Freigeben über

Bestimmen Sie extern die Genehmigungsanforderungen für ein Zugriffspaket mithilfe von benutzerdefinierten Erweiterungen (Vorschau).

In der Berechtigungsverwaltung können genehmigende Personen für Zugriffspaketanforderungen entweder direkt zugewiesen oder dynamisch bestimmt werden. Die Berechtigungsverwaltung unterstützt Genehmiger direkt, wenn sie der Vorgesetzte des Anforderers, seiner Vorgesetzte der zweiten Ebene oder ein Sponsor aus einer verbundenen Organisation sind.

Screenshot der nativen Unterstützung für Genehmiger in der Berechtigungsverwaltung.

Beim Einbinden von benutzerdefinierten Erweiterungen, die Azure Logic Apps aufrufen, können Sie die Genehmigung basierend auf den einzelnen ApprovalStage-Eigenschaften bestimmen. Wenn sich beispielsweise der Benutzer, der ein Zugriffspaket anfordert, in einer Abteilung befindet, in der sich die Führung kürzlich geändert hat, können dynamische Genehmigungen das System abfragen und den neuen Abteilungsleiter als Genehmigende zuweisen.

Screenshot des Beispiels zum Ermitteln von Genehmigern mit benutzerdefinierten Erweiterungen.

Dieser Artikel führt Sie durch das Erstellen einer benutzerdefinierten Erweiterung, der zugrunde liegenden Azure Logic App, festlegen der vom System zugewiesenen Identität und Rolle im Katalog, Bearbeiten der Logik-App-Aktion zum Ausführen von Geschäftslogik und Testen, um festzustellen, ob sie erfolgreich ausgeführt wird.

Lizenzanforderungen

Die Verwendung dieses Features erfordert Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Voraussetzungen

  • Die Besitzerrolle des Berechtigungsverwaltungskatalogs, in dem die benutzerdefinierte Erweiterung erstellt wird oder bereits existiert, ist mindestens erforderlich.
  • Mindestens die integrierte Azure-Rolle von Logic App-Mitwirkenden in der Logik-App selbst, der Ressourcengruppe, des Abonnements oder der Verwaltungsgruppe, in der sich die Logik-App befindet.

Erstellen der benutzerdefinierten Erweiterung und der Azure Logic App

Zum Erstellen einer benutzerdefinierten Erweiterung und der zugrunde liegenden Azure Logic App führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens Katalogbesitzer des Katalogs an, in dem sich die benutzerdefinierte Erweiterung befindet.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.

  3. Wählen Sie auf der Übersichtsseite "Kataloge" einen vorhandenen Katalog aus, in dem sich Ihre benutzerdefinierte Erweiterung befindet, oder erstellen Sie einen neuen Katalog.

  4. Wählen Sie auf der bestimmten Katalogseite, auf der Sie Ihre benutzerdefinierte Erweiterung erstellen möchten, "Benutzerdefinierte Erweiterungen" aus. Screenshot der Katalogseite, auf der benutzerdefinierte Erweiterung hinzugefügt wird.

  5. Wählen Sie "Benutzerdefinierte Erweiterung hinzufügen " aus, um einen Namen und eine Beschreibung für die benutzerdefinierte Erweiterung hinzuzufügen. Wenn Sie fertig sind, wählen Sie "Weiter" aus. Screenshot der Grundlagen der benutzerdefinierten Erweiterung.

  6. Wählen Sie auf der Seite "Erweiterungstyp " den Anforderungsworkflow (ausgelöst, wenn ein Zugriffspaket angefordert, genehmigt, erteilt oder entfernt wird), und wählen Sie "Weiter" aus. Screenshot der Auswahl des Erweiterungstyps für eine benutzerdefinierte Erweiterung.

  7. Wählen Sie auf der Seite "Erweiterungskonfiguration " für "Verhalten" die Option "Start" und "Warten" aus, auf "Antwortdaten" die Option "Genehmigungsphase (Vorschau)" und dann " Weiter" aus.

  8. Wählen Sie auf der Seite "Details " ein Abonnement, eine Ressourcengruppe und einen Namen für die zu erstellende Logik-App aus. Nachdem Sie diese Informationen eingegeben haben, wählen Sie " Logik-App erstellen" aus. Nachdem die Logik-App erstellt wurde, wählen Sie "Weiter" aus.

