Поделиться через

Задание ответственного за выполнение при подключении классического потока (предварительная версия)

  • Статья

[Данная статья посвящена предварительному выпуску и может быть изменена.]

Когда подключение является общим, получатель может выполнять скрипты, получать идентификаторы скриптов и идентификаторы CloudConnector, потенциально выполняя несанкционированные действия от имени владельца подключения. По этой причине общий доступ к подключению классического потока был недоступен.

Чтобы включить управление жизненным циклом приложений (ALM) с конвейером, принадлежащим субъекту-службе, в подключение классического потока включается новая роль "владелец выполнения". Эта новая роль отделяет владельца подключения от владельца запуска. Совместное использование подключения классического потока с субъект-службой (также называемой именем субъект-службы конвейера) возможно только в том случае, если владельцем выполнения является другая субъект-служба (также известная как имя субъект-службы владельца выполнения).

Внимание!

  • Это предварительная версия функции.
  • Предварительные версии функций не предназначены для использования в производственной среде, а их функциональность может быть ограничена. Они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.
  • Эта функция постепенно развертывается во всех регионах и, возможно, еще недоступна в вашем регионе.
  • Владелец выполнения классического потока — это пользователь, разрешения которого проверяются во время выполнения потока.
  • Подключения, созданные с помощью портала Power Automate, используют создателя подключения (пользователя, создающего подключение) в качестве владельца выполнения.

Чтобы запустить поток, пользователю необходимо:

  • Иметь как минимум роль "Создатель среды" (определяется в центре администрирования Power Automate).
  • Иметь доступ к таблицам Dataverse, используемым потоком, в том числе:
    • Компьютер или группа компьютеров (или группа размещенных компьютеров, если применимо)
    • Скрипт классического потока
    • Учетные данные (если таковые имеются в подключении)
    • Любая зависимость внутри скрипта классического потока (например, облачный соединитель, учетные данные и т. д.)
    • Очереди работ (если они используются потоком)

Теперь пользователи могут явно выбрать идентификатор Microsoft Entra в качестве владельца выполнения.

Другими пользователями можно делиться только подключениями с явно выбранным владельцем запуска. В этом случае получателями общего доступа к подключению классического потока могут быть только пользователи субъекта-службы.

Ограничения

Ограничения удостоверения владельца выполнения

  • Явный владелец запуска должен иметь тип субъекта-службы.
  • Субъект-служба должен быть зарегистрирована в том же клиенте, что и создатель подключения.
  • Подключения с явным владельцем запуска поддерживают только проверку подлинности на основе сертификатов.

Ограничения по продуктам

  • Подключения с явным владельцем выполнения нельзя использовать для запуска классического потока с облачными потоками без встраивания.
  • Подключения "Подключение с входом для выполнения с сопровождением" не поддерживаются.

Заметка

Некоторые функции классических потоков не поддерживаются до выхода общедоступной версии:

Ограничения на подключение

  • Явное удостоверение владельца запуска может быть обновлено в подключении, но его нельзя удалить. Вам необходимо создать новое подключение без удостоверения владельца запуска, если вы хотите удалить удостоверение владельца запуска в подключении.

Необходимые условия

Пользователь субъекта-службы уже должен быть настроен в Microsoft Entra с проверкой подлинности на основе сертификатов.

Настройка удостоверения субъекта-службы, используемого в качестве ответственного за запуск

Внимание!

В этой статье замените все квадратные скобки [...] в URL-адресах и входных/выходных данных значениями, характерными для вашего сценария.

Регистрация удостоверения субъекта-службы в качестве пользователя приложения среды

  1. Добавьте пользователя субъекта-службы в качестве пользователя приложения в вашей среде. Подробнее см. в разделе Управление пользователем приложения.

  2. Добавьте роль "Environment Maker" к пользователю приложения. Подробнее см. в разделе Управление ролями для пользователя приложения

Совместное использование таблиц Dataverse

Владелец запуска должен иметь доступ ко всем таблицам Dataverse, используемым потоком во время выполнения.

