通过

使用 Microsoft Entra ID 对您的 API 和连接器进行身份验证

使用 Azure 资源管理器,您可以管理 Azure 上的解决方案的组件,例如数据库、虚拟机和 Web 应用。 本教程演示如何在 Microsoft Entra ID 中启用身份验证,如何将资源管理器 API 之一注册为自定义连接器,以及如何在 Power Automate 中连接到它。 还可以为 Power Apps 或 Azure 逻辑应用创建自定义连接器,或为 Microsoft Copilot Studio 创建支持 AI 的自定义连接器。

您在本教程中执行的流程可用于访问使用 Microsoft Entra ID 进行身份验证的任何 RESTful API。

先决条件

在 Microsoft Entra ID 中启用身份验证

首先,创建一个 Microsoft Entra ID 应用程序,该应用程序在调用资源管理器 API 终结点时执行身份验证。

  1. 登录到 Azure 门户。 如果有多个 Microsoft Entra ID 租户,请验证右上角显示的用户名,以确保登录的是正确目录。

    Azure 门户中显示的用户名的屏幕截图。

  2. 在左侧窗格中,选择所有服务。 在筛选器框中,输入 Azure Active Directory,然后选择 Azure Active Directory

    服务列表中的 Azure Active Directory 的屏幕截图。

    Azure Active Directory 边栏选项卡将打开。

  3. Azure Active Directory 边栏选项卡的左侧窗格中,选择应用注册

  4. 在已注册的应用程序列表中,选择新应用程序注册

  5. 输入应用程序的名称,并将 应用程序类型 保留为 Web 应用/API

    新应用程序注册表单的屏幕截图。

  6. 复制应用程序 ID,您以后会需要它。

  7. “管理 ”边栏选项卡的左窗格中,选择 API 权限。 然后选择 “添加权限”。

    API 权限页的屏幕截图。

    此时会打开“请求 API 权限”面板。

  8. 委托的权限下,选择以组织用户身份访问 Azure 服务管理>选择

    委派权限选择的屏幕截图。

  9. “添加 API 访问 ”边栏选项卡上,选择“ 添加权限”。

  10. 返回“ 管理 ”边栏选项卡,选择 “证书和机密 ”,然后选择“ 新建客户端密码”,输入机密的说明,选择到期期限,然后选择“ 保存”。

  11. 将显示新机密。 复制机密值,因为稍后需要它,并且一旦离开此页面,无法检索它。

    客户端机密创建表单的屏幕截图。

Azure 门户中还有一个步骤要完成,但首先要创建自定义连接器。

创建自定义连接器

既然已配置了 Microsoft Entra ID 应用程序,即可创建自定义连接器。

  1. Power Automate Web 应用中,选择页面右上角的设置(齿轮图标),然后选择自定义连接器

  2. 选择创建自定义连接器>导入 OpenAPI 文件

  3. 为连接器输入名称,浏览到示例 OpenAPI 文件,然后选择继续

    连接器名称和文件位置字段的屏幕截图。

  4. 将打开常规页面。 保留默认值,然后选择安全性页面。

  5. 安全性页面上,输入应用程序的 Microsoft Entra ID 信息:

    • 客户端 ID 下,输入先前复制的 Microsoft Entra ID 应用程序 ID 值。

    • 对于客户端密码,使用前面复制的值。

    • 对于资源 URL,输入 https://management.core.windows.net/。 请务必包括资源 URL(如所写的那样),包括尾部的反斜杠。

    OAuth 设置配置的屏幕截图。

    输入安全信息后,选择位于页面顶部的流名称旁边的复选标记 () 创建自定义连接器。

  6. 安全性页上,重定向 URL 字段现在已填充。 复制此 URL,以便您可以在本教程的下一节中使用它。

  7. 自定义连接器现已显示在自定义连接器下面。

    可用 API 的屏幕截图。

  8. 既然已注册了自定义连接器,即可创建与该自定义连接器的连接,以便能够在应用和流中使用它。 选择自定义连接器名称右侧的加号 (+),然后完成登录屏幕上的操作。

备注

示例 OpenAPI 未定义全套的资源管理器操作;目前只包含列出所有订阅操作。 可以使用联机 OpenAPI 编辑器编辑此 OpenAPI 文件或创建另一个 OpenAPI 文件。

在 Azure 中设置回复 URL

选择 Azure Active Directory (Microsoft Entra ID),然后选择您的应用。 从左侧菜单中选择身份验证,然后选择添加 URI。 添加您从自定义连接器中的重定向 URI 字段中复制的值(例如 https://global.consent.azure-apim.net/redirect/samplecustomconnector123-5f98284236d845b802-5f21c6202f06d65e16),然后选择保存

将重定向 URI 值添加到自定义连接器的屏幕截图。

托管身份验证(预览版)

自定义连接器现在支持使用托管标识,而不是对 Entra 用户委托身份验证使用客户端密码。 这样,一旦客户端机密即将到期,就不必费心轮换客户端机密。 请注意,这是一项 预览功能 ,仍在推出。因此,自定义连接器 UX 中可能不会看到此选项。 此外,请务必注意,此功能需要客户端应用程序为 单个租户 应用程序。

  1. 在自定义连接器的“安全”选项卡上,选择“身份验证类型”作为 “OAuth 2.0 ”,然后选择“标识提供者”作为 Azure Active Directory ,然后选择“托管标识”单选按钮。 请注意,在这种情况下,租户 ID 必须是真正的租户 ID Guid。 使用 通用 将不起作用。

    托管标识身份验证选项的屏幕截图。

  2. 保存连接器后,可以从安全页底部或连接器详细信息页复制托管标识字符串。

    详细信息页的屏幕截图。

  3. 您需要将为自定义连接器创建的托管标识添加到您的客户端 Entra 应用。 在 “证书和机密 ”部分下,选择“ 联合凭据 ”选项卡。

    凭据列表的屏幕截图。

  4. 添加新凭据。

    如何添加凭据的屏幕截图。

    请复制粘贴从自定义连接器详细信息页面中的托管身份字段或编辑页面的安全选项卡中获取的颁发者和使用者标识符字符串

    主题和颁发者标识符字符串的屏幕截图。

  5. 将此托管标识添加到应用后,可以成功为连接器创建连接。 此外,这是一次设置,与重定向 URL 一样,如果更新连接器,托管标识详细信息不会更改。 此外,如果将连接器导出并导入到其他环境中,将为需要添加到相应 Entra 应用的连接器生成新的托管标识。

使用 Power Automate 中的自定义连接器

若要就自定义连接器进行提问或发表评论,请加入我们的社区

提供反馈

我们非常感谢大家提出有关连接器平台问题或新功能想法的反馈。 要提供反馈,请转到提交问题或获取连接器帮助,然后选择反馈类型。

  • Last updated on