Sdílet prostřednictvím

Ověřování přístupu k připojením k chráněným prostředkům Azure pomocí spravovaných identit v Azure Logic Apps

Platí pro: Azure Logic Apps (Consumption + Standard)

Pokud potřebujete ověřit přístup k připojením k prostředkům chráněným Microsoft Entra ID z pracovních postupů aplikace logiky, použijte spravovanou identitu , abyste se vyhnuli ukládání a správě přihlašovacích údajů, tajných kódů nebo tokenů Microsoft Entra. Azure tuto identitu spravuje a pomáhá zabezpečit ověřovací informace, takže tyto citlivé informace nemusíte spravovat.

V Azure Logic Apps podporují některé konektory ověřování spravovaných identit, když váš pracovní postup potřebuje přístup k prostředkům chráněným ID Microsoft Entra. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?

Azure Logic Apps podporuje následující typy spravovaných identit:

Tento průvodce ukazuje, jak provést následující úlohy:

  • Povolte a nastavte systémově přiřazenou identitu pro zdroj vaší aplikace logiky. Tato příručka obsahuje příklad, který ukazuje, jak používat identitu k ověřování.

  • Vytvořte a nastavte uživatelskou přiřazenou identitu Tento průvodce ukazuje, jak vytvořit tuto identitu pomocí webu Azure Portal nebo šablony Azure Resource Manageru (šablony ARM) a použití identity k ověřování.

    Informace o Azure PowerShellu, Azure CLI a rozhraní Azure REST API najdete tady:

    Nástroj Dokumentace
    Azure PowerShell Vytvořit identitu přiřazenou uživatelem
    Azure CLI Vytvořit identitu přiřazenou uživatelem
    Azure REST API Vytvořte uživatelsky přiřazenou identitu

Požadavky

  • Účet a předplatné Azure. Získejte bezplatný účet Azure.

    Spravovaná identita i cílový prostředek Azure, ke které potřebujete přístup, musí používat stejné předplatné Azure.

  • Cílový prostředek Azure, ke kterému chcete získat přístup.

    • U tohoto zdroje musíte přidat potřebnou roli ke spravované identitě, která funguje jménem vaší logické aplikace. Pokud chcete přidat roli ke spravované identitě, potřebujete oprávnění správce Microsoft Entra, která můžou přiřadit role identitám v odpovídajícím tenantovi Microsoft Entra.

  • Prostředek aplikace logiky a pracovní postup, ve kterém chcete použít operace, které podporují spravované identity.

Důležité informace o používání spravovaných identit

  • Prostředek aplikace logiky může mít a používat pouze jednu jedinečnou identitu přiřazenou systémem.

  • Prostředek aplikace logiky může mít více identit přiřazených uživatelem, ale současně používá jenom jednu identitu přiřazenou uživatelem.

  • Stejnou identitu přiřazenou uživatelem můžete použít napříč jinými prostředky aplikace logiky.

Rozdíly mezi spravovanou identitou mezi aplikacemi logiky Consumption a Standard

Na základě typu prostředku aplikace logiky můžete povolit identitu přiřazenou systémem, identitu přiřazenou uživatelem nebo obojí najednou:

Aplikace logiky Prostředí Podpora spravované identity
Spotřeba – Multitenantní Azure Logic Apps Můžete povolit identitu přiřazenou systémem nebo identitu přiřazenou uživatelem, ale ne obě současně.

– Spravovanou identitu můžete použít na úrovni prostředku logické aplikace a na úrovni připojení.

– Pokud vytvoříte a povolíte identitu přiřazenou uživatelem, aplikace logiky může mít najednou jenom jednu identitu přiřazenou uživatelem.
Standard – Azure Logic Apps pro jednoho nájemce

– App Service Environment v3 (ASEv3)		 – Můžete povolit identitu přiřazenou systémem, která je ve výchozím nastavení povolená, i identitu přiřazenou uživatelem současně. Do aplikace logiky můžete také přidat více identit přiřazených uživatelem. Aplikace logiky ale může současně používat jenom jednu spravovanou identitu.

– Spravovanou identitu můžete použít na úrovni prostředku Logické aplikace a na úrovni připojení.

Poznámka: V případě hybridního nasazení se ověřování spravovaných identit v současné době nepodporuje. Místo toho musíte vytvořit a použít registraci aplikace. Další informace najdete v tématu Vytvoření standardních pracovních postupů aplikace logiky pro hybridní nasazení ve vlastní infrastruktuře.

Informace o omezeních spravovaných identit v Azure Logic Apps najdete v tématu Omezení spravovaných identit pro aplikace logiky. Další informace o typech prostředků a prostředích aplikací logiky Consumption a Standard najdete v tématu Rozdíly mezi prostředími prostředků.

Kde můžete použít spravovanou identitu

V Azure Logic Apps můžou pro ověřování používat spravovanou identitu jenom konkrétní integrované a spravované operace konektoru, které podporují OAuth s ID Microsoft Entra. Následující tabulky poskytují pouze výběr vzorku. Podrobnější seznam najdete v následující dokumentaci:

V případě pracovního postupu aplikace logiky Consumption uvádí následující tabulka příklady konektorů, které podporují ověřování spravovaných identit:

Typ konektoru Podporované konektory
Integrovaný – Azure API Management
– Azure App Services
– Azure Functions
– HTTP
- HTTP + Webhook

Poznámka: Operace HTTP můžou ověřovat připojení k účtům Azure Storage za bránami Azure Firewall pomocí identity přiřazené systémem. Operace HTTP ale nepodporují identitu přiřazenou uživatelem pro ověřování stejných připojení.
Spravované – služba Aplikace Azure
– Azure Automation
– Azure Blob Storage
– Instance kontejneru Azure
– Azure Cosmos DB
– Azure Data Explorer
– Azure Data Factory
– Azure Data Lake
– Azure Digital Twins
– Azure Event Grid
– Azure Event Hubs
– Azure IoT Central V2
– Azure Key Vault
–Protokoly služby Azure Monitor
– Fronty Azure
– Azure Resource Manager
– Azure Service Bus
– Microsoft Sentinel
– Azure Table Storage
– Virtuální počítač Azure
– SQL Server

Povolení identity přidělené systémem v Azure portálu

U prostředku aplikace logiky Consumption musíte identitu přiřazenou systémem povolit ručně.

