Partager via

Bloquer l’utilisation du connecteur dans Azure Logic Apps

S’applique à : Azure Logic Apps (Consommation + Standard)

Si votre organisation n’autorise pas la connexion à des ressources restreintes ou non approuvées à l’aide de leurs connecteurs gérés dans Azure Logic Apps, vous pouvez bloquer la possibilité de créer et d’utiliser ces connexions dans les flux de travail d’application logique. Avec Azure Policy, vous pouvez définir et appliquer des stratégies qui empêchent la création ou l’utilisation de connexions pour les connecteurs que vous souhaitez bloquer. Il peut par exemple être utile, pour des raisons de sécurité, de bloquer les connexions à certaines plateformes de réseaux sociaux ou à d’autres services et systèmes.

Ce guide vous montre comment configurer une stratégie qui bloque des connexions spécifiques à l’aide du portail Azure. Vous pouvez également créer des définitions de stratégie de différentes façons. Par exemple, vous pouvez utiliser l’API REST Azure, Azure PowerShell, Azure CLI ou les modèles Azure Resource Manager. Pour plus d’informations, consultez Créer et gérer des stratégies pour appliquer la conformité.

Prérequis

  • Un compte et un abonnement Azure. Si vous n’avez pas d’abonnement, créez un compte Azure gratuit.

  • ID de référence du connecteur à bloquer. Ce guide montre comment trouver cet ID de référence.

Recherche de l’ID de référence du connecteur

Si vous disposez déjà d’un flux de travail d’application logique avec la connexion que vous souhaitez bloquer, ignorez cette section. Dans le cas contraire, procédez comme suit pour rechercher l’ID de référence du connecteur :

Rechercher l’ID à l’aide de la documentation de référence du connecteur

  1. Passez en revue la liste de tous les connecteurs managés Azure Logic Apps.

  2. Recherchez la page de référence du connecteur à bloquer.

    Par exemple, si vous souhaitez bloquer le connecteur Gmail, accédez à cette page :

    https://learn.microsoft.com/connectors/gmail/

  3. À partir de l’URL de la page, copiez et enregistrez l’ID de référence du connecteur à la fin sans la barre oblique (/), par exemple, gmail.

    Plus tard, lorsque vous créerez votre définition de stratégie, vous utiliserez cet ID dans l’instruction de condition de la définition, par exemple :

    "like": "*managedApis/gmail"

Rechercher l’ID à l’aide du portail Azure

  1. Dans le portail Azure, ouvrez votre ressource d’application logique.

  2. Dans la barre latérale des ressources, sélectionnez l’une des options suivantes :

    • Application logique de consommation : sous Outils de développement, sélectionnez Connexions d’API.

    • Application logique standard : sous Workflows, sélectionnez Connexions. Dans le volet Connexions, sélectionnez Connexions d’API si cet élément n’est pas déjà sélectionné.

  3. Dans la page Connexions d’API , sélectionnez la connexion. Une fois la page de connexion ouverte, dans le coin supérieur droit, sélectionnez Affichage JSON.

  4. Recherchez l’objet api, qui contient une propriété id et une valeur dont le format est le suivant :

    "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

    L'exemple ci-dessous illustre la propriété id et la valeur d'une connexion Gmail :

    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Web/locations/westus/managedApis/gmail"

  5. À partir de la id valeur de propriété, copiez et enregistrez l’ID de référence du connecteur, qui apparaît à la fin, par exemple gmail.

    Plus tard, lorsque vous créerez votre définition de stratégie, vous utiliserez cet ID dans l’instruction de condition de la définition, par exemple :

    "like": "*managedApis/gmail"

Blocage de la création de connexions

Pour bloquer la création d’une connexion dans un flux de travail, procédez comme suit :

  1. Dans la zone de recherche du portail Azure, entrez stratégie, et sélectionnez Stratégie.

    Capture d’écran montrant la boîte de recherche du portail Azure avec

  2. Dans le menu Stratégie, sous Création, sélectionnez Définitions. Dans la barre d’outils Définitions , sélectionnez Définition de stratégie.