Таблицу Ссылка
Компьютер Совместно использовать компьютер
Группа компьютеров Совместно использовать группу компьютеров
Компоненты группы размещенных компьютеров Совместное использование компонентов группы размещенных компьютеров
Скрипт классического потока Совместное использование классического потока
Учетные данные Поделитесь учетными данными
Очередь работ Предоставление общего доступа к очереди работ

Создание подключения с владельцем выполнения

Запросите маркер доступа

Сначала запросите маркер доступа для взаимодействия с API-интерфейсом Power Platform. Дополнительные сведения см. в статье Запрос маркера доступа.

Отправка запроса на создание соединения с владельцем запуска

Чтобы создать подключение, отправьте запрос HTTP PUT в Power Apps API для создания подключения, используя токен доступа, который вы получили ранее.

PUT https://[ENVIRONMENT_ID_URL].environment.api.powerplatform.com/connectivity/connectors/shared_uiflow/connections/[CONNECTION_ID]?api-version=1
Content-Type: application/json
Host: [ENVIRONMENT_ID_URL].environment.api.powerplatform.com
Accept: application/json
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJu...
Заполнитель Описание Пример
ENVIRONMENT_ID_URL Идентификатор среды со всеми удаленными разделителями и двумя последними символами, разделенными точкой. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -> 00aa00aabb11cc22dd3344ee44ee44ee
CONNECTION_ID Идентификатор подключения, используемый для создания подключения. Это должен быть действительный GUID. Вы можете использовать команду PowerShell New-Guid для создания идентификатора GUID. aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Содержимое тела изменяется в зависимости от типа используемых учетных данных компьютера.

Если вы используете учетные данные, перед созданием подключения необходимо предоставить идентификатору субъект-службы доступ к ним. Дополнительные сведения см. в статье Совместное использование учетных данных

Заполнители, определенные для тела запроса:

Заполнитель Описание Пример
ENVIRONMENT_ID ИД среды 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
DISPLAY_NAME Отображаемое имя подключения на портале Power Automate InvoiceAppConnection
CREDENTIAL_ID Идентификатор учетных данных. Подробнее см. в разделе Получение идентификатора учетных данных bbbbbbbb-1111-2222-3333-cccccccccccc
MACHINE_ACCOUNT Имя пользователя учетной записи, используемой для открытия сеанса Windows. Для локальной учетной записи используйте <MACHINENAME\\User> или <local\\User>. Для учетной записи Microsoft Entra ID используйте <DOMAIN\\User> или <[email protected]>. Обратите внимание, что обратная косая черта должна быть экранирована escape-символом, например CONTOSO\\accountName. CONTOSO\\accountName
MACHINE_PASSWORD Пароль учетной записи
ENVIRONMENT_VARIABLE_USERNAME Имя переменной среды, содержащей имя учетной записи компьютера. Дополнительные сведения: Получение имени переменной среды new_ContosoLogin
ENVIRONMENT_VARIABLE_PASSWORD Имя переменной среды, содержащей пароль для учетной записи. Дополнительные сведения: Получение имени переменной среды new_ContosoPassword
GROUP_ID ИД группы, для которой нужно создать подключение. Дополнительные сведения см. в разделе Получение идентификатора группы компьютера или группы dd4cac14-0b49-475d-b274-3ad41a4e82a7
APP_ID Идентификатор приложения (или идентификатор клиента) удостоверения субъекта-службы, используемого в качестве владельца выполнения. 00001111-aaaa-2222-bbbb-3333cccc4444
PFX Строка в кодировке base64 файла сертификата обмена персональными данными (PFX) субъекта-службы. Дополнительные сведения см. в статье Получение кодировки base64 сертификата MIIKdQIBA...ICB9A=
PASSWORD Пароль сертификата субъект-службы. Можно оставить пустым, если NULL