  1. V Azure Portal otevřete prostředek logické aplikace typu Consumption.

  2. V nabídce aplikace logiky v části Nastavení vyberte Identita.

  3. Na stránce Identita v části Systém přiřazený vyberte Zapnuto>Uložit. Když Vás Azure vyzve k potvrzení, vyberte Ano.

    Snímek obrazovky ukazuje portál Azure, logickou aplikaci Consumption, stránku Identita, a kartu Přiřazeno systémem s vybranými možnostmi Zapnuto a Uložit zvoleno

    Poznámka:

    Pokud se zobrazí chyba, že můžete mít jenom jednu spravovanou identitu, prostředek aplikace logiky je už přidružený k identitě přiřazené uživatelem. Než budete moct přidat identitu přiřazenou systémem, musíte nejprve odebrat identitu přiřazenou uživatelem z prostředku aplikace logiky.

    Prostředek aplikace logiky teď může používat identitu přiřazenou systémem. Tato identita je zaregistrovaná s ID Microsoft Entra a je reprezentována ID objektu.

    Snímek obrazovky zobrazuje aplikaci logiky Consumption, stránku Identity a ID objektu pro systémem přiřazenou identitu.

    Vlastnost Hodnota Popis
    ID objektu (hlavního subjektu) < identity-resource-ID> Globálně jedinečný identifikátor (GUID), který představuje identitu přiřazenou systémem pro vaši aplikaci logiky v tenantovi Microsoft Entra.

  4. Teď postupujte podle kroků, které poskytují identitě přiřazené systémem přístup k prostředku dál v této příručce.

Povolení identity přiřazené systémem v šabloně ARM

K automatizaci vytváření a nasazování prostředků aplikace logiky můžete použít šablonu ARM. Pokud chcete v šabloně povolit identitu přiřazenou systémem pro prostředek aplikace logiky, přidejte objekt identity a podřízenou vlastnost typu do definice prostředku aplikace logiky v šabloně, například:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Když Azure vytvoří definici prostředku aplikace logiky, objekt identity získá následující další vlastnosti:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}
Vlastnost (JSON) Hodnota Popis
principalId < principal-ID> Globálně jedinečný identifikátor (GUID) instančního objektu pro spravovanou identitu, která představuje vaši aplikaci logiky v tenantovi Microsoft Entra. Tento identifikátor GUID se někdy zobrazuje jako ID objektu nebo ID objektu.
tenantId < Microsoft-Entra-ID-tenant-ID> Globálně jedinečný identifikátor (GUID), který představuje tenanta Microsoft Entra, kde je aplikace logiky nyní členem. V tenantu Microsoft Entra má servisní hlavní objekt stejný název jako instance logické aplikace.

Vytvoření uživatelsky přiřazené identity v Azure Portal

Než povolíte identitu přiřazenou uživatelem u prostředku aplikace logiky Consumption nebo prostředku aplikace logiky Standard, musíte tuto identitu vytvořit jako samostatný prostředek Azure.

  1. Do vyhledávacího pole webu Azure Portal zadejte spravované identity. V seznamu výsledků vyberte Spravované identity.

    Snímek obrazovky s webem Azure Portal s vybranou možností s názvem Spravované identity

  2. Na panelu nástrojů stránky Spravované identity vyberte Vytvořit.

  3. Zadejte informace o spravované identitě a vyberte Zkontrolovat a vytvořit, například:

    Snímek obrazovky se stránkou Vytvořit spravovanou identitu přiřazenou uživatelem s podrobnostmi o spravované identitě

    Vlastnost Požaduje se Hodnota Popis
    Předplatné Ano < Název předplatného Azure> Název předplatného Azure
    Skupina prostředků Ano < Název skupiny prostředků Azure> Název skupiny prostředků Azure Vytvořte novou skupinu nebo vyberte existující skupinu. Tento příklad vytvoří novou skupinu s názvem fabrikam-managed-identities-RG.
    Oblast Ano < Azure region> Oblast Azure, kam se mají ukládat informace o vašem prostředku. V tomto příkladu se používá USA – západ.
    Název Ano < název identity přiřazené uživatelem> Název, který chcete přiřadit uživatelsky přiřazené identitě. V tomto příkladu se používá Fabrikam-user-assigned-identity.

    Jakmile Azure ověří informace, Azure vytvoří vaši spravovanou identitu. Teď můžete do prostředků Logic Apps přidat uživatelsky přiřazenou identitu.

Přidejte uživatelem přiřazenou identitu do Logic Apps v Azure Portal

  1. Na Azure portálu otevřete prostředek Consumption Logic App.

  2. V nabídce aplikace logiky v části Nastavení vyberte Identita.

  3. Na stránce Identita vyberte Přiřazený uživatel a pak vyberte Přidat.

    Snímek obrazovky znázorňující aplikaci logiky Consumption a stránku Identita s vybranou možností Přidat

  4. V podokně Přidat spravovanou identitu přiřazenou uživatelem postupujte takto:

    1. V seznamu Vybrat předplatné vyberte své předplatné Azure.

    2. V seznamu se všemi spravovanými identitami ve vašem předplatném vyberte požadovanou identitu přiřazenou uživatelem. Pokud chcete seznam filtrovat, zadejte do vyhledávacího pole pro spravované identity přiřazené uživatelem název identity nebo skupiny prostředků.

