Úvahy o registrácii aplikácie
Pri ALM Accelerator for Power Platform komunikácii s požadovanými službami sa spolieha na Microsoft Entra registrácie aplikácií. Tento článok popisuje úvahy, ktoré by ste mali mať na pamäti, a prístupy, ktoré môžete použiť pri navrhovaní stratégie registrácie aplikácií pre urýchľovač ALM.
Požadované povolenia rozhrania API
Registráciám aplikácií musíte povoliť používanie príslušných rozhraní API pre urýchľovač ALM na komunikáciu s požadovanými službami. Požiadavky na komunikáciu s týmito službami závisia od funkčnosti ALM akcelerátora.
V nasledujúcej tabuľke je uvedené, aké povolenia rozhrania API sa vyžadujú pre rôzne funkcie urýchľovača ALM.
| Funkcie | Povolenie rozhrania API | Typ povolenia | Description |
|---|---|---|---|
| Vlastný konektor CustomAzureDevOps | Azure DevOps – user_impersonation | Delegované | Aplikácia Azure DevOps plátna urýchľovača ALM potrebuje na komunikáciu povolenia rozhrania API Azure DevOps. |
| Nasadenie overovacích kanálov | Dynamics CRM – user_impersonation | Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Nasadenie overovacích kanálov | Power Apps Poradca - Analýza.Všetky | Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Nasadenie testovacích kanálov | Dynamics CRM – user_impersonation | Delegované | Kanál na nasadenie riešení do testovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Nasadenie výrobných kanálov | Dynamics CRM – user_impersonation | Delegované | Kanál na nasadenie riešení do produkčného prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Kanál na export riešenia | Dynamics CRM – user_impersonation | Delegované | Kanál na export riešení z vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Kanál na import riešenia | Dynamics CRM – user_impersonation | Delegované | Kanál na import riešení z ovládacieho prvku zdroja Azure Git do vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Kanál na odstránenie riešenia | Dynamics CRM – user_impersonation | Delegované | Kanál na odstránenie riešení vo vývojovom prostredí tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
Čo treba zvážiť pri stratégii registrácie aplikácie
Pri navrhovaní stratégie vytvárania a správy registrácií aplikácií pre urýchľovač ALM by ste mali zvážiť zabezpečenie aj údržbu.
Zásada najmenšieho oprávnenia
Z bezpečnostného hľadiska zvážte zásadu najmenších privilégií. Každá registrácia aplikácie by mala mať najmenej oprávnení potrebných na vykonávanie potrebných operácií.
Jednoduchosť údržby
Z hľadiska údržby zvážte stratégiu, ktorá vyžaduje, aby ste vynaložili čo najmenej práce na zachovanie registrácií aplikácií a služieb, ktoré ich používajú. Jednou z úloh udržiavania registrácií aplikácií je napríklad tajná rotácia – odvolanie aktuálneho tajného kľúča a vytvorenie nového. Každá služba, ktorá používa registráciu aplikácie, musí byť prekonfigurovaná, keď sa tajný kľúč otáča. Čím viac registrácií aplikácií používate, tým viac práce musíte urobiť na ich údržbu.
Stratégie registrácie aplikácií Azure
Stratégie registrácie aplikácií s Microsoft Entra ID pomocou ALM Accelerator siahajú od veľmi jednoduchých až po veľmi podrobné.
Jedna registrácia aplikácie na všetko
Najjednoduchšou stratégiou je vytvoriť jednu registráciu aplikácie pre všetky vaše potreby. S touto stratégiou používate rovnakú registráciu aplikácie pre vlastný konektor CustomAzureDevOps a všetky Azure DevOps servisné pripojenia, ktoré potrebujete na prístup k svojim Power Platform prostrediam.
Hoci je táto stratégia najľahšie zvládnuteľná, porušuje zásadu najmenších privilégií. Jedna registrácia aplikácie má povolenia na vykonávanie všetkých požadovaných operácií prostredníctvom vlastného konektora a všetkých Azure DevOps servisných pripojení, ktoré ste nakonfigurovali.
| Registrácia aplikácie | Povolenie a typ rozhrania API | Description |
|---|---|---|
| Registrácia jednej aplikácie na všetky účely | Azure DevOps – user_impersonation – Delegované | Aplikácia Azure DevOps plátna urýchľovača ALM potrebuje na komunikáciu povolenia rozhrania API Azure DevOps. |
| Registrácia jednej aplikácie na všetky účely | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojových prostredí tvorcov a nasadenie riešení do validačného, testovacieho a produkčného prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia jednej aplikácie na všetky účely | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
Jedna registrácia aplikácie pre Azure DevOps a jedna pre Power Platform
Podrobnejšou stratégiou je vytvoriť jednu registráciu aplikácie pre vlastný konektor CustomAzureDevOps a jednu pre kanály na komunikáciu s Power Platform prostrediami.
