Bagikan melalui

Menyebarkan alur sebagai perwakilan layanan atau pemilik alur

  • Artikel

Penyebaran yang didelegasikan dapat dijalankan sebagai perwakilan layanan atau pemilik tahap alur. Saat diaktifkan, tahap alur disebarkan sebagai delegasi (perwakilan layanan atau pemilik tahap alur) alih-alih pembuat yang meminta.

Menyebarkan dengan perwakilan layanan

Prasyarat

  • Microsoft Entra Akun pengguna. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
  • Salah satu peran berikut Microsoft Entra : Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Anda harus menjadi pemilik aplikasi perusahaan (perwakilan layanan) di Microsoft Entra ID.

Untuk penyebaran yang didelegasikan dengan perwakilan layanan, ikuti langkah-langkah berikut.

  1. Buat aplikasi perusahaan (perwakilan layanan) di Microsoft Entra ID.

    Penting

    Siapa pun yang mengaktifkan atau memodifikasi konfigurasi perwakilan layanan dalam alur harus menjadi pemilik aplikasi perusahaan (perwakilan layanan) di Microsoft Entra ID.

  2. Tambahkan aplikasi perusahaan sebagai pengguna server-ke-server (S2S) di lingkungan host alur Anda dan setiap lingkungan target yang disebarkannya.

  3. Tetapkan peran keamanan Administrator alur penyebaran ke pengguna S2S dalam host alur, dan peran keamanan Administrator Sistem dalam lingkungan target. Peran keamanan izin yang lebih rendah tidak dapat menyebarkan plug-in dan komponen kode lainnya.

  4. Pilih (periksa) Apakah penyebaran yang didelegasikan pada tahap alur, pilih Perwakilan Layanan, dan masukkan ID Klien. Pilih Simpan.

  5. Secara opsional, Izinkan permintaan berbagi sehingga pemohon penyebaran dapat menentukan grup keamanan mana yang dapat mengakses objek yang disebarkan dalam lingkungan target. Permintaan berbagi adalah bagian dari permintaan penyebaran dan dapat disetujui atau ditolak.

Penting

Pemberi persetujuan penyebaran bertanggung jawab untuk meninjau informasi berbagi dan peran keamanan dengan cermat. Ketika penyebaran disetujui, alur secara otomatis menetapkan izin menggunakan identitas perwakilan layanan penyebaran.
>

  1. Buat alur cloud dalam lingkungan host alur. Sistem alternatif dapat diintegrasikan menggunakan API pipa Microsoft Dataverse .

  2. Pilih pemicu OnApprovalStarted .

  3. Tambahkan langkah-langkah untuk logika kustom yang Anda inginkan.

  4. Sisipkan langkah persetujuan. Gunakan Konten dinamis untuk mengirim informasi permintaan penyebaran ke pemberi persetujuan.

  5. Masukkan kondisi.

  6. Buat Dataverse koneksi untuk perwakilan layanan. Anda memerlukan ID klien dan rahasia.

  7. Tambahkan Dataverse Lakukan tindakan yang tidak terikat menggunakan pengaturan yang ditampilkan di sini.
    Nama Tindakan: UpdateApprovalStatus ApprovalComments: Sisipkan konten dinamis. Komentar terlihat oleh pemohon penyebaran. ApprovalStatus: 20 = disetujui, 30 = ditolak ApprovalProperties: Sisipkan konten dinamis. Informasi admin yang dapat diakses dari dalam host alur.

    Penting

    Tindakan UpdateApprovalStatus harus menggunakan koneksi perwakilan layanan.

    Terhubung dengan perwakilan layanan

    Tip

    Untuk meningkatkan pengalaman debug, pilih ApprovalProperties dan sisipkan workflow() dari menu konten dinamis. Ini menghubungkan alur yang dijalankan ke eksekusi tahap alur (riwayat eksekusi).

  8. Simpan, lalu uji alur.

Berikut adalah screenshot alur persetujuan kanonis.

