Zdieľať cez

Nasaďte kanály ako hlavný príkazca služby alebo vlastník potrubia

  • Článok

Delegované nasadenia môžu byť spustené ako principál služby alebo vlastník fázy potrubia. Keď je táto možnosť povolená, nasadí sa fáza potrubia ako delegát (principal služby alebo vlastník fázy potrubia) namiesto žiadajúceho výrobcu.

Nasadenie s vedúcim služby

Požiadavky

  • A Microsoft Entra používateľský účet. Ak ho ešte nemáte, môžete si zadarmo vytvoriť účet.
  • Jedna z nasledujúcich Microsoft Entra rolí: Administrátor cloudových aplikácií alebo Administrátor aplikácií.
  • Musíte byť vlastníkom podnikovej aplikácie (principal služby) v Microsoft Entra ID.

Pre delegované nasadenie s principálom služby postupujte podľa týchto krokov.

  1. Vytvorte podnikovú aplikáciu (principal služby) v Microsoft Entra ID.

    Dôležité

    Každý, kto povoľuje alebo upravuje konfigurácie principálu služby v kanáloch, musí byť vlastníkom podnikovej aplikácie (principal služby) v Microsoft Entra ID.

  2. Pridajte podnikovú aplikáciu ako používateľa server-to-server (S2S) do hostiteľského prostredia potrubí a každého cieľového prostredia, do ktorého sa nasadí.

  3. Priraďte kanál nasadenia administrátora rola zabezpečenia používateľovi S2S v rámci hostiteľa kanálov a správcu systému rola zabezpečenia v cieľových prostrediach. Roly zabezpečenia s nižšími povoleniami nemôžu nasadzovať doplnky a iné komponenty kódu.

  4. Vyberte (začiarknite) Je delegované nasadenie v štádiu procesu, vyberte Principal služby a zadajte ID klienta. Vyberte položku Uložiť.

  5. Voliteľne Povoliť požiadavky na zdieľanie , aby žiadatelia o nasadenie mohli určiť, ktoré skupiny zabezpečenia môžu pristupovať k nasadeným objektom v cieľovom prostredí. Požiadavky na zdieľanie sú súčasťou žiadosti o nasadenie a možno ich schváliť alebo zamietnuť.

Dôležité

Schvaľovatelia nasadenia sú zodpovední za dôkladnú kontrolu zdieľania a rola zabezpečenia informácií. Keď je nasadenie schválené, kanály automaticky pridelia povolenia pomocou identity principála nasadenia.
>

  1. Vytvorte postup v cloude v hostiteľskom prostredí potrubí. Alternatívne systémy možno integrovať pomocou pipelines' Microsoft Dataverse API.

  2. Vyberte spúšťač OnApprovalStarted .

  3. Pridajte kroky pre požadovanú vlastnú logiku.

  4. Vložte schválenie krok. Použite dynamický obsah na odosielanie informácií o požiadavkách na nasadenie schvaľovateľom.

  5. Vložte podmienku.

  6. Vytvorte Dataverse pripojenie pre principál služby. Potrebujete ID klienta a tajomstvo.

  7. Pridať Dataverse Vykonajte neviazanú akciu pomocou tu zobrazených nastavení.
    Názov akcie: UpdateApprovalStatus ApprovalComments: Vložte dynamický obsah. Komentáre sú viditeľné pre žiadateľa o nasadenie. ApprovalStatus: 20 = schválené, 30 = zamietnuté Vlastnosti schválenia: Vložte dynamický obsah. Informácie o správcovi prístupné z hostiteľa kanálov.

    Dôležité

    Akcia UpdateApprovalStatus musí používať pripojenie principála služby.

    Spojte sa s vedúcim služby

    Prepitné

    Ak chcete zlepšiť skúsenosti s ladením, vyberte ApprovalProperties a vložte workflow() z ponuky dynamického obsahu. Toto prepojí priebeh toku s chodom fázy potrubia (história chodu).