      Snímek obrazovky znázorňující aplikaci logiky Consumption a vybranou identitu přiřazenou uživatelem

    3. Až budete hotovi, vyberte Přidat.

      Poznámka:

      Pokud se zobrazí chyba, že můžete mít jenom jednu spravovanou identitu, je vaše aplikace logiky už přidružená k identitě přiřazené systémem. Než budete moct přidat identitu přiřazenou uživatelem, musíte nejprve zakázat identitu přiřazenou systémem.

    Vaše aplikace logiky je teď přidružená k identitě přiřazené uživatelem.

    Snímek obrazovky znázorňující aplikaci logiky Consumption s přidruženou identitou přiřazenou uživatelem

  5. Teď postupujte podle kroků, které poskytují identitě přístup k prostředku dál v této příručce.

Vytvoření identity přiřazené uživatelem v šabloně ARM

K automatizaci vytváření a nasazování prostředků aplikace logiky můžete použít šablonu ARM. Tyto šablony podporují identity přiřazené uživatelem pro ověřování.

V oddílu prostředků šablony vyžaduje definice prostředku vaší logické aplikace následující položky:

  • Objekt identity s vlastností typu nastavenou na UserAssigned

  • Podřízený objekt userAssignedIdentities , který určuje prostředek přiřazený uživatelem a název

Tento příklad ukazuje prostředek aplikace logiky Consumption a definici pracovního postupu pro požadavek HTTP PUT s neparametrizovaným objektem identity . Odpověď na požadavek PUT a následná operace GET obsahuje také tento objekt identity :

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Pokud vaše šablona obsahuje také definici prostředku spravované identity, můžete parametrizovat objekt identity . Následující příklad ukazuje, jak podřízený objekt userAssignedIdentities odkazuje na proměnnou userAssignedIdentityName, kterou definujete v oddílu proměnných šablony. Tato proměnná odkazuje na ID prostředku pro uživatelsky přiřazenou identitu.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters('Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Udělení identitního přístupu k prostředkům

Abyste mohli použít spravovanou identitu aplikace logiky k ověřování, musíte nastavit přístup pro identitu v cílovém prostředku Azure, ve kterém chcete identitu použít. Způsob nastavení přístupu se liší v závislosti na cílovém prostředku.

Poznámka:

Pokud má spravovaná identita přístup k prostředku Azure ve stejném předplatném, může identita přistupovat pouze k danému prostředku. V některých triggerech a akcích, které podporují spravované identity, ale musíte nejprve vybrat skupinu prostředků Azure, která obsahuje cílový prostředek. Pokud identita nemá přístup na úrovni skupiny prostředků, nejsou uvedené žádné prostředky v této skupině, i když mají přístup k cílovému prostředku.

Abyste toto chování zvládli, musíte udělit identitě přístup ke skupině prostředků, nejen k samotnému prostředku. Podobně platí, že pokud před výběrem cílového prostředku musíte vybrat své předplatné, musíte identitě udělit přístup k předplatnému.

V některých případech může být potřeba, abyste identitu použili k získání přístupu k přidruženému prostředku. Předpokládejme například, že máte spravovanou identitu pro aplikaci logiky, která potřebuje přístup k aktualizaci nastavení aplikace pro stejnou aplikaci logiky z pracovního postupu. Tuto identitu musíte poskytnout přístup k přidružené aplikaci Logic App.

Pokud například chcete použít spravovanou identitu pro ověřování přístupu k účtu služby Blob Storage nebo trezoru klíčů v Azure, musíte nastavit řízení přístupu na základě role (RBAC) Azure a přiřadit příslušnou roli pro tuto identitu k účtu úložiště nebo trezoru klíčů.

Kroky v této části popisují, jak přiřadit přístup na základě role pomocí webu Azure Portal a šablony Azure Resource Manageru (šablona ARM). Informace o Azure PowerShellu, Azure CLI a rozhraní Azure REST API najdete v následující dokumentaci:

Nástroj Dokumentace
Azure PowerShell Přidat přiřazení role
Azure CLI Přidat přiřazení role
Azure REST API Přidat přiřazení role

Pro Azure Key Vault máte také možnost vytvořit zásadu přístupu pro vaši spravovanou identitu v trezoru klíčů a přiřadit příslušná oprávnění pro tuto identitu v daném trezoru klíčů. Následující kroky v této části popisují, jak tuto úlohu dokončit pomocí webu Azure Portal. Šablony Resource Manageru, PowerShell a Azure CLI najdete v následující dokumentaci:

Nástroj Dokumentace
Šablona ARM (Azure Resource Manager) Definice prostředku zásad řízení přístupu ke Key Vault
Azure PowerShell Přiřazení zásad přístupu ke službě Key Vault
Azure CLI Přiřazení zásad přístupu ke službě Key Vault

Přiřazení přístupu na základě role ke spravované identitě pomocí webu Azure Portal

Pokud chcete použít spravovanou identitu pro ověřování, některé prostředky Azure, jako jsou účty úložiště Azure, vyžadují, abyste tuto identitu přiřadili roli, která má příslušná oprávnění k cílovému prostředku. Další prostředky Azure, jako jsou trezory klíčů, podporují více možností. Můžete zvolit přístup na základě role nebo zásadu přístupu, která má příslušná oprávnění k cílovému prostředku pro danou identitu.

  1. Na webu Azure Portal otevřete prostředek, ve kterém chcete identitu použít.

  2. V nabídce prostředků vyberte Řízení přístupu (IAM)>Přidat>Přidat přiřazení role.

    Poznámka:

    Pokud je možnost Přidat přiřazení role zakázaná, nemáte oprávnění k přiřazování rolí. Další informace najdete v tématu Předdefinované role Microsoft Entra.