Alur Persetujuan Kanonik

Sebarkan sebagai pemilik tahap alur

Pengguna reguler, termasuk yang digunakan sebagai akun layanan, juga dapat berfungsi sebagai delegasi. Konfigurasi lebih mudah jika dibandingkan dengan perwakilan layanan, tetapi solusi yang berisi referensi koneksi untuk koneksi oAuth tidak dapat disebarkan.

Untuk menyebarkan sebagai pemilik tahap alur, ikuti langkah-langkah berikut.

  1. Tetapkan peran keamanan Administrator alur penyebaran ke pemilik tahap alur dalam host alur, dan tetapkan peran keamanan Administrator Sistem dalam lingkungan target.

    Peran keamanan izin yang lebih rendah tidak dapat menyebarkan plug-in dan komponen kode lainnya.

  2. Masuk sebagai pemilik tahap alur. Hanya pemilik yang dapat mengaktifkan atau mengubah pengaturan ini. Kepemilikan tim tidak diperbolehkan.

  3. Pilih Apakah penyebaran yang didelegasikan pada tahap alur, dan pilih Pemilik Tahap.

    • Identitas pemilik tahap alur digunakan untuk semua penyebaran ke tahap ini.
    • Demikian pula, identitas ini harus digunakan untuk menyetujui penyebaran.

  4. Buat alur cloud dalam solusi dalam lingkungan host alur.

    1. Pilih pemicu OnApprovalStarted .
    2. Sisipkan tindakan sesuai keinginan. Misalnya, persetujuan.
    3. Tambahkan Dataverse Lakukan tindakan yang tidak terikat.
      Nama Tindakan: UpdateApprovalStatus (20 = selesai, 30 = ditolak)

Sampel penyebaran yang didelegasikan

Penting

Fungsionalitas yang disediakan dalam sampel ini sekarang didukung secara native dalam produk, tetapi sampel ini mungkin memberikan wawasan tentang memperluas fungsionalitas berbagi asli.

Unduhan ini berisi contoh alur cloud untuk mengelola persetujuan dan berbagi aplikasi dan alur kanvas yang disebarkan dalam lingkungan target. Unduh solusi sampel

Unduh dan impor solusi terkelola ke lingkungan host alur Anda. Solusinya kemudian dapat disesuaikan agar sesuai dengan kebutuhan organisasi Anda.

Tanya jawab

Bagaimana pembuat dapat mengakses objek yang disebarkan dalam lingkungan target?

Berbagi selama penyebaran adalah kemampuan asli penyebaran yang didelegasikan dengan perwakilan layanan. Ini menghindari admin yang perlu menetapkan peran keamanan secara manual dan berbagi aplikasi, alur, Copilot, dan sebagainya yang Power Platform disebarkan, dalam pusat admin. Sebagai gantinya, admin hanya perlu menyetujui permintaan penyebaran dan berbagi dilakukan secara otomatis oleh sistem.

Jenis objek mana yang dapat dibagikan selama penyebaran?

Saat ini, peran keamanan, aplikasi kanvas, dan alur cloud didukung. Berbagi Copilot mungkin juga tersedia tergantung pada wilayah Anda.

Dapatkah saya memperbarui berbagi saat versi baru diterapkan?

Berbagi tersedia saat pertama kali objek disebarkan ke lingkungan target. Berbagi tidak dapat diperbarui saat versi baru disebarkan. Pastikan untuk memilih grup keamanan yang sesuai selama penyebaran pertama. Kelola akses berkelanjutan melalui grup keamanan.

Izin mana yang ditetapkan untuk aplikasi dan alur kanvas?

Alur menetapkan hak istimewa minimum yang diperlukan untuk menjalankan aplikasi dan alur. Jika hak istimewa yang lebih tinggi diinginkan, alur dapat diperpanjang. Kami menyarankan Anda mengaktifkan fitur 'Blokir penyesuaian yang tidak dikelola' saat menetapkan izin yang lebih tinggi.

Bisakah pembuat berbagi dengan pengguna individu?

Tidak saat ini. Sebaiknya kelola akses pengguna individu melalui grup keamanan setelah penyebaran pertama objek.

