Share via

Түпнұсқалық растама (алдын ала қарау нұсқасы)

  • Мақала

Бұл мақалада API (алдын ала қарау) шақыруға Microsoft Entra арналған орнатуға шолу Power Platform беріледі. API арқылы Power Platform қолжетімді ресурстарға қатынасу үшін ұсынушы жетонын Microsoft Entra алып, оны әрбір сұраумен бірге үстіңгі деректеме ретінде жіберу қажет. Сіз қолдайтын сәйкестік куәлігінің түріне байланысты (user vs service principal) осы мақалада сипатталғандай, осы ұсынушы жетонын алу үшін әр түрлі ағындар бар.

Дұрыс рұқсаттары бар пайдаланушы токенін алу үшін келесі қадамдарды орындау қажет:

  1. Клиентте бағдарлама тіркеуін Microsoft Entra жасау
  2. API рұқсаттарын конфигурациялау
  3. Жалпыға қолжетімді клиентті конфигурациялау (міндетті емес)
  4. Сертификаттар мен құпияларды конфигурациялау (міндетті емес)
  5. Кіру токенін сұрау

1-қадам. Бағдарламаны тіркеуді жасаңыз

Бағдарламаны тіркеу Microsoft Entra бетіне өтіп , жаңа тіркеуді жасаңыз. Бағдарламаға атау беріңіз және Жалғыз клиент опциясы таңдалғанына көз жеткізіңіз. Қайта бағыттау URI орнатуын өткізіп жіберуге болады.

2-қадам. API рұқсаттарын конфигурациялау

Жаңа бағдарламаны тіркеу кезінде Басқару - API рұқсаттары қойыншасына өтіңіз. Рұқсаттарды конфигурациялау бөлімінде Рұқсат қосу түймешігін таңдаңыз. Ашылған диалогтық терезеде Менің ұйымым қолданатын API қойыншасын таңдаңыз, содан кейін Power Platform API интерфейсін іздеңіз. Сіз осыған ұқсас атпен бірнеше жазбаны көруіңіз мүмкін, сондықтан 8578e004-a5c6-46e7-913e-12f58912df43 GUID идентификаторы бар жазбаны қолданғаныңызға көз жеткізіңіз.

Егер GUID арқылы іздеу кезінде тізімде көрсетілген API көрінбесе Power Platform , оған әлі де қатынасу мүмкіндігі болуы мүмкін, бірақ көріну жаңартылмайды. Күштеп жаңарту үшін, төмендегі PowerShell сценарийін іске қосыңыз:

#Install the Microsoft Entra the module
Install-Module AzureAD

Connect-AzureAD
New-AzureADServicePrincipal -AppId 8578e004-a5c6-46e7-913e-12f58912df43 -DisplayName "Power Platform API"

Осы жерден қажетті рұқсаттарды таңдауыңыз керек. Олар Аттар кеңістіктері бойынша топтастырылған. Атаулар кеңістігінде, мысалы , AppManegment.ApplicationPackages.Бағдарлама пакеттеріне оқуға рұқсат беретін ресурс түрлері мен әрекеттерін көресіз. Қосымша ақпарат алу үшін Рұқсат анықтама мақаласын қараңыз .

Ескертпе

Power Platform API тек осы уақытта өкілетті рұқсаттарды пайдаланады. Пайдаланушы контекстінде жұмыс істейтін бағдарламалар үшін аумақ параметрін пайдаланып өкілетті рұқсаттарды сұрайсыз. Бұл рұқсаттар жүйеге кірген пайдаланушының артықшылықтарын бағдарламаңызға беріп, оған Power Platform API соңғы нүктелерін шақыру кезінде пайдаланушы ретінде әрекет етуге мүмкіндік береді.

Субъект-қызметтің жеке куәліктері үшін қолданба рұқсаттары пайдаланылмайды. Оның орнына субъект-қызметтер бүгінде Power Platform әкімшілері ретінде қарастырылады және PowerShell — Субъект-қызмет жасау арқылы тіркелуі керек.

Қажетті рұқсаттар бағдарламаға қосылғаннан кейін, орнатуды аяқтау үшін Әкімшінің келісімін беру түймешігін таңдаңыз. Бұл интерактивті келісім тәжірибесін талап етпей, пайдаланушыларға бағдарламаңызға бірден кіруге рұқсат бергіңіз келетін жағдайлар үшін қажет. Интерактивті келісімді қолдай алсаңыз, Microsoft Identity платформасын және OAuth 2.0 авторизациялау кодының ағынын ұсынамыз.

3-қадам. Жалпыға қолжетімді клиентті конфигурациялау (міндетті емес)

Егер бағдарламаңыз пайдаланушы атынан ресурстарды оқуды және жазуды қажет етсе, жалпыға қолжетімді клиент параметрін қосуыңыз қажет. Бұл жетон сұрауының денесіндегі пайдаланушы аты мен құпия сөз сипаттарын қабылдаудың бірден-бір жолы Microsoft Entra . Сондай-ақ, бұл мүмкіндікті пайдалануды жоспарласаңыз, ол көпфакторлы аутентификация қосылған тіркелгілер үшін жұмыс істемейтінін ескеріңіз.

