Lưu ý
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử đăng nhập hoặc thay đổi thư mục.
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử thay đổi thư mục.
[Bài viết này là tài liệu trước khi phát hành và có thể thay đổi.]
Kiểm soát truy nhập dựa trên vai trò (RBAC) trong Power Platform cho phép người quản trị gán các vai trò dựng sẵn cho người dùng, nhóm và chủ thể dịch vụ tại đối tượng thuê, nhóm môi trường hoặc phạm vi môi trường. Hướng dẫn này hướng dẫn cách thực hiện một kịch bản tự động hóa phổ biến: gán vai trò Người đóng góp cho tên dịch vụ chính trong phạm vi đối tượng thuê bằng cách sử dụng API Ủy quyền.
Để tìm hiểu thêm về các khái niệm RBAC, vai trò tích hợp sẵn và kế thừa phạm vi, hãy xem Kiểm soát truy nhập dựa trên vai trò cho Trung tâm quản trị Power Platform.
Quan trọng
- Đây là một tính năng xem trước.
- Các tính năng xem trước không được dùng cho sản xuất và có thể có chức năng bị hạn chế. Các tính năng này tuân theo các điều khoản sử dụng bổ sung và có sẵn trước khi phát hành chính thức để khách hàng có thể truy cập sớm và cung cấp phản hồi.
Trong hướng dẫn này, bạn sẽ học cách:
- Xác thực với API Nền tảng Nguồn.
- Liệt kê các định nghĩa vai trò sẵn có.
- Tạo gán vai trò cho tên dịch vụ chính tại phạm vi đối tượng thuê.
- Xác minh việc gán vai trò.
Điều kiện tiên quyết
- Đăng ký ứng dụng Microsoft Entra được đặt cấu hình cho API Nền tảng Power, với chứng chỉ hoặc bí mật máy khách cho xác thực chính của dịch vụ. Để biết hướng dẫn, hãy xem Xác thực.
- ID Đối tượng Ứng dụng Doanh nghiệp cho tên dịch vụ chính (được tìm thấy trong các ứng dụng Microsoft Entra ID>Enterprise).
- Nhận dạng cuộc gọi phải có vai trò người quản trị truy nhập dựa trên vai trò Người quản trị Nền tảng Nguồn hoặc Người quản trị truy nhập Nền tảng Nguồn.
Định nghĩa vai trò tích hợp sẵn
Power Platform cung cấp bốn vai trò tích hợp sẵn có thể được gán thông qua RBAC. Mỗi vai trò có một tập hợp các quyền cố định và có thể được gán tại đối tượng thuê, nhóm môi trường hoặc phạm vi môi trường.
| Tên vai trò | ID vai trò | Quyền |
|---|---|---|
| Chủ sở hữu Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Tất cả các quyền |
| Người đóng góp Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Quản lý và đọc tất cả các tài nguyên nhưng không thể thực hiện hoặc thay đổi việc gán vai trò |
| Trình đọc Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Truy nhập chỉ đọc vào tất cả các tài nguyên |
| Quản trị viên kiểm soát truy cập dựa trên vai trò Power Platform | 95e94555-018c-447b-8691-bdac8e12211e |
Đọc tất cả tài nguyên + quản lý việc gán vai trò |
Bước 1. Liệt kê các định nghĩa vai trò sẵn có
Trước tiên, xác thực và truy xuất định nghĩa vai trò sẵn có để xác nhận ID vai trò của người đóng góp.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Dự kiến đầu ra:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Tham khảo API Nền tảng Power: KiểmRole-Based Access - Định nghĩa Vai trò Danh sách
Bước 2. Gán vai trò Người đóng góp cho tên dịch vụ chính
Tạo gán vai trò cấp vai trò người đóng góp Power Platform cho tên dịch vụ chính trong phạm vi đối tượng thuê. Thay thế YOUR_TENANT_ID bằng GUID đối tượng thuê của bạn YOUR_ENTERPRISE_APP_OBJECT_ID và bằng ID đối tượng ứng dụng doanh nghiệp từ ID Microsoft Entra.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Dự kiến đầu ra:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Tham khảo API Nền tảng Power: KiểmRole-Based Access - Tạo Gán Vai trò
Bước 3. Xác minh việc gán vai trò
Truy xuất tất cả các phân công vai trò để xác nhận nhiệm vụ mới tồn tại.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Dự kiến đầu ra:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Tài liệu tham khảo về API Nền tảng Power: Kiểm soát Truy nhập Dựa trên Vai trò - Liệt kê Vai trò Gán