Saya mendapatkan kesalahan Tahap penyebaran bukan pemilik perwakilan layanan (<AppId>). Hanya pemilik perwakilan layanan yang dapat menggunakannya untuk penyebaran yang didelegasikan.

Pastikan Anda adalah pemilik Aplikasi Perusahaan (Perwakilan Layanan) di Microsoft Entra ID (sebelumnya Azure AD). Anda mungkin hanya pemilik Pendaftaran Aplikasi, dan bukan Aplikasi Enterprise.

Aplikasi perusahaan

Untuk penyebaran yang didelegasikan berbasis pemilik tahap, mengapa saya tidak dapat menetapkan pengguna lain sebagai penyebar?

Untuk alasan keamanan, Anda harus masuk sebagai pengguna yang akan ditetapkan sebagai pemilik tahap alur. Ini mencegah penambahan pengguna yang tidak menyetujui sebagai deployer.

Untuk penyebaran delegasi berbasis pemilik tahap, dapatkah saya menggunakan file DeploymentSettings.json kustom?

Saat ini tidak dalam pengalaman pembuat.

Mengapa penyebaran yang didelegasikan saya terjebak dalam status tertunda?

Semua penyebaran yang didelegasikan tertunda hingga disetujui. Pastikan admin Anda telah mengonfigurasi Power Automate alur persetujuan atau otomatisasi lainnya, berfungsi dengan baik, dan penyebaran telah disetujui.

Siapa yang memiliki objek solusi yang disebarkan?

Identitas penyebaran. Untuk penyebaran yang didelegasikan, pemiliknya adalah perwakilan layanan yang didelegasikan atau pemilik tahap alur.

Bisakah saya menambahkan langkah-langkah persetujuan kustom?

Ya. Misalnya, Power Automate persetujuan dapat disesuaikan untuk memenuhi kebutuhan organisasi Anda. Anda juga dapat mengintegrasikan sistem persetujuan lainnya.

Mengapa saya harus memiliki kepala layanan?

Ini diberlakukan untuk alasan keamanan. Anda juga dapat membuat alur menggunakan akun layanan dan menambahkan akun layanan yang sama dengan pemiliknya. Pilihan lainnya adalah menetapkan perwakilan layanan (pengguna aplikasi) sebagai pemilik tahap alur dan sebagai pemilik dirinya sendiri (aplikasi Enterprise) Microsoft Entra. Namun, menetapkan kepemilikan tahap alur ke aplikasi harus dilakukan melalui Dataverse API di host alur.

Saya mendapatkan kesalahan Penyebaran yang didelegasikan dari jenis 'ServicePrincipal' hanya dapat disetujui atau ditolak oleh Perwakilan Layanan yang dikonfigurasi dalam tahap penyebaran.

Pastikan Dataverse tindakan UpdateApprovalStatus kustom dipanggil oleh perwakilan layanan. Jika menggunakan Power Automate persetujuan, pastikan tindakan ini dikonfigurasi untuk menggunakan koneksi perwakilan layanan delegasi.

Saya mendapatkan kesalahan Penyebaran yang didelegasikan jenis 'Pemilik' hanya dapat disetujui atau ditolak oleh pemilik tahap penyebaran.

Pastikan Dataverse tindakan UpdateApprovalStatus kustom dipanggil oleh pemilik tahap alur. Jika menggunakan Power Automate persetujuan, pastikan tindakan ini dikonfigurasi untuk menggunakan koneksi pemilik tahap alur delegasi.

Saya mendapatkan kesalahan dalam alur persetujuan saya Tidak dapat menemukan atribut status persetujuan untuk rekaman eksekusi tahap.

Ini terjadi ketika status persetujuan belum dalam status tertunda. Pastikan ini adalah penyebaran yang didelegasikan dan Anda menggunakan OnApprovalStarted pemicu dalam alur persetujuan Anda.

Dapatkah saya menggunakan perwakilan layanan yang berbeda untuk alur dan tahapan yang berbeda?

Ya.