  3. Přiřaďte spravované identitě potřebnou roli. Na kartě Role přiřaďte roli, která poskytne vaší identitě potřebný přístup k aktuálnímu prostředku.

    V tomto příkladu přiřaďte roli s názvem Přispěvatel dat úložiště objektů blob, která zahrnuje přístup k zápisu objektů blob v kontejneru Azure Storage. Další informace o konkrétních rolích kontejneru úložiště najdete v tématu Role, které mají přístup k objektům blob v kontejneru Azure Storage.

  4. Dále zvolte spravovanou identitu, ve které chcete roli přiřadit. V části Přiřadit přístup vyberte Spravovanou identitu>Přidat členy.

  5. Na základě typu spravované identity vyberte nebo zadejte následující hodnoty:

    Typ Instance služby Azure Předplatné Člen
    Přiřazené systémem Aplikace logiky < Název předplatného Azure> < název_vaší_aplikace_logiky>
    Přiřazené uživatelem Nelze použít < Název předplatného Azure> < your-user-assigned-identity-name>

    Další informace o přiřazování rolí najdete v tématu Přiřazení rolí pomocí webu Azure Portal.

Po dokončení můžete pomocí identity ověřit přístup k triggerům a akcím, které podporují spravované identity.

Další obecné informace o této úloze najdete v tématu Přiřazení přístupu spravované identity k prostředku Azure nebo jinému prostředku.

Vytvoření zásady přístupu pomocí webu Azure Portal

Pokud chcete použít spravovanou identitu pro ověřování, ostatní prostředky Azure také podporují nebo vyžadují, abyste vytvořili zásadu přístupu, která má příslušná oprávnění k cílovému prostředku pro danou identitu. Jiné prostředky Azure, jako jsou účty úložiště Azure, místo toho vyžadují, abyste tuto identitu přiřadili k roli, která má příslušná oprávnění k cílovému prostředku.

  1. Na webu Azure Portal otevřete cílový prostředek, ve kterém chcete identitu použít.

    V tomto příkladu se jako cílový prostředek Azure používá trezor klíčů.

  2. V nabídce prostředků vyberte Zásady>přístupu Vytvořit, čímž se otevře podokno Vytvořit zásadu přístupu.

    Poznámka:

    Pokud prostředek nemá možnost Zásady přístupu, zkuste místo toho přiřadit roli.

    Snímek obrazovky znázorňující příklad webu Azure Portal a trezoru klíčů s otevřeným podoknem s názvem Zásady přístupu

  3. Na kartě Oprávnění vyberte požadovaná oprávnění, která identita potřebuje pro přístup k cílovému prostředku.

    Pokud například chcete použít identitu s operací Výpis tajemství spravovaného konektoru služby Azure Key Vault, identita potřebuje oprávnění Zobrazit. Ve sloupci Tajná oprávnění vyberte Seznam.

    Snímek obrazovky zobrazuje kartu Oprávnění s vybranými oprávněními seznamu.

  4. Až budete připraveni, vyberte Další. Na kartě Hlavní vyhledejte a vyberte spravovanou identitu, což je uživatelsky přiřazená identita v tomto příkladu.

  5. Přeskočte volitelný krok Aplikace , vyberte Další a dokončete vytváření zásad přístupu.

V další části se dozvíte, jak použít spravovanou identitu s triggerem nebo akcí k ověření přístupu. Příklad pokračuje kroky z předchozí části, kde jako příklad nastavíte přístup pro spravovanou identitu pomocí RBAC a účtu úložiště Azure. Obecné kroky pro použití spravované identity pro ověřování jsou ale stejné.

Ověřování přístupu pomocí spravované identity

Po povolení spravované identity pro prostředek aplikace logiky a udělení této identitě přístupu k cílovému prostředku nebo službě Azure můžete tuto identitu použít v triggerech a akcích, které podporují spravované identity.

Důležité

Pokud máte funkci Azure, ve které chcete použít identitu přiřazenou systémem, nejprve povolte ověřování pro Azure Functions.

Následující kroky ukazují, jak používat spravovanou identitu s triggerem nebo akcí pomocí webu Azure Portal. Pokud chcete určit spravovanou identitu v podkladové definici JSON triggeru nebo akce, přečtěte si téma Ověřování spravované identity.

  1. V Azure Portal otevřete prostředek logické aplikace typu Consumption.

  2. Pokud jste to ještě neudělali, přidejte trigger nebo akci, která podporuje spravované identity.

    Poznámka:

    Ne všechny operace konektoru podporují přidání typu ověřování. Další informace najdete v tématu Typy ověřování pro triggery a akce, které podporují ověřování.

  3. Na přidaném triggeru nebo akci postupujte takto:

    • Integrované operace konektoru, které podporují ověřování spravovaných identit

      Tento postup pokračuje v použití akce HTTP jako příkladu.

      1. V seznamu Rozšířených parametrů přidejte vlastnost Ověřování, pokud se tato vlastnost ještě nezobrazuje.

        Snímek obrazovky znázorňující pracovní postup Consumption s integrovanou akcí a otevřeným seznamem s názvem Upřesnit parametry s vybranou možností Ověřování

        Nyní se v akci zobrazí vlastnost Ověřování i seznam Typ ověřování.

        Snímek obrazovky ukazuje část Rozšířených parametrů s přidanou vlastností Ověřování a seznamem typů ověřování.

      2. V seznamu Typ ověřování vyberte Spravovaná identita.

        Snímek obrazovky znázorňující pracovní postup Consumption s integrovanou akcí, otevřeným seznamem typů ověřování a vybranou možností pro spravovanou identitu

        V části Ověřování se teď zobrazují následující možnosti:

        • Seznam spravovaných identit, ze kterého můžete vybrat konkrétní spravovanou identitu

        • Vlastnost Cílová skupina se zobrazí u konkrétních triggerů a akcí, abyste mohli nastavit ID prostředku pro cílový prostředek nebo službu Azure. V opačném případě vlastnost Audience ve výchozím nastavení používá https://management.azure.com/ ID zdroje, což je ID prostředku pro Azure Resource Manager.