  9. Stellen Sie auf der Seite "Überprüfen+ Erstellen " sicher, dass alle Ihre Details korrekt sind, und wählen Sie dann "Erstellen" aus.

Verweisen auf die benutzerdefinierte Erweiterung in einer Zugriffspaket-Zuweisungsrichtlinie

Nachdem Sie die benutzerdefinierte Erweiterungs- und Logik-App erstellt haben, können Sie in einer Zugriffspaketzuweisungsrichtlinie auf die benutzerdefinierte Erweiterung verweisen, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie den Katalog aus, in dem die benutzerdefinierte Erweiterung erstellt wurde.

  2. Wählen Sie auf der Katalogseite Access-Pakete aus, und wählen Sie das Zugriffspaket für die Richtlinie aus, die Sie aktualisieren möchten.

  3. Wählen Sie auf der Übersichtsseite des Zugriffspakets "Richtlinien" und dann die zu bearbeitende Richtlinie aus. Screenshot der Richtlinienliste für ein Zugriffspaket.

  4. Legen Sie auf der Seite "Richtlinie bearbeiten " unter "Anforderungen" das Feld " Genehmigung erforderlich " auf "Ja" fest, und Sie können Ihre benutzerdefinierte Erweiterung als genehmigende Person hinzufügen. Das folgende Beispiel zeigt die benutzerdefinierte Erweiterung, die als erster Genehmiger verwendet wird. Screenshot der benutzerdefinierten Erweiterung als erster Genehmigender in der Zugriffspaketrichtlinie.

  5. Klicken Sie auf Aktualisieren.

Nach der Aktualisierung können Sie zur bearbeiteten Richtlinie wechseln und die Änderung bestätigen, indem Sie details zur Genehmigungsphase auswählen. Screenshot der Details der bearbeiteten Genehmigungsphase.

Festlegen der zugewiesenen Identität der Logik-App und Zuweisen ihrer Rolle

Nachdem die Azure-Logik-App erstellt wurde, müssen Sie die vom System zugewiesene Identität aktivieren und ihm die richtige Rolle zuweisen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zur Logik-App mit der integrierten Azure-Rolle von mindestens "Logic App Contributor".

  2. Wechseln Sie auf der Übersichtsseite der Logik-App zu Einstellungen>Identität.

  3. Auf der Seite "Identität" aktivieren Sie die vom System zugewiesene verwaltete Identität des Logic Apps. Screenshot zur Aktivierung der vom System zugewiesenen verwalteten Identität des Logic Apps.

  4. Wählen Sie Speichern aus.

  5. Wechseln Sie im Microsoft Entra Admin Center mindestens in der Rolle des Katalogbesitzers zu dem Katalog, in dem Sie die benutzerdefinierte Erweiterung erstellt haben, und wählen Sie „Rollen und Administratoren“ aus.

  6. Wählen Sie auf der Seite "Rollen und Administratoren" die Option " Zuweisungs-Manager für Zugriffspaket hinzufügen" und dann die von Ihnen erstellte Logik-App aus. Screenshot des Hinzufügens einer Logik-App als Zugriffspaketzuweisungs-Manager für einen Katalog.

Konfigurieren der Logik-App und der entsprechenden Geschäftslogik

Nachdem der Azure Logic App die Rolle des Zugriffspaketzuweisungs-Managers für den Katalog zugewiesen wurde, müssen Sie jetzt die Logic App aufrufen, um sie für die Kommunikation mit Microsoft Entra zu bearbeiten. Dazu führen Sie die folgenden Schritte aus:

  1. Wechseln Sie in der erstellten Logik-App zu Entwicklungstools>Logik-App-Designer.

  2. Entfernen Sie auf der Designerseite alles im Zusammenhang mit dem manuellen Auslöser und wählen Sie die Schaltfläche "Hinzufügen" aus. Screenshot des Hinzufügens einer Aktion im Logik-App-Designer.

  3. Wählen Sie im Bereich "Aktion hinzufügen" "HTTP" aus.

  4. Geben Sie im HTTP-Bereich unter "Parameter" die folgenden Parameter ein:

    • URI: https://graph.microsoft.com/v1.0@{triggerBody()?['CallbackUriPath']}
    • Methode: POST
    • Authentifizierungstyp: Verwaltete Identität
    • Verwaltete Identität: Vom System zugewiesene verwaltete Identität
    • Publikum: https://graph.microsoft.com

  5. Deaktivieren Sie unter "HTTP-Einstellungen " das asynchrone Muster. Screenshot des Deaktivierens des asynchronen Musters in einem Http-Aufruf einer Logik-App.