  8. Uložte a potom otestujte potrubie.

Tu je snímka obrazovky kanonického postupu schvaľovania.

Kanonický postup schvaľovania

Nasadiť ako vlastník fázy potrubia

Bežní používatelia, vrátane tých, ktorí sa používajú ako servisné účty, môžu tiež slúžiť ako delegáti. Konfigurácia je v porovnaní s princípmi služieb priamočiarejšia, ale riešenia obsahujúce odkazy na pripojenie pre pripojenia oAuth nie je možné nasadiť.

Ak chcete nasadiť ako vlastník fázy potrubia, postupujte podľa týchto krokov.

  1. Priraďte kanál nasadenia Administrátora rola zabezpečenia vlastníkovi fázy potrubia v rámci hostiteľa potrubia a priraďte správcu systému rola zabezpečenia v cieľových prostrediach.

    Roly zabezpečenia s nižšími povoleniami nemôžu nasadzovať doplnky a iné komponenty kódu.

  2. Prihláste sa ako vlastník fázy potrubia. Tieto nastavenia môže povoliť alebo upraviť iba vlastník. Vlastníctvo tímu nie je povolené.

  3. Vyberte Je delegované nasadenie v štádiu potrubia a vyberte Vlastník fázy.

    • Identita vlastníka fázy potrubia sa používa pre všetky nasadenia v tejto fáze.
    • Podobne musí byť táto identita použitá na schválenie nasadení.

  4. Vytvorte postup v cloude v riešení v hostiteľskom prostredí potrubí.

    1. Vyberte spúšťač OnApprovalStarted .
    2. Vložte akcie podľa potreby. Napríklad schválenie.
    3. Pridať Dataverse Vykonajte neviazanú akciu.
      Názov akcie: UpdateApprovalStatus (20 = dokončené, 30 = zamietnuté)

Delegované ukážky nasadenia

Dôležité

Funkcie poskytované v týchto ukážkach sú teraz v produkte natívne podporované, ale tieto ukážky môžu poskytnúť prehľad o rozšírení funkcie natívneho zdieľania.

Toto stiahnutie obsahuje vzorové cloudové toky na správu schvaľovania a zdieľanie nasadených aplikácií plátna a tokov v cieľovom prostredí. Stiahnite si vzorové riešenie

Stiahnite si a importujte spravované riešenie do hostiteľského prostredia potrubí. Riešenie je potom možné prispôsobiť potrebám vašej organizácie.

Najčastejšie otázky

Ako môžu tvorcovia pristupovať k nasadeným objektom v cieľových prostrediach?

Zdieľanie počas nasadenia je natívna schopnosť delegovaných nasadení s principálmi služieb. Zabraňuje tomu, aby správcovia museli manuálne priraďovať roly zabezpečenia a zdieľať nasadené aplikácie, postupy, kopilotov atď. Power Platform centrum spravovania. Namiesto toho musia správcovia iba schváliť žiadosť o nasadenie a zdieľanie automaticky vykoná systém.

Ktoré typy objektov možno zdieľať počas nasadenia?

V súčasnosti sú podporované roly zabezpečenia, aplikácie plátna a cloudové toky. Copilot zdieľanie môže byť tiež dostupné v závislosti od vášho regiónu.

Môžem aktualizovať zdieľanie, keď sú nasadené nové verzie?

Zdieľanie je dostupné pri prvom nasadení objektu do cieľového prostredia. Zdieľanie nie je možné aktualizovať, keď sú nasadené nové verzie. Počas prvého nasadenia nezabudnite vybrať vhodnú bezpečnostnú skupinu. Spravujte priebežný prístup cez bezpečnostné skupiny.

Aké povolenia sú priradené pre aplikácie a toky plátna?

Pipelines prideľuje minimálne oprávnenia potrebné na spustenie aplikácií a tokov. Ak sú požadované vyššie privilégiá, môžu byť kanály rozšírené. Pri prideľovaní vyšších povolení vám odporúčame povoliť funkciu „Blokovať nespravované prispôsobenia“.

