Power Platform ratkaisuissa tietolähteiden tietoja luetaan ja muokataan yhteyksien (connection) avulla. Mutta tiesitkö, että organisaation A ympäristössä voi oletuksena käyttää jonkun toisen organisaation ympäristöön osoittavia yhteyksiä? Käytännössä AAD autentikoituja yhteyksiä Microsoftin omiin palveluihin kuten SharePoint, Outlook, Teams, Planer jne.

Tekijällä tulee toki olla käyttäjätunnus molemmissa organisaatioissa.

Puhutaan organisaatioiden välisistä (cross-tenant) yhteyksistä. Alla olevassa kuvassa nämä on esitetty katkoviivalla.

Katsotaan tätä hieman käytännössä.

Ympäristöstäni on yhteys muualle (outbound)

Luodaan painikkeella käynnistyvä flow, joka hakee SharePoint-listan rivit. Oletuksena se käyttää aiemmin luomaani yhteyttä (timo.pertila@pertilamvp.onmicrosoft.com). Luodaan tällä kertaa itse uusi yhteys (Add new connection).

Yhteyden luonti alkaa tunnistautumalla.

Ei kuitenkaan kirjauduta tämän organisaation tunnuksilla, vaan joillain muilla (use another account).

Lopputuloksena pääsemme lukemaan tietoja toisen organisaation SharePointista. Luonnollisesti tarvitsemme sinne käyttäjätunnuksen, sekä lukuoikeudet käyttämäämme SharePoint-listaan.

Yhteys toiseen ympäristöön näkyy aivan normaalisti omissa yhteyksissäni (connections). Power Platformissa käytettävät yhteydet sijaitsevat aina siinä ympäristössä (environment), jossa niitä käytetään.

Ympäristöstäni luetaan tietoja muualta (inbound)

Saman voi tehdä myös toiseen suuntaan. Luodaan toisen organisaation ympäristöön flow, joka lukee tietoja organisaationi SharePointista.

Villiä? Kyllä.

Joissain tilanteissa kätevää? Kyllä.

Lähtökohtaisesti tätä ei mielestäni ole tarpeen sallia.

Onko ympäristöstämme yhteyksiä muualle (tai toisinpäin)?

Ennen kuin estämme tällaiset yhteydet, olisi mukava ymmärtää onko niitä jo olemassa. Näkeekö sen jostain?

Power Platformin hallintatyökaluilla ei näe, onko jossain yhteys, joka osoittaa organisaatioomme. Nämä yhteydet (connection) kun eivät fyysisesti sijaitsee ympäristössämme.

Omien ympäristöjen epäilyttäviä yhteyksiä voi tutkia Power Platform Center of Excellence (CoE) Starter Kit:in avulla. Sieltä löytyy lista organisaatioiden välisistä yhteysviitteistä (Cross Tenant Connection References).

Siellä saattaa kuitenkin olla hirvittävä määrä rivejä. Onko joku ehtinyt luomaan organisaatioiden välisiä yhteyksiä jo näin paljon?

Ei välttämättä.

Vieraskäyttäjien yhteydet

Osa listan yhteyksistä on nimittäin normaaleja vieraskäyttäjien yhteyksiä. Mutta miten vieraskäyttäjillä on ympäristössäni mitään yhteyksiä? Eiväthän he voi luoda työnkulkuja tai Power Appseja.

Unohdimme, että loppukäyttäjille luodaan tarvittaessa aina omat yhteydet. Myös vieraskäyttäjille.

Esimerkiksi flow, joka käynnistyy SharePoint-listan riviltä ja hakee tietoja toisesta SharePoint-listalta. Luontivaiheessa yhteytenä on luonnollisesti minun yhteyteni.

Jaetaan tämä flow muutamalle vieraskäyttäjälle. Oletuksena käyttäjät käyttävät omaa yhteyttään (Provided by run-only user).

Kirjaudutaan SharePoint-sivustolle vieraskäyttäjänä (guest user).

Käynnistetään flow. Nyt vieraskäyttäjälle luodaan flow’n tarvitsemat yhteydet.

Flow’n suoritus näyttää tältä.

Nämä vieraskäyttäjille luodut yhteydet näyttävät CoE:ssa seuraavalta. Yhteyden luoja (Connection Reference Creator Display Name) on vieraskäyttäjä.

Ei huolta.

Toisin kuin rivit, joissa yhteyden luoja on organisaation oma käyttäjä, mutta tilin nimi (accoutName) viittaa jonnekin muualle. Ne ovat kiinnostavia. Todelliset löydöt on alla merkitty punaisella.

Miten tämän saa estettyä?

Power Platform:in hallintakeskuksessa on Tenant isolation -asetus. Se päälle, niin kaikki organisaatioiden väliset yhteydet lakkaavat toimimasta.

Muutos ei astu voimaan aivan heti. Pienen odottelun jälkeen yhteydet, jotka osoittavat toiseen organisaatioon palauttavat virheen.

Toisissa organisaatioissa sijaitsevat tähän organisaatioon osoittavat yhteydet lakkaavat myös toimimasta.

Uuden yhteyden luonti toisen organisaation tunnuksella ei myöskään enää onnistu.

Mikäli haluamme sallia yhteydet valittujen organisaatioiden kanssa, on tämä mahdollista.

Luodaan uusi sääntö (tenant rule) ja valitaan kumpaan suuntaan yhteyksien käyttö sallitaan (vaiko molempiin).

Lopuksi määritellään minkä organisaation kesken yhteyksiä saa käyttää.

Sääntöjä voi tehdä maksimissaan 50 kappaletta.

Tämä ei tietenkään takaa, että voimme tehdä yhteyksiä, jotka osoittavat säännön organisatioon. Vastapäässä tulee olla myös olla organisaatioiden väliset yhteydet organisaatiomme kanssa sallittu.

Huomaa myös, että asetus koskee ainoastaan Power Platformin sisällä tehtäviä organisaatioiden välisiä AAD-yhteyksiä.