Přidání ověřování při volání vlastních rozhraní API z Azure Logic Apps
Pokud chcete zlepšit zabezpečení volání vašich rozhraní API, můžete nastavit ověřování Microsoft Entra prostřednictvím webu Azure Portal, abyste nemuseli aktualizovat kód. Nebo můžete vyžádat a vynutit ověřování prostřednictvím kódu API.
Ověřování můžete přidat následujícími způsoby:
Žádné změny kódu: Chraňte své rozhraní API pomocí ID Microsoft Entra prostřednictvím webu Azure Portal, takže nemusíte aktualizovat kód ani znovu nasadit rozhraní API.
Poznámka:
Ve výchozím nastavení ověřování Microsoft Entra, které vyberete na webu Azure Portal, neposkytuje jemně odstupňovanou autorizaci. Toto ověřování například uzamkne vaše rozhraní API jenom na konkrétního tenanta, ne na konkrétního uživatele nebo aplikaci.
Aktualizujte kód rozhraní API: Chraňte své rozhraní API vynucením ověřování certifikátu, základního ověřování nebo ověřování Microsoft Entra prostřednictvím kódu.
Ověřování volání do rozhraní API beze změny kódu
Tady jsou obecné kroky pro tuto metodu:
Vytvořte dvě identity aplikací Microsoft Entra: jednu pro prostředek aplikace logiky a jednu pro vaši webovou aplikaci (nebo aplikaci API).
K ověření volání rozhraní API použijte přihlašovací údaje (ID klienta a tajný klíč) pro instanční objekt přidružený k identitě aplikace Microsoft Entra pro vaši aplikaci logiky.
Do definice pracovního postupu aplikace logiky zahrňte ID aplikací.
Část 1: Vytvoření identity aplikace Microsoft Entra pro aplikaci logiky
Prostředek vaší aplikace logiky používá tuto identitu aplikace Microsoft Entra k ověření vůči ID Microsoft Entra. Tuto identitu musíte pro svůj adresář nastavit jenom jednou. Můžete například použít stejnou identitu pro všechny aplikace logiky, i když pro každou aplikaci logiky můžete vytvořit jedinečné identity. Tyto identity můžete nastavit na webu Azure Portal nebo použít PowerShell.
Na webu Azure Portal vyberte ID Microsoft Entra.
Ověřte, že jste ve stejném adresáři jako webová aplikace nebo aplikace API.
Tip
Pokud chcete přepnout adresáře, zvolte svůj profil a vyberte jiný adresář. Nebo vyberte adresář Přehled>přepínače.
V nabídce adresáře v části Spravovat vyberte Registrace aplikací> Nová registrace.
V seznamu Všechny registrace se zobrazí všechny registrace aplikací ve vašem adresáři. Pokud chcete zobrazit jenom registrace aplikací, vyberte Vlastněné aplikace.
Zadejte uživatelsky orientovaný název pro identitu aplikace logiky. Vyberte podporované typy účtů. U identifikátoru URI pro přesměrování vyberte web, zadejte jedinečnou adresu URL, kde se má vrátit odpověď na ověření, a vyberte Zaregistrovat.
Seznam vlastněných aplikací teď obsahuje vytvořenou identitu aplikace. Pokud se tato identita nezobrazí, vyberte na panelu nástrojů možnost Aktualizovat.
V seznamu registrací aplikací vyberte novou identitu aplikace.
V navigační nabídce identit aplikace vyberte Přehled.
V podokně Přehled zkopírujte a uložte ID aplikace, které se použije jako ID klienta pro vaši aplikaci logiky v části 3.
V navigační nabídce identit aplikace vyberte Certifikáty a tajné kódy.
Na kartě Tajné kódy klienta vyberte Nový tajný klíč klienta.
Jako popis zadejte název tajného kódu. V části Konec platnosti vyberte dobu trvání tajného klíče. Až budete hotovi, vyberte Přidat.
Tajný klíč, který vytvoříte, funguje jako "tajný kód" nebo heslo identity aplikace logiky.
V podokně Certifikáty a tajné kódy se teď v části Tajné kódy klienta zobrazí společně s hodnotou tajného kódu a ID tajného kódu.
Zkopírujte hodnotu tajného kódu pro pozdější použití. Při konfiguraci aplikace logiky v části 3 zadáte tuto hodnotu jako "tajný kód" nebo heslo.