Қосу үшін, Басқару — Аутентификация қойыншасына өтіңіз. Кеңейтілген параметрлер бөлімінде Жалпыға қолжетімді клиент ауыстырып қосқышын Иә күйіне орнатыңыз.

4-қадам. Сертификаттар мен құпияларды конфигурациялау (міндетті емес)

Егер бағдарламаңыз ресурстарды өзі сияқты оқуды және жазуды қажет етсе - сондай-ақ Service Principal ретінде белгілі болса, аутентификациялаудың екі жолы бар. Сертификаттарды пайдалану үшін, Басқару — Сертификаттар мен құпиялар қойыншасына өтіңіз. Сертификаттар бөлімінде аутентификациялау үшін пайдалануға болатын x509 сертификатын жүктеп салыңыз. Екінші жолы — клиент құпиясын жасау үшін Құпиялар бөлімін пайдалану. Автоматтандыру қажеттіліктерімен пайдалану үшін құпияны қауіпсіз жерде сақтаңыз. Сертификат немесе құпия параметрлер осы клиентке арналған жетонды Microsoft Entra аутентификациялауға және алуға мүмкіндік береді, оның ішінде REST API немесе PowerShell cmdlets серверлеріне өтеді.

5-қадам. Кіру токенін сұрау

Қатынасу рұқсатының пайдаланушы токенін алудың екі жолы бар. Біреуі пайдаланушы аты мен құпиясөзге арналған, екіншісі субъект-қызметтерге арналған.

Пайдаланушы аты және құпиясөз ағыны

Жоғарыдағы «Жалпыға қолжетімді клиент» бөлімін міндетті түрде оқыңыз. Содан кейін HTTP арқылы пайдаланушы аты мен парольдің жүк көтергіштігін көрсете отырып, IDTP Microsoft Entra арқылы POST сұрауын жіберіңіз.

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&username={USER_EMAIL_ADDRESS}&password={PASSWORD}&grant_type=password

Жоғарыда келтірілген мысалда идентификатордағы Microsoft Entra клиенттік бағдарламадан алуға болатын толтырғыштар бар. API-ге келесі қоңырауларды Power Platform жасау үшін пайдалануға болатын жауап аласыз.

{
  "token_type": "Bearer",
  "scope": "https://api.powerplatform.com/AppManagement.ApplicationPackages.Install https://api.powerplatform.com/AppManagement.ApplicationPackages.Read https://api.powerplatform.com/.default",
  "expires_in": 4747,
  "ext_expires_in": 4747,
  "access_token": "eyJ0eXAiOiJKV1QiLCJu..."
}

Авторизация HTTP тақырыбын пайдалану арқылы Power Platform API бағдарламасына келесі қоңырауларда access_token мәнін пайдаланыңыз.

Қызмет негізгі ағымы

Жоғарыдағы «Сертификаттар және құпиялар» бөлімін міндетті түрде оқыңыз. Содан кейін клиенттің құпия жүк көтергіштігі бар HTTP арқылы IDTP Microsoft Entra арқылы POST сұрауын жіберіңіз. Мұны көбінесе қызмет негізінің аутентификациясы деп атайды.

Маңызды

Бұл байланысты PowerShell немесе REST Microsoft Power Platform құжаттамасын басшылыққа ала отырып , осы клиенттік бағдарлама идентификациясын тіркегеннен кейін ғана пайдаланылуы мүмкін. ...

Content-Type: application/x-www-form-urlencoded
Host: login.microsoftonline.com
Accept: application/json
POST https://login.microsoftonline.com/YOUR_TENANT.COM/oauth2/v2.0/token
BODY:
client_id={CLIENT_ID_FROM_AZURE_CLIENT_APP}&scope=https://api.powerplatform.com/.default&client_secret={SECRET_FROM_AZURE_CLIENT_APP}&grant_type=client_credentials

Жоғарыда келтірілген мысалда идентификатордағы Microsoft Entra клиенттік бағдарламадан алуға болатын толтырғыштар бар. API-ге келесі қоңырауларды Power Platform жасау үшін пайдалануға болатын жауап аласыз.

{
  "token_type": "Bearer",
  "expires_in": 3599,
  "ext_expires_in": 3599,
  "access_token": "eyJ0eXAiOiJKV1..."
}

Авторизация HTTP тақырыбын пайдалану арқылы Power Platform API бағдарламасына келесі қоңырауларда access_token мәнін пайдаланыңыз. Жоғарыда атап өтілгендей, Service Principal ағыны өтінім рұқсаттарын пайдаланбайды және оның орнына қазір олар жасайтын барлық қоңыраулар үшін Әкімші ретінде Power Platform қарастырылады.

Сонымен қатар қараңыз

API (алдын ала қарау нұсқасы) арқылы субъект-қызмет бағдарламасын жасау
PowerShell — Субьект‑қызметті жасау