Подключение без учетных данных

{
    "properties":
    {
        "environment":
        {
            "id": "/providers/Microsoft.PowerApps/environments/[ENVIRONMENT_ID]",
            "name":"[ENVIRONMENT_ID]"
        },
        "displayName": "[DISPLAY_NAME]",
        "connectionParametersSet":
        {
            "name":"azureRelayRunOwner",
            "values":
            {
                "username":{"value":"[MACHINE_ACCOUNT]"},
                "password":{"value":"[MACHINE_PASSWORD]"},
                "targetId":{"value":"[GROUP_ID]"},
                "tokenRunOwnerCert:clientId":{"value":"[APP_ID]"},
                "tokenRunOwnerCert:clientCertificateSecret":
                {
                    "value":
                    {
                        "pfx":"[PFX]",
                        "password":"[PASSWORD]"
                    }
                }
            }
        }
    }
}

Подключение к учетным данным проверки подлинности на основе пароля Azure Key Vault

{
    "properties":
    {
        "environment":
        {
            "id": "/providers/Microsoft.PowerApps/environments/[ENVIRONMENT_ID]",
            "name":"[ENVIRONMENT_ID]"
        },
        "displayName": "[DISPLAY_NAME]",
        "credentialId": "[CREDENTIAL_ID]",
        "connectionParametersSet":
        {
            "name":"azureRelayRunOwner",
            "values":
            {
                "username":{"value":"@environmentVariables(\"[ENVIRONMENT_VARIABLE_USERNAME]\")"},
                "password":{"value":"@environmentVariables(\"[ENVIRONMENT_VARIABLE_PASSWORD]\")"},
                "targetId":{"value":"[GROUP_ID]"},
                "tokenRunOwnerCert:clientId":{"value":"[APP_ID]"},
                "tokenRunOwnerCert:clientCertificateSecret":
                {
                    "value":
                    {
                        "pfx":"[PFX]",
                        "password":"[PASSWORD]"
                    }
                }
            }
        }
    }
}

Подключение к учетным данным проверки подлинности на основе сертификатов Azure Key Vault

{
    "properties":
    {
        "environment":
        {
            "id": "/providers/Microsoft.PowerApps/environments/[ENVIRONMENT_ID]",
            "name":"[ENVIRONMENT_ID]"
        },
        "displayName": "[DISPLAY_NAME]",
        "credentialId": "[CREDENTIAL_ID]",
        "connectionParametersSet":
        {
            "name":"azureRelayRunOwner",
            "values":
            {
                "username":{"value":"@environmentVariables(\"[ENVIRONMENT_VARIABLE_USERNAME]\")"},
                "password":{"value":"none"},
                "targetId":{"value":"[GROUP_ID]"},
                "tokenRunOwnerCert:clientId":{"value":"[APP_ID]"},
                "tokenRunOwnerCert:clientCertificateSecret":
                {
                    "value":
                    {
                        "pfx":"[PFX]",
                        "password":"[PASSWORD]"
                    }
                }
            }
        }
    }
}

Подключение с учетными данными для проверки подлинности Cyber Ark

{
    "properties":
    {
        "environment":
        {
            "id": "/providers/Microsoft.PowerApps/environments/[ENVIRONMENT_ID]",
            "name":"[ENVIRONMENT_ID]"
        },
        "displayName": "[DISPLAY_NAME]",
        "credentialId": "[CREDENTIAL_ID]",
        "connectionParametersSet":
        {
            "name":"azureRelayRunOwner",
            "values":
            {
                "username":{"value":"@environmentVariables(\"[ENVIRONMENT_VARIABLE_USERNAME]\")"},
                "password":{"value":"none"},
                "targetId":{"value":"[GROUP_ID]"},
                "tokenRunOwnerCert:clientId":{"value":"[APP_ID]"},
                "tokenRunOwnerCert:clientCertificateSecret":
                {
                    "value":
                    {
                        "pfx":"[PFX]",
                        "password":"[PASSWORD]"
                    }
                }
            }
        }
    }
}

Ответ создания подключения

После завершения запроса вы увидите только что созданное подключение на портале Power Automate. Вы также можете использовать подключение для выполнения классических потоков, если предоставлены все необходимые разрешения. Дополнительные сведения см. в разделе Общий доступ к таблицам Dataverse.

