Споделяне чрез

Разполагане на тръбопроводи като принципал на услуга или собственик на тръбопровод

  • Статия

Делегираните разполагания могат да се изпълняват като принципал на услуга или собственик на етап на тръбопровода. Когато е разрешено, етапът на конвейера се разгръща като представител (принципал на услугата или собственик на етапа на тръбопровода) вместо създателя на заявката.

Разполагане с принципал на услугата

Предварителни изисквания

  • Потребителски Microsoft Entra акаунт. Ако все още нямате такъв, можете да създадете акаунт безплатно.
  • Една от следните Microsoft Entra роли: Администратор на приложения в облака или Администратор на приложения.
  • Трябва да сте собственик на корпоративното приложение (принципал на услугата) в Microsoft Entra ИД.

За делегирано разполагане с принципал на услугата, следвайте тези стъпки.

  1. Създайте корпоративно приложение (принципал на услугата) в Microsoft Entra ИД.

    Важно

    Всеки, който разрешава или променя конфигурации на принципал на услуга в конвейерите, трябва да е собственик на корпоративното приложение (принципал на услугата) в Microsoft Entra ИД.

  2. Добавете корпоративното приложение като потребител сървър към сървър (S2S) във вашата хост среда на тръбопроводи и всяка целева среда, в която се внедрява.

  3. Присвоете права за достъп на администратора на конвейер за внедряване на потребителя S2S в хоста на тръбопровода и права за достъп на системния администратор в целевите среди. Правата за защита с по-ниски разрешения не могат да внедряват добавки и други компоненти на кода.

  4. Изберете (проверете) Делегирано ли е внедряване на етап на конвейер, изберете Принципал на услугата и въведете ИД на клиента. Изберете Запиши.

  5. По желание разрешете заявки за споделяне, така че заявителите за внедряване да могат да посочат кои групи за защита имат достъп до разгърнатите обекти в целевата среда. Заявките за споделяне са част от заявката за разполагане и могат да бъдат одобрени или отхвърлени.

Важно

Одобряващите внедряване са отговорни за внимателния преглед на информацията за споделяне и права за достъп. Когато разполагането е одобрено, конвейерите автоматично присвояват разрешения, като използват самоличността на лицето на услугата за внедряване.
>

  1. Създайте поток за облак в хост средата на тръбопровода. Алтернативните системи могат да бъдат интегрирани с помощта на API на тръбопроводи Microsoft Dataverse .

  2. Изберете тригера OnApprovalStarted .

  3. Добавете стъпки за желаната от вас персонализирана логика.

  4. Поставете стъпка за одобрение. Използвайте динамично съдържание за изпращане на информация за заявка за разполагане до одобряващите.

  5. Поставете условие.

  6. Създайте Dataverse връзка за принципала на услугата. Имате нужда от клиентски идентификатор и тайна.

  7. Добавете Dataverse Извършете необвързано действие , като използвате настройките, показани тук.
    Име на действието: UpdateApprovalStatus ApprovalComments: Вмъкване на динамично съдържание. Коментарите са видими за заявителя на внедряването. ApprovalStatus: 20 = одобрено, 30 = отхвърлено ApprovalProperties: Вмъкване на динамично съдържание. Администраторска информация, достъпна от хоста на тръбопроводите.

    Важно

    Действието UpdateApprovalStatus трябва да използва връзката на принципала на услугата.

    Свържете се с принципала на услугата

    Съвет

    За да подобрите изживяването при отстраняване на грешки, изберете ApprovalProperties и вмъкнете workflow() от менюто с динамично съдържание. Това свързва изпълнението на потока с изпълнението на етапа на конвейера (хронология на изпълнението).

  8. Запазете и след това тествайте тръбопровода.

Ето екранна снимка на каноничен поток на одобрение.

Каноничен поток на одобрение

Внедряване като собственик на етапа на тръбопровода

Редовните потребители, включително тези, използвани като акаунти за услуги, също могат да служат като делегати. Конфигурацията е по-проста в сравнение с принципите на услугата, но решенията, съдържащи препратки към връзки за oAuth, не могат да бъдат внедрени.

За да се внедрите като собственик на етапа на тръбопровода, следвайте тези стъпки.

  1. Присвоете права за достъп на администратора на конвейер за внедряване на собственика на етапа на тръбопровода в хоста на тръбопровода и присвоете права за достъп на системен администратор в целеви среди.

    Правата за защита с по-ниски разрешения не могат да внедряват добавки и други компоненти на кода.

  2. Влезте като собственик на етапа на тръбопровода. Само собственикът може да активира или променя тези настройки. Собствеността на отбора не е позволена.

  3. Изберете Е делегирано разполагане на етап на тръбопровод и изберете Собственик на етапа.

    • Самоличността на собственика на етапа на конвейера се използва за всички внедрявания до този етап.
    • По същия начин тази самоличност трябва да се използва за одобряване на внедрявания.

  4. Създайте поток за облак в решение в хост средата на тръбопровода.

    1. Изберете тригера OnApprovalStarted .
    2. Вмъкнете действия по желание. Например одобрение.
    3. Добавяне Dataverse Извършване на необвързано действие.
      Име на действието: UpdateApprovalStatus (20 = завършено, 30 = отхвърлено)

Примери за делегирано внедряване

Важно

Функционалността, предоставена в тези примери, вече се поддържа естествено в продукта, но тези примери могат да предоставят информация за разширяване на собствената функционалност за споделяне.

