia vyžaduje čítanie a zapisovanie zdrojov v mene používateľa, musíte povoliť nastavenie Verejný klient. Toto je jediný spôsob, ako Microsoft Entra ID akceptuje vlastnosti používateľského mena a hesla v tele vašej žiadosti o token. Všimnite si tiež, že ak plánujete túto funkciu používať, nefunguje to pre kontá, ktoré majú povolené overovanie viacerýchfaktorov.
Ak ju chcete povoliť, prejdite na kartu Spravovať – overenie . V sekcii Rozšírené nastavenia nastavte prepínač Verejný klient na Áno.
Krok č. 4. Konfigurácia certifikátov a tajných kódov (voliteľné)
Ak vaša aplikácia vyžaduje čítanie a zápis zdrojov ako sama o sebe – známej aj ako Principal služby, existujú dva spôsoby overenia. Ak chcete používať certifikáty, prejdite na kartu Spravovať – certifikáty a tajné kódy. Pod sekciou Certifikáty nahrajte certifikát x509, ktorý môžete použiť na overovanie. Druhý spôsob je použitie sekcie Tajné kódy na vygenerovanie tajného kľúča klienta. Uložte tajný kľúč na bezpečnom mieste na použitie s vašimi potrebami automatizácie. Možnosti certifikátu alebo tajného kľúča vám umožňujú autentifikovať sa pomocou Microsoft Entra a získať token pre tohto klienta, ktorý odošlete do REST API alebo PowerShell cmdletov.
Krok č. 5: Požiadanie o prístupový token
Existujú dva spôsoby, ako získať nosný token. Jeden je pre používateľské meno a heslo a druhý je pre objekty služby.
Postup s menom používateľa a heslom
Nezabudnite si prečítať sekciu Verejný klient vyššie. Potom odošlite požiadavku POST cez HTTP na Microsoft Entra ID s používateľským menom a heslom.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password
Vyššie uvedený príklad obsahuje zástupné symboly, ktoré môžete získať zo svojej klientskej aplikácie v Microsoft Entra ID. Dostanete odpoveď, ktorý možno použiť na následné volania do Power Platform API.
{
"token_type": "Bearer",
"scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
"expires_in": 4747,
"ext_expires_in": 4747,
"access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}
Použite hodnotu access_token v následných volaniach rozhrania API s Power Platform pomocou hlavičky HTTP Overenie.
Hlavný tok služby
Nezabudnite si prečítať sekciu Certifikáty a tajné kódy vyššie. Potom odošlite požiadavku POST cez HTTP na Microsoft Entra ID s tajným dátovým zaťažením klienta. Toto sa často nazýva overenie objektom služby.
Dôležité
Toto je možné použiť až potom, čo ste zaregistrovali toto ID klientskej aplikácie pomocou Microsoft Power Platform nasledovaním súvisiaceho PowerShell alebo REST dokumentácia.
Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials
Vyššie uvedený príklad obsahuje zástupné symboly, ktoré môžete získať zo svojej klientskej aplikácie v Microsoft Entra ID. Dostanete odpoveď, ktorý možno použiť na následné volania do Power Platform API.
{
"token_type": "Bearer",
"expires_in": 3599,
"ext_expires_in": 3599,
"access_token": "eyJ0eXAiOiJKV1..."
}
Použite hodnotu access_token v následných volaniach rozhrania API s Power Platform pomocou hlavičky HTTP Overenie. Ako je uvedené vyššie, postup Principal služby nepoužíva povolenia aplikácie a namiesto toho sa s ním zatiaľ zaobchádza ako s Power Platform administrátorom pre všetky hovory, ktoré uskutočnia.
Súvisiaci obsah
Vytvorenie hlavnej aplikácie služby cez API (verzia Preview)
PowerShell - Vytvorenie principála služby