Implementar pipelines como um principal de serviço ou proprietário do pipeline

As implementações delegadas podem ser executadas como um principal de serviço ou proprietário de fase do pipeline. Quando ativada, a fase do pipeline implementa como o delegado (principal de serviço ou proprietário da fase do pipeline), em vez do criador do pedido.

Implementar com u, principal de serviço

Pré-requisitos

  • Uma conta de utilizador do Microsoft Entra. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
  • Uma das seguintes Microsoft Entra funções: Cloud Application Administrador ou Application Administrador.
  • Tem de ser um proprietário da aplicação empresarial (principal de serviço) no ID do Microsoft Entra.

Para uma implementação delegada com um principal do serviço, siga estes passos.

  1. Crie uma aplicação empresarial (principal de serviço) no ID do Microsoft Entra.

    Importante

    Qualquer pessoa que ative ou modifique configurações do principal de serviço em pipelines tem de ser proprietária da aplicação empresarial (principal de serviço) no ID do Microsoft Entra.

  2. Adicione a aplicação empresarial como um utilizador de servidor para servidor (S2S) no ambiente de anfitrião de pipelines e em cada ambiente de destino em que é implementado.

  3. Atribua o direito de acesso de Administrador de Pipeline de Implementação ao utilizador S2S dentro do anfitrião de pipelines e o direito de acesso de Administrador de Sistemas dentro de ambientes de destino. Direitos de acesso com permissões mais baixas não podem implementar plug-ins e outros componentes de código.

  4. Escolha (marque) É implementação delegada numa fase de pipeline, selecione Principal de Serviço e introduza o ID de Cliente. Selecione Guardar.

  5. Opcionalmente, permita solicitações de compartilhamento para que os solicitantes de implantação possam especificar quais grupos de segurança podem acessar objetos implantados no ambiente de destino. As solicitações de compartilhamento fazem parte da solicitação de implantação e podem ser aprovadas ou rejeitadas.

Importante

Os aprovadores de implantação são responsáveis por analisar cuidadosamente o compartilhamento e direito de acesso informações. Quando uma implantação é aprovada, os pipelines atribuem automaticamente permissões usando a identidade da entidade de serviço de implantação.
>

  1. Crie um fluxo de cloud no ambiente de anfitrião dos pipelines. Os sistemas alternativos podem ser integrados utilizando APIs do Microsoft Dataverse dos pipelines.

  2. Selecione o acionador OnApprovalStarted.

  3. Adicione passos à sua lógica personalizada pretendida.

  4. Insira um passo de aprovação. Utilize conteúdo Dinâmico para enviar informações de pedidos de implementação para os aprovadores.

  5. Inserir uma condição.

  6. Criar uma ligação do Dataverse para o principal de serviço. Precisa de um ID de cliente e segredo.

  7. Adicione Efetuar uma ação não vinculada do Dataverse utilizando as definições mostradas aqui.
    Nome da Ação: UpdateApprovalStatus ApprovalComments: Inserir Conteúdo Dinâmico. Os comentários estão visíveis para quem pediu a implementação. ApprovalStatus: 20 = aprovado, 30 = rejeitado ApprovalProperties: Inserir Conteúdo Dinâmico. Informações de administração acessíveis a partir do anfitrião de pipelines.

    Importante

    A ação UpdateApprovalStatus tem de utilizar a ligação do principal de serviço.

    Ligar ao principal de serviço

    Gorjeta

    Para melhorar a experiência de depuração, selecione ApprovalProperties e insira workflow() no menu de conteúdo dinâmico. Isto associa a execução do fluxo à execução de fase do pipeline (histórico de execução).

  8. Guarde e, em seguida, teste o pipeline.

Eis uma captura de ecrã de um fluxo de aprovação canónico.

Fluxo de Aprovação Canónico

Implementar como o proprietário da fase de pipelines

Os utilizadores regulares, incluindo os utilizados como contas de serviço, também podem servir como delegados. A configuração é mais simples quando comparada com os principais de serviço, mas as soluções que contêm referências de ligação para ligações OAuth não podem ser implementadas.

Para implementar como o proprietário da fase de pipelines, siga estes passos.

  1. Atribua o direito de acesso de Administrador de Pipeline de Implementação ao proprietário da fase de pipeline dentro do anfitrião de pipelines e atribua o direito de acesso de Administrador de Sistemas dentro de ambientes de destino.

    Direitos de acesso com permissões mais baixas não podem implementar plug-ins e outros componentes de código.

  2. Inicie sessão como o proprietário da fase de pipelines. Só o proprietário pode ativar ou modificar estas definições. A propriedade da equipa não é permitida.

  3. Selecione É implementação delegada numa fase de pipelines e selecione Proprietário da Fase.

    • A identidade do proprietário da fase de pipelines é utilizada por todas as implementações para esta fase.
    • Do mesmo modo, esta identidade tem de ser utilizada para aprovar implementações.
  4. Crie um fluxo de cloud numa solução no ambiente de anfitrião dos pipelines.

    1. Selecione o acionador OnApprovalStarted.
    2. Insira as ações como pretendido. Por exemplo, uma aprovação.
    3. Adicione Efetuar uma ação não vinculada do Dataverse.
      Nome da Ação: UpdateApprovalStatus (20 = concluído, 30 = rejeitado)

Exemplos de implementação delegada

Importante

A funcionalidade fornecida nesses exemplos agora é suportada nativamente no produto, mas esses exemplos podem fornecer informações sobre como estender a funcionalidade de compartilhamento nativa.