Môžu tvorcovia zdieľať s jednotlivými používateľmi?

Momentálne nie. Individuálny prístup používateľov odporúčame spravovať cez bezpečnostné skupiny po prvom nasadení objektu.

Zobrazuje sa mi chyba Fáza nasadenia nie je vlastníkom principála služby (<AppId>). Na delegované nasadenia ho môžu používať iba vlastníci principála služby.

Uistite sa, že ste vlastníkom Enterprise Application (Service Principal) v Microsoft Entra ID (predtým Azure AD). Môžete byť iba vlastníkom registrácie aplikácie, nie podnikovej aplikácie.

Podnikové aplikácie

Prečo nemôžem pri delegovaných nasadeniach založených na vlastníkovi fázy priradiť iného používateľa ako nasadzovateľa?

Z bezpečnostných dôvodov sa musíte prihlásiť ako používateľ, ktorý bude nastavený ako vlastník fázy potrubia. Toto zabraňuje pridaniu nesúhlasného používateľa ako nasadzovateľa.

Môžem použiť vlastný súbor DeploymentSettings.json pre delegované nasadenia založené na vlastníkovi fázy?

Momentálne nie je v rámci skúseností výrobcu.

Prečo sú moje delegované nasadenia uviaznuté v stave čakania?

Všetky delegované nasadenia čakajú na schválenie. Uistite sa, že váš správca nakonfiguroval Power Automate postup schvaľovania alebo inú automatizáciu, či funguje správne a či bolo nasadenie schválené.

Kto vlastní objekty nasadeného riešenia?

Identita nasadenia. Pre delegované nasadenia je vlastníkom delegovaný principál služby alebo vlastník fázy potrubia.

Môžem pridať vlastné kroky schválenia?

Áno. Napríklad Power Automate schválenia možno prispôsobiť tak, aby vyhovovali potrebám vašej organizácie. Môžete tiež integrovať ďalšie schvaľovacie systémy.

Prečo musím vlastniť príkazcu služby?

Toto je vynútené z bezpečnostných dôvodov. Môžete tiež vytvoriť kanály pomocou servisného účtu a pridať rovnaký servisný účet ako vlastník. Ďalšou možnosťou je priradenie principála služby (používateľa aplikácie) ako vlastníka fázy potrubia a ako vlastníka seba samého (podniková aplikácia) Microsoft Entra. Priradenie vlastníctva fázy potrubia k aplikácii sa však musí vykonať prostredníctvom rozhrania Dataverse API v hostiteľovi potrubí.

Zobrazuje sa mi chyba Delegované nasadenia typu „ServicePrincipal“ môže schváliť alebo zamietnuť iba hlavný servisný pracovník nakonfigurovaný vo fáze nasadenia.

Uistite sa, že Dataverse vlastnú akciu UpdateApprovalStatus volá príkazca služby. Ak používate Power Automate schválenia, uistite sa, že táto akcia je nakonfigurovaná na používanie pripojenia principála služby delegáta.

Zobrazuje sa mi chyba Delegované nasadenia typu Vlastník môže schváliť alebo zamietnuť iba vlastník fázy nasadenia.

Zabezpečte, aby Dataverse vlastnú akciu UpdateApprovalStatus vyvolal vlastník fázy potrubia. Ak používate Power Automate schválenia, uistite sa, že táto akcia je nakonfigurovaná tak, aby používala pripojenie vlastníka fázy delegovaného kanála.

Zobrazuje sa mi chyba v postupe schvaľovania Nedá sa nájsť atribút stavu schválenia pre záznam spustenia fázy.

Stáva sa to vtedy, keď stav schválenia ešte nie je v stave čakania. Uistite sa, že ide o delegované nasadenie a že v procese schvaľovania používate spúšťač OnApprovalStarted .

Môžem použiť rôzne princípy služieb pre rôzne kanály a fázy?

Áno.