Táto stratégia je lepšie v súlade so zásadou najmenších privilégií. K rozhraniu API má prístup Azure DevOps iba registrácia aplikácie, ktorá sa používa pre vlastný konektor CustomAzureDevOps, a rozhranie API () môže používať Power Platform Power Platform iba registrácia aplikácie, ktoráDynamics CRMsa používa na pripojenie.
| Registrácia aplikácie | Povolenie a typ rozhrania API | Description |
|---|---|---|
| Registrácia aplikácie pre Azure DevOps | Azure DevOps – user_impersonation – Delegované | Aplikácia Azure DevOps plátna urýchľovača ALM potrebuje na komunikáciu povolenia rozhrania API Azure DevOps. |
| Registrácia aplikácie pre Power Platform | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojových prostredí tvorcov a nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
Registrácia jednej aplikácie a Azure DevOps niekoľko pre Power Platform
Ešte podrobnejšou stratégiou je vytvorenie registrácií aplikácií na prístup k rôznym Power Platform prostrediam. Môžete vytvoriť jednu registráciu aplikácie pre každé prostredie, ku ktorému potrebujete prístup pomocou kanálov urýchľovača ALM. Môžete tiež vytvoriť jednu registráciu aplikácie pre každý Power Platform projekt, ktorý podporujete, pomocou urýchľovača ALM.
Táto stratégia je v úzkom súlade so zásadou najmenších privilégií. Mali by ste však zvážiť aj údržbu. Uistite sa, že udržiavate štruktúrovaný spôsob, ako identifikovať, ktorá registrácia aplikácie sa používa pre jednotlivé prostredia. Tieto informácie sa vám budú hodiť pri otáčaní tajomstiev registrácie aplikácie.
Nasledujúca tabuľka ukazuje, ako môžete vytvoriť registrácie aplikácií pre každý Power Platform projekt, aby ste obmedzili prístup iba k relevantnému prostrediu.
| Registrácia aplikácie | Power Platform rozsah | Povolenie a typ rozhrania API | Description |
|---|---|---|---|
| Registrácia aplikácie pre Azure DevOps | Nevzťahuje sa | Azure DevOps – user_impersonation – Delegované | Aplikácia Azure DevOps plátna urýchľovača ALM potrebuje na komunikáciu povolenia rozhrania API Azure DevOps. |
| Registrácia aplikácie pre Power Platform | Projekt platformy 1 | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Projekt 1 | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Projekt 2 | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Projekt 2 | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Vývojové prostredie tvorcu 1 | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Vývojové prostredie tvorcu 2 | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami |
Nasledujúca tabuľka ukazuje, ako môžete ďalej zosúladiť so zásadou najmenších privilégií vytvorením registrácií aplikácií pre každé Power Platform prostredie.
| Registrácia aplikácie | Power Platform rozsah | Povolenie a typ rozhrania API | Description |
|---|---|---|---|
| Registrácia aplikácie pre Azure DevOps | Nevzťahuje sa | Azure DevOps – user_impersonation – Delegované | Aplikácia Azure DevOps plátna urýchľovača ALM potrebuje na komunikáciu povolenia rozhrania API Azure DevOps. |
| Registrácia aplikácie pre Power Platform | Projekt 1 – Overovacie prostredie | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Projekt 1 – Overovacie prostredie | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Projekt 1 - Testovacie prostredie | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Projekt 1 – Produkčné prostredie | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Projekt 2 – Overovacie prostredie | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Projekt 2 – Overovacie prostredie | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Projekt 2 - Testovacie prostredie | Power Apps Poradca - user_impersonation - Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Apps služby Poradca na spustenie úlohy kontroly riešenia. |
| Registrácia aplikácie pre Power Platform | Projekt 2 – Produkčné prostredie | Dynamics CRM – user_impersonation – Delegované | Kanál na nasadenie riešení do overovacieho prostredia potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Vývojové prostredie tvorcu 1 | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |
| Registrácia aplikácie pre Power Platform | Vývojové prostredie tvorcu 2 | Dynamics CRM – user_impersonation – Delegované | Kanál na export riešení z vývojového prostredia tvorcu potrebuje povolenia na používanie Power Platform rozhraniaDynamics CRM API () na vykonávanie operácií s riešeniami. |