      3. V seznamu spravované identity vyberte identitu, kterou chcete použít, například:

        Snímek obrazovky znázorňující část Ověřování se seznamem typů ověřování a vlastnost 'Audience'.

        Poznámka:

        Výchozí vybranou možností je spravovaná identita přiřazená systémem, i když nemáte povolené žádné spravované identity.

        Pokud chcete úspěšně používat spravovanou identitu, musíte tuto identitu nejprve povolit ve vaší aplikaci logiky. V aplikaci logiky Consumption můžete mít spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem, ale ne obě.

      Další informace najdete v tématu Příklad: Ověření integrované aktivační události nebo akce pomocí spravované identity.

    • Operace spravovaného konektoru, které umožňují ověřování pomocí spravované identity

      1. V podokně Vytvořit připojení v seznamu Ověřování vyberte spravovanou identitu, například:

        Snímek obrazovky znázorňující pracovní postup Consumption s akcí Azure Resource Manageru a vybranou možností pro spravovanou identitu

      2. V dalším podokně pro název připojení zadejte název, který se má pro připojení použít.

      3. Jako typ ověřování zvolte jednu z následujících možností na základě spravovaného konektoru:

        • Jedno ověřování: Tyto konektory podporují pouze jeden typ ověřování, což je v tomto případě spravovaná identita.

          1. V seznamu Spravované identity vyberte aktuálně povolenou spravovanou identitu.

          2. Až budete připraveni, vyberte Vytvořit nový.

        • Více ověřování: Tyto konektory podporují více typů ověřování, ale můžete vybrat a používat vždy jenom jeden typ.

          Tento postup pokračuje v použití akce Azure Blob Storage jako příkladu.

          1. Ze seznamu Typ ověřování vyberte Logic Apps spravovanou identitu.

            Snímek obrazovky znázorňující pracovní postup Consumption, pole pro vytvoření připojení a vybranou možnost pro spravovanou identitu Logic Apps

          2. Až budete připraveni, vyberte Vytvořit nový.

        Další informace najdete v tématu Příklad: Ověření triggeru nebo akce spravovaného konektoru se spravovanou identitou.

Příklad: Ověření integrované aktivační události nebo akce pomocí spravované identity

Integrovaný trigger HTTP nebo akce může používat identitu přiřazenou systémem, kterou povolíte pro prostředek Logické aplikace. Obecně platí, že trigger nebo akce HTTP používá následující vlastnosti k určení prostředku nebo entity, ke které chcete získat přístup:

Vlastnost Požaduje se Popis
Metoda Ano Metoda HTTP, kterou používá operace, kterou chcete spustit
Identifikátor URI Ano Adresa URL koncového bodu pro přístup k cílovému prostředku nebo entitě Azure. Syntaxe URI obvykle zahrnuje ID pro cílový prostředek nebo službu Azure.
Záhlaví Ne Všechny hodnoty záhlaví, které potřebujete nebo chcete zahrnout do odchozího požadavku, například typ obsahu
Dotazy Ne Všechny parametry dotazu, které potřebujete nebo chcete zahrnout do požadavku. Například parametry dotazu pro konkrétní operaci nebo verzi rozhraní API operace, kterou chcete spustit.
Authentication Ano Typ ověřování, který se má použít k ověřování přístupu k cílovému prostředku nebo službě Azure

Jako konkrétní příklad předpokládejme, že chcete spustit operaci Snapshot Blob na objektu blob v účtu služby Azure Storage, kde jste dříve nastavili přístup pro vaši identitu. Konektor Azure Blob Storage ale v současné době tuto operaci nenabízí. Místo toho můžete tuto operaci spustit pomocí akce HTTP nebo jiné operace rozhraní REST API služby Blob Service.

Důležité

Pokud chcete získat přístup k účtům úložiště Azure za branami firewall pomocí konektoru Azure Blob Storage a spravovaných identit, ujistěte se, že jste také nastavili účet úložiště s výjimkou, která umožňuje přístup důvěryhodnými služby Microsoft.

Pokud chcete spustit operaci Snapshot Blob, akce HTTP určuje následující vlastnosti:

Vlastnost Požaduje se Příklad hodnoty Popis
Identifikátor URI Ano https://<storage-account-name>/<folder-name>/{name} ID prostředku pro soubor Azure Blob Storage v globálním (veřejném) prostředí Azure, které používá tuto syntaxi
Metoda Ano PUT Metoda HTTP, kterou používá operace Snapshot Blob
Záhlaví Pro úložiště Azure x-ms-blob-type = BlockBlob

x-ms-version = 2024-05-05

x-ms-date = formatDateTime(utcNow(),'r')		 Hodnoty hlaviček x-ms-blob-type, x-ms-version a x-ms-date jsou vyžadovány pro operace Azure Storage.

Důležité: V odchozích triggerech HTTP a požadavcích na akce pro Azure Storage vyžaduje hlavička x-ms-version vlastnost a verzi rozhraní API pro operaci, kterou chcete spustit. Musí x-ms-date to být aktuální datum. Jinak pracovní postup selže s chybou 403 FORBIDDEN . Pokud chcete získat aktuální datum v požadovaném formátu, můžete použít výraz v ukázkové hodnotě.

Další informace najdete v následující dokumentaci:

- Hlavičky požadavku – Blob snímku
- Správa verzí pro služby Azure Storage
Dotazy Pouze pro operaci Vytvoření snímku objektu blob comp = snapshot Název a hodnota parametru dotazu pro operaci.