Esta transferência contém exemplos de fluxos de cloud para gerir aprovações e partilhar aplicações de tela e fluxos implementados no ambiente de destino. Download da solução de exemplo

Transfira e importe a solução gerida para o seu ambiente anfitrião de pipelines. Em seguida, a solução pode ser personalizada para se adequar às necessidades da sua organização.

Perguntas mais frequentes

Como é que os criadores podem aceder a objetos implementados nos ambientes de destino?

O compartilhamento durante a implantação é um recurso nativo de implantações delegadas com entidades de serviço. Isso evita que os administradores precisem atribuir manualmente funções de segurança e compartilhar aplicativos implantados, fluxos, Copilotos e assim por diante, dentro do Power Platform centro de administração. Em vez disso, os administradores só precisam aprovar a solicitação de implantação e o compartilhamento é realizado automaticamente pelo sistema.

Quais tipos de objeto podem ser compartilhados durante a implantação?

Atualmente, há suporte para funções de segurança, aplicativos de tela e fluxos de nuvem. O compartilhamento de copiloto também pode estar disponível dependendo da sua região.

Quais permissões são atribuídas para aplicativos e fluxos de tela?

Pipelines atribui os privilégios mínimos necessários para executar aplicativos e fluxos. Se privilégios mais altos forem desejados, os pipelines podem ser estendidos. Recomendamos que você habilite o recurso 'Bloquear personalizações não gerenciadas' ao atribuir permissões mais altas.

Os criadores podem partilhar com utilizadores individuais?

Atualmente, não. Recomendamos gerenciar o acesso de usuários individuais por meio de grupos de segurança após a primeira implantação do objeto.

Estou a receber um erro A fase de implementação não é proprietária do principal de serviço (<AppId>). Apenas os proprietários do principal de serviço podem usá-la para implementações delegadas.

Certifique-se de que é o proprietário da Aplicação Empresarial (Principal de Serviço) no Microsoft Entra ID (antigo Azure AD). Pode ser apenas o proprietário do Registo de Aplicações e não da Aplicação Empresarial.

Aplicações empresariais

Para implementações delegadas baseadas no proprietário da fase, por que não posso atribuir outro utilizador como implementador?

Por motivos de segurança, deve fazer iniciar sessão com o utilizador que será definido como proprietário da fase do pipeline. Isto evita a adição de um utilizador como implementador sem consentimento.

Para implantações delegadas baseadas no proprietário do estágio, posso usar um arquivo de DeploymentSettings.json personalizado?

Atualmente não está dentro da experiência maker.

Por que é que as minhas implementações delegadas estão no estado pendente?

Todas as implementações delegadas ficam pendentes até serem aprovadas. Verifique se o administrador configurou um fluxo de aprovação do Power Automate ou outra automatização, se está a funcionar corretamente e se a implementação foi aprovada.

Quem é o proprietário dos objetos da solução implementados?

A identidade que implementa. Para implementações delegadas, o proprietário é o principal de serviço ou proprietário da fase do pipeline delegado.

Posso adicionar etapas de aprovação personalizadas?

Sim. Por exemplo, as aprovações do Power Automate podem ser personalizadas para atender às necessidades da sua organização. Também pode integrar outros sistemas de aprovação.

Por que eu tenho que possuir a entidade de serviço?

Isto é aplicado por razões de segurança. Você também pode criar pipelines usando uma conta de serviço e adicionar a mesma conta de serviço que o proprietário. Outra opção é atribuir a entidade de serviço (utente do aplicativo) como o proprietário do estágio de pipeline e como um proprietário de si mesmo (aplicativo empresarial) em Microsoft Entra. No entanto, a atribuição da propriedade do estágio de pipeline a um aplicativo deve ser feita por meio da Dataverse API no host de pipelines.

Estou a receber um erro Implementações delegadas do tipo "ServicePrincipal" só podem ser aprovadas e rejeitadas pelo Principal de Serviço configurado na fase de implementação.

Certifique-se de que a ação personalizada do Dataverse UpdateApprovalStatus é chamada pelo principal de serviço. Se estiver a usar aprovações do Power Automate, certifique-se de que esta ação está configurada para usar a ligação do principal de serviço delegado.

Estou a receber um erro Implementações delegadas do tipo "Proprietário" só podem ser aprovadas e rejeitadas pelo proprietário da fase de implementação.

Certifique-se de que a ação personalizada do Dataverse UpdateApprovalStatus é chamada pelo proprietário da fase do pipeline. Se estiver a usar aprovações do Power Automate, certifique-se de que esta ação está configurada para usar a ligação do proprietário da fase do pipeline delegado.

Estou a receber um erro no meu fluxo de aprovação Não é possível encontrar o atributo de estado de aprovação para o registo de execução da fase.

Isto acontece quando o estado de aprovação ainda não está pendente. Verifique se esta é uma implementação delegada e se está a usar o acionador OnApprovalStarted no seu fluxo de aprovação.

Posso utilizar principais de serviço diferentes para pipelines e fases diferentes?

Sim.