Формат ответа:

{
  "name": "[CONNECTION_ID]",
  "id": "/providers/Microsoft.PowerApps/apis/shared_uiflow/connections/[CONNECTION_ID]",
  "type": "Microsoft.PowerApps/apis/connections",
  "properties": {
    "statuses": [
      {
        "status": "[CONNECTION_STATUS]"
      }
    ],
  }
}

Ответ содержит:

  • CONNECTION_ID: идентификатор вашего нового подключения
  • CONNECTION_STATUS: состояние создания

Внимание!

Убедитесь, что получено состояние подключения Connected. Вы можете получить действительный ответ (201 Создано) с недопустимым статусом подключения. Если при создании подключения возникает ошибка, в ответе отображаются сведения об ошибке.

Ответ с сообщением об ошибке:

{
  "error": {
    "code": "ApiHubsRequestFailed",
    "message": "Aggregated detailed message",
    "details": [
      {
        "code": "ErrorCode",
        "message": "Error message",
        "details": [
          {
            "code": "Response Code",
            "message": "Error message"
          }
        ]
      }
    ]
  }
}

Обновление подключения с владельцем запуска

Вы можете обновить существующее подключение новыми параметрами (отображаемое имя, учетные данные, идентификатор владельца выполнения), используя тот же запрос PUT, что и для запроса на создание подключения. В URL-адресе запроса сохраняйте тот же идентификатор подключения, что и у существующего подключения.

Внимание!

Удаление владельца выполнения для существующего идентификатора не допускается. Если вы хотите заблокировать использование субъекта-службы, ее можно деактивировать в организации Dataverse. Подробнее см. в разделе Деактивирование пользователем приложения

Удаление подключения с владельцем запуска

Вы можете удалить подключение с помощью кнопки Удалить на странице "Подключение" портала Power Automate.

Приложение

Получение идентификатора группы компьютера или группы

Чтобы иметь возможность создать подключение, получите идентификатор группы, связанный с компьютером или группой компьютеров.

  • Если это группа, перейдите в раздел Отслеживание>Компьютеры>Группы компьютеров и выберите группу. Затем вы можете получить идентификатор группы по URL-адресу.
  • Если это компьютер, перейдите в раздел Данные>Таблицы>Все>Группа компьютеров потоков. Найдите свой компьютер в списке и отобразите столбец Группа компьютеров потоков. Это идентификатор группы, связанный с вашим компьютером.

Получение кодировки base64 сертификата субъекта-службы

Вы можете использовать PowerShell, чтобы получить кодировку base64 сертификата субъекта-службы:

$filePath = "C:\path\to\your\certificate.pfx"
$bytes = [System.IO.File]::ReadAllBytes($filePath)
$base64String = [System.Convert]::ToBase64String($bytes)
$base64String

Получение идентификатора учетных данных

Чтобы получить идентификатор учетных данных:

  1. Перейдите в раздел Данные>Таблицы>Все>Учетные данные.
  2. Найдите свои учетные данные в списке и отобразите столбец Учетные данные. Это идентификатор учетных данных, связанный с вашими учетными данными.

Получение имени переменной среды

Чтобы получить имя переменной среды:

  1. На странице Учетные данные выберите свои учетные данные и выберите кнопку Просмотр зависимостей
  2. Выберите Смотреть в решении.
  3. На странице решения выполните поиск переменных среды, используемых вашими учетными данными, и просмотрите столбец Имя. Значение столбца — это имя переменной среды.