Делите путем

Креирање апликације принципала услуге помоћу PowerShell-а

  • Чланак

Потврда идентитета путем корисничког имена и лозинке често није идеална, посебно са порастом вишефакторске потврде идентитета. У таквим случајевима је пожељна потврда идентитета принципала услуге (или протока акредитива клијента). То се може урадити тако што ћете и регистровати нову апликацију за главну услугу у свом Microsoft Entra станару, а затим регистровати ту исту апликацију са Power Platform.

Регистровање администраторске апликације за управљање

Прво, апликација клијента мора бити регистрована у вашем Microsoft Entra станару. Да бисте ово поставили, прегледајте чланак Потврда идентитета за Power Platform API-је јер је за PowerShell потребно исто подешавање апликације.

Након што је ваша апликација клијента регистрована у ИД-у Microsoft Entra , такође треба да буде регистрована Microsoft Power Platform. Данас то не можете да урадите путем Power Platform центра администрације; то се мора урадити програмски путем преко Power Platform API-ја или PowerShell-а за Power Platform администраторе. Принципал услуге не може се сам регистровати – стандардно, апликација мора бити регистрована у контексту корисничког имена и лозинке администратора. Ово осигурава да је апликација креирана од стране некога ко је администратор за станара.

Да бисте регистровали нову апликацију за управљање, користите следећу скрипту:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Подносите захтеве као принципал услуге

Сада када је регистрован у Microsoft Power Platform, можете се потврдити као сам принципал услуге. Користите следећу скрипту да бисте извршили упит над листом окружења:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Ограничења принципала услуга

Тренутно потврда идентитета преко принципа услуге ради за управљање окружењем, подешавања закупаца и Power Apps управљање. Цмдлети који се односе на Флоw су подржани за проверу идентитета главног сервиса у ситуацијама када није потребна лиценца, јер није могуће доделити лиценце за идентитете главног сервиса у ИД-у Microsoft Entra .

Главне апликације сервиса се третирају слично Power Platform као што су нормални корисници са додељеном улогом Power Platform администратора. Грануларне улоге и дозволе не могу се доделити да би се ограничиле њихове могућности. Апликација не добија никакву посебну улогу додељену у ИД-у Microsoft Entra , јер овако услуге платформе третирају захтеве које су поставили принципи услуга.