    Capture d’écran montrant la page Définitions avec la définition de stratégie mise en surbrillance.

  3. Dans la page définition de stratégie, fournissez les informations de votre définition de stratégie, en fonction des propriétés du tableau qui suivent l’image :

    Capture d’écran montrant les valeurs de définition de stratégie pour bloquer Gmail.

    Paramètre Obligatoire Valeur Description
    Emplacement de la définition Oui < Nom de l’abonnement Azure> Abonnement Azure à utiliser pour la définition de stratégie

    1. Pour trouver votre abonnement, sélectionnez les points de suspension ().
    2. Dans la liste Abonnement, recherchez et sélectionnez votre abonnement.
    3. Lorsque vous avez terminé, sélectionnez Sélectionner.
    Nom Oui < nom-définition-stratégie> Nom à utiliser pour la définition de stratégie.
    Description Non < nom-définition-stratégie> Description de la définition de stratégie.
    Catégorie Oui Logic Apps Nom d’une catégorie existante ou d’une nouvelle catégorie pour la définition de stratégie.

  4. Sous règle de stratégie, la zone d’édition JSON est préremplie avec un modèle de définition de stratégie. Remplacez ce modèle par votre définition de stratégie en fonction des propriétés décrites dans le tableau suivant et à l’aide de cette syntaxe :

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Valeur Description
    mode All Mode déterminant les types de ressources évalués par la stratégie

    Ce scénario affecte à mode la valeur All, qui applique la stratégie aux groupes de ressources Azure, aux abonnements et à tous les types de ressources.

    Pour plus d’informations, consultez Structure de définition de stratégie – Mode.
    if {condition-to-evaluate} Condition déterminant quand appliquer la règle de stratégie

    Dans ce scénario, {condition-to-evaluate} détermine si la valeur api.id de Microsoft.Web/connections/api.id correspond à *managedApis/{connector-name}, qui spécifie une valeur générique (*).

    Pour plus d’informations, consultez Structure de définition de stratégie – Règle de stratégie.
    field Microsoft.Web/connections/api.id Valeur field à comparer à la condition

    Dans ce scénario, field utilise l’alias, Microsoft.Web/connections/api.id, pour accéder à la valeur dans la propriété du connecteur, api.id.
    like *managedApis/{connector-name} Opérateur logique et valeur à utiliser pour comparer la valeur field

    Dans ce scénario, l’opérateur like et le caractère générique (*) font en sorte que la règle fonctionne indépendamment de la région ; la chaîne, *managedApis/{connector-name}, représente à la valeur de correspondance, où {connector-name} est l’ID du connecteur à bloquer.

    Supposons, par exemple, que vous souhaitiez bloquer la création de connexions à des plateformes de réseaux sociaux ou à des bases de données :

    - X : x
    - Facebook : facebook
    - Pinterest : pinterest
    - SQL Server ou Azure SQL : sql

    Pour rechercher ces ID de connecteur, consultez l’ID de référence du connecteur plus haut dans cet article.
    then {effect-to-apply} Effet à appliquer lorsque la condition if est remplie

    Dans ce scénario, {effect-to-apply} consiste à bloquer et à faire échouer une demande ou une opération non conforme à la stratégie.

    Pour plus d’informations, consultez Structure de définition de stratégie – Règle de stratégie.
    effect deny effect consiste à bloquer la demande, à savoir créer la connexion spécifiée

    Pour plus d’informations, consultez Présentation des effets Azure Policy – Refuser.

    Par exemple, supposons que vous souhaitez bloquer la création de connexions avec le connecteur Gmail. Vous pouvez utiliser cette définition de stratégie :

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    Voici comment la zone Règle de la politique apparaît :

    Capture d’écran montrant la zone de règle de stratégie avec un exemple de règle de stratégie.

