Partajați prin

Implementați conducte ca principal de serviciu sau proprietar de conducte

  • Articol

Implementările delegate pot fi executate ca principal de serviciu sau proprietar al etapei pipeline. Când este activată, etapa pipeline este implementată ca delegat (principal de serviciu sau proprietar al etapei pipeline) în locul producătorului solicitant.

Implementați cu un principal de serviciu

Cerințe preliminare

  • Un Microsoft Entra cont de utilizator. Dacă nu aveți deja unul, puteți Creați un cont gratuit.
  • Unul dintre următoarele Microsoft Entra roluri: Administrator aplicație cloud sau Administrator aplicație.
  • Trebuie să fiți proprietarul aplicației de întreprindere (principal de serviciu) în Microsoft Entra ID.

Pentru o implementare delegată cu un principal de serviciu, urmați acești pași.

  1. Creați o aplicație de întreprindere (principal de serviciu) în Microsoft Entra ID.

    Important

    Oricine activează sau modifică configurațiile principale de serviciu în conducte trebuie să fie proprietarul aplicației de întreprindere (principal de serviciu) în Microsoft Entra ID.

  2. Adăugați aplicația de întreprindere ca utilizator de la server la server (S2S) în mediul gazdă pipeline și în fiecare mediu țintă în care este implementat.

  3. Atribuiți administratorul canal de implementare rol de securitate utilizatorului S2S din gazda conductelor și administratorul de sistem rol de securitate în mediile țintă. Rolurile de securitate cu permisiuni inferioare nu pot implementa plug-in-uri și alte componente de cod.

  4. Alegeți (bifați) Este implementarea delegată într-o etapă pipeline, selectați Principal de serviciu și introduceți ID-ul clientului. Selectați Salvați.

  5. Opțional, Permiteți solicitările de partajare astfel încât solicitanții de implementare să poată specifica ce grupuri de securitate pot accesa obiectele implementate în mediul țintă. Solicitările de partajare fac parte din cererea de implementare și pot fi aprobate sau respinse.

Important

Aprobatorii de implementare sunt responsabili pentru revizuirea cu atenție a informațiilor despre partajarea și rol de securitate. Când o implementare este aprobată, pipelines atribuie automat permisiuni folosind identitatea principalului serviciu de implementare.
>

  1. Creați un flux pentru cloud în mediul gazdă a conductelor. Sistemele alternative pot fi integrate folosind Microsoft Dataverse API-urile pipelines.

  2. Selectați declanșatorul OnApprovalStarted .

  3. Adăugați pași pentru logica personalizată dorită.

  4. Introduceți o aprobare pas. Utilizați conținut dinamic pentru a trimite informații despre cererea de implementare către aprobatori.

  5. Introduceți o condiție.

  6. Creați o Dataverse conexiune pentru principalul serviciu. Aveți nevoie de un ID de client și un secret.

  7. Adăugați Dataverse Efectuați o acțiune nelegată folosind setările afișate aici.
    Nume acțiune: UpdateApprovalStatus ApprovalComments: Inserați conținut dinamic. Comentariile sunt vizibile pentru solicitantul implementării. Stare aprobare: 20 = aprobat, 30 = respins. Proprietăți aprobare: Inserați conținut dinamic. Informații de administrare accesibile din gazda pipelines.

    Important

    Acțiunea UpdateApprovalStatus trebuie să utilizeze conexiunea principalului serviciu.

    Conectați-vă cu principalul serviciului

    Sfat

    Pentru a îmbunătăți experiența de depanare, selectați ApprovalProperties și inserați workflow() din meniul de conținut dinamic. Aceasta leagă rularea fluxului de rularea etapei conductei (istoricul rulării).

  8. Salvați, apoi testați conducta.

Iată o captură de ecran a unui flux de aprobare canonică.

Fluxul de aprobare canonică

Implementați ca proprietar al etapei conductei

Utilizatorii obișnuiți, inclusiv cei utilizați ca conturi de serviciu, pot servi și ca delegați. Configurarea este mai simplă în comparație cu principalele de servicii, dar soluțiile care conțin referințe de conexiune pentru conexiunile oAuth nu pot fi implementate.

Pentru a implementa ca proprietar al etapei pipeline, urmați acești pași.

  1. Atribuiți administratorul canal de implementare rol de securitate proprietarului etapei conductei din gazda conductelor și atribuiți administratorului de sistem rol de securitate în mediile țintă.

    Rolurile de securitate cu permisiuni inferioare nu pot implementa plug-in-uri și alte componente de cod.

  2. conectați-vă ca proprietar al etapei conductei. Numai proprietarul poate activa sau modifica aceste setări. Proprietatea echipei nu este permisă.

  3. Selectați Este implementarea delegată într-o etapă pipeline și selectați Proprietar etapa.

    • Identitatea proprietarului etapei pipeline este utilizată pentru toate implementările în această etapă.
    • În mod similar, această identitate trebuie utilizată pentru a aproba implementările.

  4. Creați un flux pentru cloud într-o soluție din mediul gazdă pipelines.

    1. Selectați declanșatorul OnApprovalStarted .
    2. Inserați acțiuni după cum doriți. De exemplu, o aprobare.
    3. Adăugați Dataverse Efectuați o acțiune nelegată.
      Nume acțiune: UpdateApprovalStatus (20 = finalizat, 30 = respins)

Mostre de implementare delegate

Important

Funcționalitatea furnizată în aceste mostre este acum acceptată nativ în produs, dar aceste mostre ar putea oferi informații despre extinderea funcționalității native de partajare.