  1. V návrháři pracovního postupu přidejte libovolnou požadovanou aktivační událost a pak přidejte akci HTTP .

    Následující příklad ukazuje ukázkovou akci HTTP se všemi dříve popsanými hodnotami vlastností, které se mají použít pro operaci Snapshot Blob:

    Snímek obrazovky ukazuje Azure portal, pracovní postup Consumption a nastavení akce HTTP umožňující přístup k prostředkům.

  2. V akci HTTP přidejte vlastnost Ověřování. V seznamu Upřesnit parametry vyberte Ověřování.

    Snímek obrazovky znázorňující pracovní postup Consumption s akcí HTTP a otevřením seznamu Rozšířených parametrů s vybranou vlastností s názvem Ověřování

    Oddíl Ověřování se teď zobrazí v akci HTTP .

    Poznámka:

    Ne všechny triggery a akce podporují přidání typu ověřování. Další informace najdete v tématu Typy ověřování pro triggery a akce, které podporují ověřování.

  3. V seznamu Typ ověřování vyberte Spravovaná identita.

    Snímek obrazovky znázorňující pracovní postup Consumption, akci HTTP a vlastnost Typ ověřování s vybranou možností pro spravovanou identitu

  4. V seznamu Spravované identity vyberte z dostupných možností podle vašeho scénáře.

    • Pokud nastavíte identitu přiřazenou systémem, vyberte spravovanou identitu přiřazenou systémem.

      Snímek obrazovky znázorňující pracovní postup Consumption, akci HTTP a vlastnost Spravované identity s vybranou možností pro spravovanou identitu přiřazenou systémem

    • Pokud nastavíte identitu přiřazenou uživatelem, vyberte tuto identitu.

      Snímek obrazovky znázorňující pracovní postup Consumption, akci HTTP a vlastnost Spravované identity s vybranou identitou přiřazenou uživatelem

    Tento příklad pokračuje se spravovanou identitou přiřazenou systémem.

  5. U některých triggerů a akcí se zobrazí vlastnost Cílová skupina, abyste mohli nastavit ID prostředku pro cílový prostředek nebo službu Azure.

    Pokud chcete například ověřit přístup k prostředku služby Key Vault v globálním cloudu Azure, musíte vlastnost Cílové skupiny nastavit na přesně následující ID prostředku:https://vault.azure.net

    Pokud vlastnost Cílová skupina nenastavíte, výchozím způsobem vlastnost Cílová skupina používá https://management.azure.com/ ID prostředku, což je ID prostředku pro Azure Resource Manager.

    Důležité

    Ujistěte se, že cílové ID prostředku přesně odpovídá hodnotě, kterou očekává Microsoft Entra ID. V opačném případě by se mohla zobrazit buď chyba 400 Bad Request, nebo chyba 401 Unauthorized. Pokud tedy ID prostředku obsahuje koncové lomítka, nezapomeňte je zahrnout. Jinak je nezahrnujte.

    Například ID prostředku pro všechny účty Azure Blob Storage vyžaduje ukončovací lomítko. Avšak ID prostředku pro konkrétní účet úložiště nevyžaduje koncové lomítko. Zkontrolujte ID prostředků pro služby Azure, které podporují Microsoft Entra ID.

    Tento příklad nastaví vlastnost Audience tak https://storage.azure.com/ , aby přístupové tokeny použité k ověřování byly platné pro všechny účty úložiště. Můžete však také zadat adresu URL kořenové služby pro https://<your-storage-account>.blob.core.windows.netkonkrétní účet úložiště.

    Snímek obrazovky znázorňuje pracovní postup Consumption a HTTP akci s vlastností Audience nastavenou na ID cílového zdroje.

    Další informace o autorizaci přístupu pomocí MICROSOFT Entra ID pro Azure Storage najdete v následující dokumentaci:

  6. Pokračujte v vytváření pracovního postupu požadovaným způsobem.

Příklad: Ověření spouštěče spravovaného konektoru nebo akce se spravovanou identitou

Spravovaný konektor Azure Resource Manageru má akci s názvem Číst prostředek, který může používat spravovanou identitu, kterou povolíte pro prostředek aplikace logiky. Tento příklad ukazuje, jak používat spravovanou identitu přiřazenou systémem se spravovaným konektorem.

  1. V návrháři pracovního postupu přidejte akci Azure Resource Manager s názvem Číst prostředek.

  2. V podokně Vytvořit připojení v seznamu Ověřování vyberte Spravovaná identita a pak vyberte Přihlásit se.

    Poznámka:

    V jiných konektorech se v seznamu Typ ověřování místo toho zobrazuje Spravovaná Identita Logic Apps, takže vyberte tuto možnost.

    Snímek obrazovky znázorňující pracovní postup Consumption, akci Azure Resource Manageru, otevřený seznam ověřování a vybranou možnost pro spravovanou identitu

  3. Zadejte název připojení a vyberte spravovanou identitu, kterou chcete použít.

    Pokud jste povolili identitu přiřazenou systémem, seznam spravovaných identit automaticky vybere spravovanou identitu přiřazenou systémem. Pokud jste místo toho povolili identitu přiřazenou uživatelem, seznam automaticky vybere identitu přiřazenou uživatelem.

    V tomto příkladu je systémem přiřazená spravovaná identita jedinou dostupnou volbou.

    Snímek obrazovky znázorňující pracovní postup Consumption a akci Azure Resource Manageru se zadaným názvem připojení a vybranou možností pro spravovanou identitu přiřazenou systémem

    Poznámka:

    Pokud spravovaná identita není povolená při pokusu o vytvoření nebo změnu připojení nebo pokud byla spravovaná identita odebrána, pokud spravované připojení s povolenou identitou stále existuje, zobrazí se chybová zpráva, že musíte identitu povolit a udělit přístup k cílovému prostředku.