  6. Nachdem Sie Änderungen am HTTP-Trigger vorgenommen haben, wählen Sie "Speichern" aus.

Hinzufügen von Geschäftslogik zur Logik-App

Mit der logik-App, die für die Kommunikation mit Microsoft Entra konfiguriert ist, können Sie jetzt hinzufügen, was die App tun soll. Logik-App-Aktionen werden dem Text des HTTP-Abschnitts hinzugefügt, den Sie für die Logik-App konfiguriert haben. Gehen Sie wie folgt vor, um dies zu bearbeiten:

  1. Wechseln Sie in der erstellten Logik-App zu Entwicklungstools>Logik-App-Designer.

  2. Wählen Sie auf der Seite des Logik-App-Designers HTTP aus.

  3. Scrollen Sie im HTTP-Bereich unter "Parameter" nach unten zum Textkörper , und geben Sie Ihre Logikdaten basierend auf den Parametern ein, nach den Sie abfragen möchten. Weitere Informationen finden Sie unter: Aufrufen externer HTTP- oder HTTPS-Endpunkte aus Workflows in Azure Logic Apps. Screenshot des Hinzufügens von Geschäftslogik zur Logik-App.

    Hinweis

    Ein Beispiel für die HTTP-Body-Aktion finden Sie unter HTTP-Aktionsbeispiel.

  4. Wenn Sie die Geschäftslogik hinzugefügt haben, wählen Sie "Speichern" aus.

Überprüfen, ob die Erweiterung funktioniert hat

Um zu überprüfen, ob die benutzerdefinierte Erweiterung funktioniert, können Sie Zugriff auf das Zugriffspaket beantragen und die Anforderungsdetails über Anforderungen auf der Seite "Zugriffspaket" anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich im Microsoft Entra Admin Center mindestens als Katalogbesitzer des Katalogs an, in dem sich die benutzerdefinierte Erweiterung befindet.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Access-Paket-Manager, der Access-Paketzuweisungs-Manager und der Identitätsgovernance-Administrator.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, für das Sie Anforderungen anzeigen möchten.

  4. Wählen Sie Anforderungen aus.

  5. Wählen Sie auf der Seite "Anforderungen" die Anforderung aus, die Sie anzeigen möchten, und bestätigen Sie, dass das Zugriffspaket erfolgreich zugestellt wurde. Anzeigen der Details der Anforderung für das Zugriffspaket.

BEISPIEL für HTTP-Aktion

Das folgende Beispiel für eine Aktion, die im HTTP-Textkörper platziert werden kann, ist eine Logik-App, die den primären Genehmigenden identifiziert. Sie müssen Ihre eigene Variable an diesen Code übergeben, in dem Sie dazu aufgefordert werden:

{
  "data": {
    "@@odata.type": "microsoft.graph.assignmentRequestApprovalStageCallbackData",
    "approvalStage": {
      "durationBeforeAutomaticDenial": "P2D",
      "escalationApprovers": [],
      "fallbackEscalationApprovers": [],
      "fallbackPrimaryApprovers": [],
      "isApproverJustificationRequired": false,
      "isEscalationEnabled": false,
      "primaryApprovers": [
        {
          "@@odata.type": "#microsoft.graph.singleUser",
          "description": "This is the primary approver for the access package requested by the user.",
          "id": "<Dynamically assigned variable>",
          "isBackup": false
        }
      ]
    },
    "customExtensionStageInstanceDetail": "A approval stage from Logic Apps",
    "customExtensionStageInstanceId": "@{triggerBody()?['CustomExtensionStageInstanceId']}",
    "stage": "assignmentRequestDeterminingApprovalRequirements"
  },
  "source": "Entra",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated"
}

Obwohl im Beispiel eine Benutzer-ID verwendet wird, können die Abschnitte "primaryApprovers" und "escalationApprovers" jedes gültige subjectSet enthalten. Der Genehmigungsabschnitt des Codes muss den Parametern entsprechen, wie hier gezeigt: accessPackageApprovalStage.

Hinweis

Während die Logik-App für die Betaversion der API aufgerufen wird, verwenden die Parameter den v1.0-Endpunkt.

Verwandte Inhalte