Această descărcare conține exemple de fluxuri cloud pentru gestionarea aprobărilor și partajarea aplicațiilor și fluxurilor planșă de lucru implementate în mediul țintă. Descărcați soluția de probă

Descărcați și importați soluție gestionată în mediul dvs. gazdă pipelines. Soluția poate fi apoi personalizată pentru a se potrivi nevoilor organizației dumneavoastră.

Întrebări frecvente

Cum pot creatorii să acceseze obiectele implementate în mediile țintă?

Partajarea în timpul implementării este o capacitate nativă a implementărilor delegate cu principalii de servicii. Evită ca administratorii să fie nevoiți să atribuie manual roluri de securitate și să partajeze aplicații, fluxuri, Copiloturi implementate și așa mai departe, în cadrul Power Platform centru de administrare. În schimb, administratorii trebuie doar să aprobe cererea de implementare, iar partajarea este efectuată automat de către sistem.

Ce tipuri de obiecte pot fi partajate în timpul implementării?

În prezent, sunt acceptate rolurile de securitate, aplicațiile planșă de lucru și fluxurile cloud. Partajarea Copilot poate fi disponibilă și în funcție de regiunea dvs.

Pot actualiza partajarea când sunt implementate versiuni noi?

Partajarea este disponibilă prima dată când un obiect este implementat în mediul țintă. Partajarea nu poate fi actualizată când sunt implementate versiuni noi. Asigurați-vă că selectați un grup de securitate adecvat în timpul primei implementări. Gestionați accesul în curs prin grupuri de securitate.

Ce permisiuni sunt atribuite pentru aplicațiile și fluxurile planșă de lucru?

Pipelines atribuie privilegiile minime necesare pentru a rula aplicații și fluxuri. Dacă se doresc privilegii mai mari, conductele pot fi extinse. Vă recomandăm să activați funcția „Blocați personalizările negestionate” atunci când atribuiți permisiuni mai mari.

Pot creatorii să partajeze utilizatorilor individuali?

Nu momentan. Vă recomandăm să gestionați accesul utilizatorului individual prin grupuri de securitate după prima implementare a obiectului.

Primesc o eroare Etapa de implementare nu este proprietarul principalului serviciu (<AppId>). Numai proprietarii principalului serviciu îl pot folosi pentru implementări delegate.

Asigurați-vă că sunteți proprietarul aplicației Enterprise (Service Principal) în Microsoft Entra ID (fost Azure AD). Este posibil să fiți doar proprietarul înregistrării aplicației și nu al aplicației Enterprise.

Aplicații pentru întreprinderi

Pentru implementările delegate bazate pe proprietarul etapei, de ce nu pot atribui un alt utilizator ca implementator?

Din motive de securitate, trebuie să vă conectați ca utilizator care va fi setat ca proprietar al etapei conductei. Acest lucru împiedică adăugarea unui utilizator fără consimțământ ca implementator.

Pentru implementările delegate bazate pe proprietarul etapei, pot folosi un fișier DeploymentSettings.json personalizat?

În prezent, nu face parte din experiența producătorului.

De ce implementările mele delegate sunt blocate într-o stare în așteptare?

Toate implementările delegate sunt în așteptare până la aprobare. Asigurați-vă că administratorul a configurat un Power Automate flux de aprobare sau altă automatizare, că funcționează corect și că implementarea a fost aprobată.

Cine deține obiectele soluției implementate?

Identitatea de implementare. Pentru implementările delegate, proprietarul este principalul serviciu delegat sau proprietarul etapei pipeline.

Pot adăuga pași de aprobare personalizați?

Da. De exemplu, Power Automate aprobările pot fi personalizate pentru a răspunde nevoilor organizației dvs. De asemenea, puteți integra și alte sisteme de aprobare.

De ce trebuie să dețin principalul serviciu?

Acest lucru este aplicat din motive de securitate. De asemenea, puteți crea conducte folosind un cont de serviciu și adăugați același cont de serviciu ca și proprietarul. O altă opțiune este alocarea principalului serviciu (utilizatorul aplicației) ca proprietar al etapei pipeline și ca proprietar al lui însuși (aplicația Enterprise) în Microsoft Entra. Cu toate acestea, atribuirea dreptului de proprietate asupra fazei pipeline unei aplicații trebuie să se facă prin intermediul Dataverse API din gazda pipelines.

Primesc o eroare Implementările delegate de tip „ServicePrincipal” pot fi aprobate sau respinse numai de către principalul serviciu configurat în etapa de implementare.

Asigurați-vă că Dataverse acțiunea personalizată UpdateApprovalStatus este apelată de principalul serviciu. Dacă utilizați Power Automate aprobări, asigurați-vă că această acțiune este configurată pentru a utiliza conexiunea principalului serviciu delegat.

Primesc o eroare Implementările delegate de tip „Proprietar” pot fi aprobate sau respinse numai de proprietarul etapei de implementare.

Asigurați-vă că Dataverse acțiunea personalizată UpdateApprovalStatus este apelată de proprietarul etapei conductei. Dacă utilizați Power Automate aprobări, asigurați-vă că această acțiune este configurată pentru a utiliza conexiunea proprietarului etapei pipeline delegate.

Primesc o eroare în fluxul meu de aprobare Nu se găsesc atributul de stare de aprobare pentru înregistrarea derulării etapei.

Acest lucru se întâmplă atunci când starea de aprobare nu este încă în starea de așteptare. Asigurați-vă că aceasta este o implementare delegată și că utilizați OnApprovalStarted declanșatorul în fluxul dvs. de aprobare.

Pot folosi diferite principii de serviciu pentru diferite conducte și etape?

Da.