  4. Až budete připraveni, vyberte Vytvořit nový.

  5. Jakmile návrhář úspěšně vytvoří připojení, může návrhář načíst všechny dynamické hodnoty, obsah nebo schéma pomocí ověřování spravované identity.

  6. Pokračujte v vytváření pracovního postupu požadovaným způsobem.

Definice zdroje Logic App a připojení, která používají spravovanou identitu

Připojení, které umožňuje a používá spravovanou identitu, je speciální typ připojení, který funguje jenom se spravovanou identitou. Připojení za běhu používá spravovanou identitu, která je povolená na prostředku Logic App. Azure Logic Apps zkontroluje, jestli jsou v pracovním postupu nastavené nějaké operace spravovaného konektoru tak, aby používaly spravovanou identitu a jestli existují všechna požadovaná oprávnění pro přístup k cílovým prostředkům určeným operacemi konektoru. Pokud je tato kontrola úspěšná, Azure Logic Apps načte token Microsoft Entra přidružený ke spravované identitě, použije tuto identitu k ověření přístupu k cílovému prostředku Azure a provede nakonfigurované operace v pracovním postupu.

V prostředku aplikace logiky Consumption je konfigurace připojení uložená v objektu definice parameters prostředku, který obsahuje $connections odkazy na ID prostředku připojení a ID prostředku spravované identity, pokud je povolena identita přiřazená uživatelem.

Tento příklad ukazuje konfiguraci objektuparameters, když aplikace logiky povolí identitu přiřazenou systémem:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Tento příklad ukazuje konfiguraci objektuparameters, když aplikace logiky povolí spravovanou identitu přiřazenou uživatelem:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Šablona ARM pro připojení rozhraní API a spravované identity

Pokud k automatizaci nasazení použijete šablonu ARM a váš pracovní postup zahrnuje připojení rozhraní API vytvořené spravovaným konektorem, který používá spravovanou identitu, máte k dispozici další krok.

V šabloně ARM se základní definice prostředku konektoru liší podle toho, jestli máte prostředek logické aplikace typu Consumption nebo Standard a jestli konektor zobrazuje možnosti buď pro jednoduché, nebo vícečetné ověřování.

Následující příklady platí pro prostředky Logic Apps v rámci režimu Consumption a ukazují, jak se definice základního zdroje konektoru liší mezi konektorem s jednofaktorovým ověřováním a konektorem s vícefaktorovým ověřováním.

Jedno ověřování

Tento příklad ukazuje definici prostředku základního připojení pro akci konektoru, která podporuje pouze jeden typ ověřování a používá spravovanou identitu v pracovním postupu aplikace logiky Consumption, kde definice obsahuje následující atributy:

  • Vlastnost kind je nastavena na aplikaci typu Consumption logic.

  • Vlastnost parameterValueType je nastavena na hodnotu Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Vícefaktorová autentizace

Tento příklad ukazuje definici základního prostředku připojení pro akci konektoru, která podporuje více typů ověřování a používá spravovanou identitu v pracovním postupu aplikace logiky Consumption, kde definice obsahuje následující atributy:

  • Vlastnost kind je nastavena na V1 pro logickou aplikaci Consumption.

  • Objekt parameterValueSet obsahuje vlastnost name, která je nastavena na managedIdentityAuth, a vlastnost values, která je nastavena na prázdný objekt.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Nastavení pokročilé kontroly nad ověřováním připojení rozhraní API

Když pracovní postup standardní logické aplikace používá připojení rozhraní API, které je vytvořeno spravovaným konektorem, služba Azure Logic Apps se spojí s cílovým prostředkem, jako je váš e-mailový účet, úložiště klíčů a podobně, pomocí dvou připojení.

Koncepční diagram znázorňuje první připojení s ověřováním mezi aplikací logiky a úložištěm tokenů a druhým připojením mezi úložištěm tokenů a cílovým prostředkem.

  • Připojení č. 1 je nastavené s ověřováním pro interní úložiště tokenů.

  • Připojení č. 2 je konfigurováno s autentizací pro cílový zdroj.

Pokud ale pracovní postup aplikace logiky Consumption používá připojení rozhraní API, připojení č. 1 se od vás abstrahuje bez jakýchkoli možností konfigurace. S prostředkem aplikace logiky Standard máte větší kontrolu nad aplikací logiky a pracovními postupy. Ve výchozím nastavení je připojení č. 1 automaticky nastaveno tak, aby používalo identitu přiřazenou systémem.

Pokud váš scénář vyžaduje důkladnou kontrolu nad ověřováním připojení rozhraní API, můžete volitelně změnit ověřování pro připojení č. 1 z výchozí identity přiřazené systémem na libovolnou identitu přiřazenou uživatelem, kterou jste přidali do aplikace logiky. Toto ověřování platí pro každé připojení rozhraní API, takže můžete kombinovat identity přiřazené systémem a uživatelem napříč různými připojeními ke stejnému cílovému prostředku.

V souboru aplikace standardní logiky connections.json, který uchovává informace o každém API připojení, má každá definice připojení dvě authentication části, například:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • První authentication sekce se mapuje na připojení č. 1.

    Tato část popisuje ověřování používané pro komunikaci s interním úložištěm tokenů. V minulosti byla tato část vždy nastavená na ManagedServiceIdentity aplikaci, která se nasazuje do Azure, a neměla žádné konfigurovatelné možnosti.

  • Druhá authentication sekce se mapuje na připojení číslo 2.

    Tato část popisuje ověřování používané pro komunikaci s cílovým prostředkem se může lišit v závislosti na typu ověřování, který pro toto připojení vyberete.

Proč změnit ověřování úložiště tokenů?

V některých scénářích můžete chtít sdílet a používat stejné připojení rozhraní API napříč několika prostředky aplikace logiky, ale nepřidávejte identitu přiřazenou systémem pro každý prostředek aplikace logiky do zásad přístupu cílového prostředku.