Část 2: Vytvoření identity aplikace Microsoft Entra pro webovou aplikaci nebo aplikaci API
Pokud už je vaše webová aplikace nebo aplikace API nasazená, můžete zapnout ověřování a vytvořit identitu aplikace na webu Azure Portal. Jinak můžete zapnout ověřování při nasazování pomocí šablony Azure Resource Manageru.
Vytvoření identity aplikace pro nasazenou webovou aplikaci nebo aplikaci API na webu Azure Portal
Na webu Azure Portal vyhledejte a vyberte webovou aplikaci nebo aplikaci API.
V části Nastavení vyberte zprostředkovatele identity Přidat ověřování>.
Po otevření podokna Přidat zprostředkovatele identity na kartě Základy v seznamu zprostředkovatele identity vyberte Microsoft, aby používal identity Microsoft Entra, a pak vyberte Přidat.
Teď vytvořte identitu aplikace pro webovou aplikaci nebo aplikaci API následujícím způsobem:
Jako typ registrace aplikace vyberte Vytvořit novou registraci aplikace.
Jako Název zadejte název vaší identity aplikace.
U podporovaných typů účtů vyberte typy účtů vhodné pro váš scénář.
Chcete-li omezit přístup, vyberte Vyžadovat ověření.
V případě neověřených požadavků vyberte možnost na základě vašeho scénáře.
Až budete hotovi, vyberte Přidat.
Identita aplikace, kterou jste právě vytvořili pro webovou aplikaci nebo aplikaci API, se teď zobrazí v části Zprostředkovatel identity:
Tip
Pokud se identita aplikace nezobrazí, vyberte na panelu nástrojů možnost Aktualizovat.
Teď musíte najít ID aplikace (klienta) a ID tenanta pro identitu aplikace, kterou jste právě vytvořili pro webovou aplikaci nebo aplikaci API. Tyto ID použijete v části 3. Pokračujte v následujících krocích pro Azure Portal.
Vyhledání ID klienta a ID tenanta identity aplikace pro webovou aplikaci nebo aplikaci API na webu Azure Portal
V navigační nabídce webové aplikace vyberte Ověřování.
V části Zprostředkovatel identity vyhledejte identitu aplikace, kterou jste vytvořili dříve. Vyberte název vaší identity aplikace.
Po otevření podokna Přehled identity aplikace vyhledejte hodnoty ID aplikace (klienta) a ID adresáře (tenanta). Zkopírujte a uložte hodnoty pro použití v části 3.
V případě potřeby můžete také použít identifikátor GUID ID tenanta ve webové aplikaci nebo šabloně nasazení aplikace API. Tento identifikátor GUID je GUID vašeho konkrétního tenanta ("ID tenanta") a měl by se zobrazit v této adrese URL:
https://sts.windows.net/{GUID}
Nastavení ověřování při nasazení pomocí šablony Azure Resource Manageru
Pokud používáte šablonu Azure Resource Manageru (šablonu ARM), musíte pro svou webovou aplikaci nebo aplikaci API vytvořit identitu aplikace Microsoft Entra, která se liší od identity aplikace logiky. Pokud chcete vytvořit identitu aplikace a pak najít ID klienta a ID tenanta, postupujte podle předchozích kroků v části 2 pro Azure Portal. V šabloně nasazení aplikace a také pro část 3 použijete ID klienta i ID tenanta.
Důležité
Když pro webovou aplikaci nebo aplikaci API vytvoříte identitu aplikace Microsoft Entra, musíte použít Azure Portal, nikoli PowerShell. Rutina PowerShellu nenastavuje požadovaná oprávnění pro přihlášení uživatelů k webu.
Po získání ID klienta a ID tenanta zahrňte tato ID jako podsourc vaší webové aplikace nebo aplikace API do šablony nasazení:
"resources": [
{
"apiVersion": "2015-08-01",
"name": "web",
"type": "config",
"dependsOn": ["[concat('Microsoft.Web/sites/','parameters('webAppName'))]"],
"properties": {
"siteAuthEnabled": true,
"siteAuthSettings": {
"clientId": "<client-ID>",
"issuer": "https://sts.windows.net/<tenant-ID>/"
}
}
}
]
Pokud chcete automaticky nasadit prázdnou webovou aplikaci a aplikaci logiky společně s ověřováním Microsoft Entra, zobrazte úplnou šablonu tady nebo vyberte následující tlačítko Nasadit do Azure :
Část 3: Naplnění části Autorizace v aplikaci logiky
Předchozí šablona už má tuto autorizační část nastavenou, ale pokud přímo vytváříte definici aplikace logiky, musíte zahrnout celý oddíl autorizace.