Това изтегляне съдържа примерни потоци в облака за управление на одобрения и споделяне на внедрени приложения и потоци за платно в целевата среда. Изтеглете примерно решение

Изтеглете и импортирайте завършено решение в хост средата на вашите тръбопроводи. След това решението може да бъде персонализирано, за да отговаря на нуждите на вашата организация.

Често задавани въпроси

Как производителите могат да получат достъп до разгърнати обекти в целевата среда?

Споделянето по време на внедряването е естествена възможност за делегирано разполагане с принципали на услугата. Това избягва необходимостта администраторите ръчно да присвояват роли за защита и да споделят внедрени приложения, потоци, втори пилоти и т.н. в центъра за администриране Power Platform . Вместо това администраторите трябва само да одобрят заявката за внедряване и споделянето се извършва автоматично от системата.

Кои типове обекти могат да се споделят по време на внедряването?

В момента се поддържат права за достъп, приложения за платно и потоци в облака. Copilot споделянето може също да е налично в зависимост от вашия регион.

Мога ли да актуализирам споделянето при внедряване на нови версии?

Споделянето е достъпно при първото внедряване на обект в целевата среда. Споделянето не може да се актуализира при внедряване на нови версии. Не забравяйте да изберете подходяща група за защита по време на първото внедряване. Управлявайте текущия достъп чрез групи за защита.

Какви разрешения се присвояват за приложения и потоци на платно?

Pipelines присвоява минималните привилегии, необходими за изпълнение на приложения и потоци. Ако се желаят по-високи привилегии, конвейерите могат да бъдат разширени. Препоръчваме ви да активирате функцията "Блокиране на неуправлявани персонализации", когато присвоявате по-високи разрешения.

Могат ли създателите да споделят с отделни потребители?

В момента не. Препоръчваме да управлявате индивидуалния потребителски достъп чрез групи за сигурност след първото внедряване на обекта.

Получавам грешка Етапът на внедряване не е собственик на принципала на услугата (<AppId>). Само собствениците на принципала услуга могат да го използват за делегирани разполагания.

Уверете се, че сте собственик на корпоративното приложение (принципал на услугата) в Microsoft Entra ИД (преди). Azure AD Може да сте собственик само на регистрацията на приложението, но не и на корпоративното приложение.

Корпоративни приложения

За делегираните внедрявания, базирани на собственика на етапа, защо не мога да назнача друг потребител като внедрител?

От съображения за сигурност трябва да влезете като потребител, който ще бъде зададен като собственик на етапа на тръбопровода. Това предотвратява добавянето на потребител, който не дава съгласието си, като внедрител.

За делегирани внедрявания, базирани на собственик на сцена, мога ли да използвам персонализиран файл с DeploymentSettings.json?

В момента не е в рамките на изживяването на създателя.

Защо моите делегирани внедрявания са блокирани в състояние на изчакване?

Всички делегирани внедрявания са в очакване до одобрение. Уверете се, че вашият администратор е конфигурирал поток за Power Automate одобрение или друга автоматизация, че работи правилно и че разполагането е одобрено.

Кой притежава разгърнати обекти на решение?

Самоличността за внедряване. За делегирани разполагания собственикът е делегиран принципал на услугата или собственик на етапа на тръбопровода.

Мога ли да добавя персонализирани стъпки за одобрение?

Да. Например, Power Automate одобренията могат да бъдат персонализирани, за да отговорят на нуждите на вашата организация. Можете също така да интегрирате други системи за одобрение.

Защо трябва да притежавам принципала на услугата?

Това се прилага от съображения за сигурност. Можете също така да създадете тръбопроводи с помощта на акаунт за услуга и да добавите същия акаунт за услуга като собственика. Друга опция е присвояването на принципала на услугата (потребител на приложението) като собственик на етапа на конвейера и като собственик на себе си (Enterprise application) в Microsoft Entra. Въпреки това, присвояването на собственост на етапа на тръбопровода на приложение трябва да се извърши чрез Dataverse API в хоста на тръбопровода.

Получавам грешка Делегираните внедрявания от тип "ServicePrincipal" могат да бъдат одобрени или отхвърлени само от принципала на услугата, конфигуриран в етапа на внедряване.

Уверете се, че персонализираното Dataverse действие UpdateApprovalStatus се извиква от принципала на услугата. Ако използвате Power Automate одобрения, уверете се, че това действие е конфигурирано да използва връзката на представителя на услугата.

Получавам грешка Делегираните внедрявания от тип "Собственик" могат да бъдат одобрени или отхвърлени само от собственика на етапа на внедряване.

Уверете се, че персонализираното Dataverse действие UpdateApprovalStatus е извикано от собственика на етапа на тръбопровода. Ако използвате Power Automate одобрения, уверете се, че това действие е конфигурирано да използва връзката на собственика на етапа на делегиране на конвейера.

Получавам грешка в моя поток на одобрение Не мога да намеря атрибут за състояние на одобрение за запис на етапно изпълнение.

Това се случва, когато състоянието на одобрение все още не е в състояние на изчакване. Уверете се, че това е делегирано разполагане и използвате OnApprovalStarted задействането в потока на одобрение.

Мога ли да използвам различни принципи на услугата за различни тръбопроводи и етапи?

Да.