V jiných scénářích možná nebudete chtít mít identitu přiřazenou systémem nastavenou v aplikaci logiky úplně, takže můžete změnit ověřování na identitu přiřazenou uživatelem a úplně zakázat identitu přiřazenou systémem.

Změna ověřování úložiště tokenů

  1. Na portálu Azure otevřete prostředek standardní logické aplikace.

  2. V nabídce prostředků v části Pracovní postupy vyberte Připojení.

  3. Na podokně Připojení vyberte JSON View.

    Snímek obrazovky znázorňující Azure Portal, prostředek logické aplikace Standard, podokno Připojení se zvoleným zobrazením JSON.

  4. V editoru JSON vyhledejte část managedApiConnections, která obsahuje připojení API napříč všemi pracovními postupy ve vašem prostředku aplikace logiky.

  5. Vyhledejte připojení, ke kterému chcete přidat spravovanou identitu přiřazenou uživatelem.

    Předpokládejme například, že váš pracovní postup má připojení ke službě Azure Key Vault:

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. V definici připojení proveďte následující kroky:

    1. Najděte první authentication oddíl. Pokud v této identity části neexistuje žádná authentication vlastnost, aplikace logiky implicitně používá identitu přiřazenou systémem.

    2. identity Přidejte vlastnost pomocí příkladu v tomto kroku.

    3. Nastavte hodnotu vlastnosti na ID prostředku pro identitu přiřazenou uživatelem.

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Na webu Azure Portal přejděte k cílovému prostředku a na základě potřeb cílového prostředku udělte přístup ke spravované identitě přiřazené uživatelem.

    Například pro Azure Key Vault přidejte identitu do zásad přístupu trezoru klíčů. Pro Azure Blob Storage přiřaďte k účtu úložiště potřebnou roli pro identitu.

Deaktivovat spravovanou identitu

Pokud chcete přestat používat spravovanou identitu pro ověřování, nejprve odeberte přístup identity k cílovému prostředku. Dále v prostředku aplikace logiky vypněte identitu přiřazenou systémem nebo odeberte identitu přiřazenou uživatelem.

Když ve svém prostředku aplikace logiky zakážete spravovanou identitu, odeberete pro tuto identitu možnost požádat o přístup k prostředkům Azure, ke kterým měla identita přístup.

Poznámka:

Pokud zakážete identitu přiřazenou systémem, nebudou za běhu fungovat všechna připojení používaná pracovními postupy aplikace logiky, a to ani v případě, že identitu okamžitě povolíte znovu. K tomuto chování dochází, protože zakázání identity odstraní ID objektu. Pokaždé, když identitu povolíte, Azure vygeneruje identitu s jiným a jedinečným ID objektu. Chcete-li tento problém vyřešit, musíte znovu vytvořit připojení, aby používaly aktuální ID objektu pro aktuální identitu přiřazenou systémem.

Snažte se vyhnout zakázání identity přiřazené systémem co nejvíce. Pokud chcete odebrat přístup identity k prostředkům Azure, odeberte přiřazení role identity z cílového prostředku. Pokud odstraníte prostředek Logic App, Azure automaticky odebere spravovanou identitu z Microsoft Entra ID.

Postup v této části popisuje použití webu Azure Portal a šablony Azure Resource Manageru (šablona ARM). Informace o Azure PowerShellu, Azure CLI a rozhraní Azure REST API najdete v následující dokumentaci:

Nástroj Dokumentace
Azure PowerShell 1. Odeberte přiřazení role.
2. Odstraňte identitu přiřazenou uživatelem.
Azure CLI 1. Odeberte přiřazení role.
2. Odstraňte identitu přiřazenou uživatelem.
Azure REST API 1. Odeberte přiřazení role.
2. Odstraňte identitu přiřazenou uživatelem.

Další informace najdete v tématu věnovaném odebrání přiřazení rolí v Azure.

Zakázání spravované identity na webu Azure Portal

Pokud chcete odebrat přístup ke spravované identitě, odeberte přiřazení role identity z cílového prostředku a potom spravovanou identitu zakažte.

Odstranit přiřazení rolí

Následující postup odebere přístup k cílovému prostředku ze spravované identity:

  1. Na webu Azure Portal přejděte do cílového prostředku Azure, ve kterém chcete odebrat přístup ke spravované identitě.

  2. V nabídce cílového prostředku vyberte Řízení přístupu (IAM). Pod panelem nástrojů vyberte Přiřazení rolí.

  3. V seznamu rolí vyberte spravované identity, které chcete odebrat. Na panelu nástrojů vyberte Odebrat.

    Tip

    Pokud je možnost Odebrat zakázaná, pravděpodobně nemáte oprávnění. Další podrobnosti o oprávněních, která vám umožňují spravovat role pro prostředky, naleznete v části Oprávnění role správce v Microsoft Entra ID.

Zakázání spravované identity u prostředku aplikace logiky

  1. Na portálu Azure otevřete prostředek logické aplikace.

  2. V nabídce prostředků aplikace logiky v části Nastavení vyberte Identita a pak postupujte podle pokynů pro vaši identitu:

    • Vyberte Systémem přiřazený>Vypnuto>Uložit. Když Vás Azure vyzve k potvrzení, vyberte Ano.

    • Vyberte Přiřazený uživatel a spravovanou identitu a pak vyberte Odebrat. Když Vás Azure vyzve k potvrzení, vyberte Ano.

Zakázání spravované identity v šabloně ARM

Pokud jste vytvořili spravovanou identitu aplikace logiky pomocí šablony ARM, nastavte podřízenou vlastnost objektu identitytype na None.

"identity": {
   "type": "None"
}

Související obsah

  • Last updated on