Otevřete definici aplikace logiky v zobrazení kódu.
Přejděte k definici akce HTTP , vyhledejte oddíl Autorizace a uveďte následující vlastnosti:
{
"tenant": "<tenant-ID>",
"audience": "<client-ID-from-Part-2-web-app-or-API app>",
"clientId": "<client-ID-from-Part-1-logic-app>",
"secret": "<secret-from-Part-1-logic-app>",
"type": "ActiveDirectoryOAuth"
}
| Vlastnost | Požadováno | Popis |
|---|---|---|
tenant |
Ano | Identifikátor GUID pro tenanta Microsoft Entra |
audience |
Ano | Identifikátor GUID cílového prostředku, ke kterému chcete získat přístup, což je ID klienta z identity aplikace pro vaši webovou aplikaci nebo aplikaci API. |
clientId |
Ano | IDENTIFIKÁTOR GUID pro klienta požadující přístup, což je ID klienta z identity aplikace pro vaši aplikaci logiky. |
secret |
Ano | Tajný klíč nebo heslo z identity aplikace pro klienta, který požaduje přístupový token |
type |
Ano | Typ ověřování. Pro ověřování ActiveDirectoryOAuth je ActiveDirectoryOAuthhodnota . |
Příklad:
{
"actions": {
"HTTP": {
"inputs": {
"method": "POST",
"uri": "https://your-api-azurewebsites.net/api/your-method",
"authentication": {
"tenant": "tenant-ID",
"audience": "client-ID-from-azure-ad-app-for-web-app-or-api-app",
"clientId": "client-ID-from-azure-ad-app-for-logic-app",
"secret": "key-from-azure-ad-app-for-logic-app",
"type": "ActiveDirectoryOAuth"
}
}
}
}
}
Zabezpečená volání rozhraní API prostřednictvím kódu
Ověření certifikátu
Pokud chcete ověřit příchozí požadavky z pracovního postupu aplikace logiky do webové aplikace nebo aplikace API, můžete použít klientské certifikáty. Pokud chcete nastavit kód, zjistěte , jak nakonfigurovat vzájemné ověřování TLS.
V části Autorizace uveďte následující vlastnosti:
{
"type": "ClientCertificate",
"password": "<password>",
"pfx": "<long-pfx-key>"
}
| Vlastnost | Požadováno | Popis |
|---|---|---|
type |
Ano | Typ ověřování. V případě klientských certifikátů TLS/SSL musí být ClientCertificatehodnota . |
password |
No | Heslo pro přístup k klientskému certifikátu (soubor PFX) |
pfx |
Ano | Obsah klientského certifikátu s kódováním base64 (soubor PFX) |
Základní ověřování
Pokud chcete ověřit příchozí požadavky z vaší aplikace logiky do webové aplikace nebo aplikace API, můžete použít základní ověřování, jako je uživatelské jméno a heslo. Základní ověřování je běžný vzor a toto ověřování můžete použít v libovolném jazyce použitém k vytvoření webové aplikace nebo aplikace API.
V části Autorizace uveďte následující vlastnosti:
{
"type": "Basic",
"username": "<username>",
"password": "<password>"
}
| Vlastnost | Požadováno | Popis |
|---|---|---|
type |
Ano | Typ ověřování, který chcete použít. Pro základní ověřování musí být Basichodnota . |
username |
Ano | Uživatelské jméno, které chcete použít k ověřování |
password |
Ano | Heslo, které chcete použít k ověřování |
Ověřování Microsoft Entra prostřednictvím kódu
Ve výchozím nastavení ověřování Microsoft Entra, které zapnete na webu Azure Portal, neposkytuje jemně odstupňovanou autorizaci. Toto ověřování například uzamkne vaše rozhraní API jenom na konkrétního tenanta, ne na konkrétního uživatele nebo aplikaci.
Pokud chcete omezit přístup rozhraní API k aplikaci logiky prostřednictvím kódu, extrahujte hlavičku s webovým tokenem JSON (JWT). Zkontrolujte identitu volajícího a odmítněte žádosti, které se neshodují.