    Pour plusieurs connecteurs, vous pouvez ajouter plusieurs conditions, par exemple :

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/x"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Quand vous avez terminé, sélectionnez Enregistrer.

    Une fois la définition de stratégie enregistrée, Azure Policy génère et ajoute d’autres valeurs de propriété à la définition de stratégie.

Pour affecter la définition de stratégie dans laquelle vous souhaitez appliquer la stratégie, créez une attribution de stratégie, comme décrit plus loin dans cet article.

Pour plus d’informations sur les définitions d’Azure Policy, consultez :

Bloquer l’association de connexions à des applications logiques

Lorsque vous créez une connexion dans un flux de travail, cette connexion existe en tant que ressource Azure distincte. Si vous supprimez uniquement le flux de travail ou la ressource d’application logique, la ressource de connexion n’est pas automatiquement supprimée et continue d’exister jusqu’à la suppression. Vous pouvez avoir un scénario où la ressource de connexion existe déjà ou où vous devez créer la ressource de connexion à utiliser en dehors de la ressource d’application logique.

Vous pouvez toujours bloquer la possibilité d’associer la connexion à une autre ressource d’application logique en créant une stratégie qui empêche l’enregistrement des flux de travail qui tentent d’utiliser la connexion restreinte ou non approuvée. Cette stratégie affecte uniquement les flux de travail qui n’utilisent pas déjà la connexion.

  1. Dans la zone de recherche du portail Azure, entrez stratégie, et sélectionnez Stratégie.

    Capture d’écran montrant la boîte de recherche du portail Azure avec

  2. Dans le menu Stratégie, sous Création, sélectionnez Définitions. Dans la barre d’outils de la page Définitions , sélectionnez Définition de stratégie.

    Capture d’écran montrant la page Définitions avec la définition de stratégie mise en surbrillance.

  3. Sous Définition de stratégie, fournissez les informations de votre définition de stratégie, en fonction des propriétés de la table qui suit l’image.

    Capture d’écran montrant les valeurs de définition de stratégie pour enregistrer les connexions Gmail.

    Paramètre Obligatoire Valeur Description
    Emplacement de la définition Oui < Nom de l’abonnement Azure> Abonnement Azure à utiliser pour la définition de stratégie

    1. Pour trouver votre abonnement, sélectionnez le bouton points de suspension ( ).
    2. Dans la liste Abonnement, recherchez et sélectionnez votre abonnement.
    3. Lorsque vous avez terminé, sélectionnez Sélectionner.
    Nom Oui < nom-définition-stratégie> Nom à utiliser pour la définition de stratégie
    Description Non < nom-définition-stratégie> Description de la définition de stratégie
    Catégorie Oui Logic Apps Nom d’une catégorie existante ou d’une nouvelle catégorie pour la définition de stratégie

  4. Sous Règle de stratégie, la zone d’édition JSON est préremplie avec un modèle de définition de stratégie. Remplacez ce modèle par votre définition de stratégie en fonction des propriétés décrites dans le tableau suivant et à l’aide de cette syntaxe :

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Valeur Description
    mode All Mode déterminant les types de ressources évalués par la stratégie

    Ce scénario affecte à mode la valeur All, qui applique la stratégie aux groupes de ressources Azure, aux abonnements et à tous les types de ressources.

    Pour plus d’informations, consultez Structure de définition de stratégie – Mode.
    if {condition-to-evaluate} Condition déterminant quand appliquer la règle de stratégie

    Dans ce scénario, {condition-to-evaluate} détermine si la sortie de chaîne de [string(field('Microsoft.Logic/workflows/parameters'))] contient la chaîne {connector-name}.

    Pour plus d’informations, consultez Structure de définition de stratégie – Règle de stratégie.
    value [string(field('Microsoft.Logic/workflows/parameters'))] Valeur à comparer à la condition

    Dans ce scénario, value est la sortie de chaîne de [string(field('Microsoft.Logic/workflows/parameters'))], qui convertit en chaîne l’objet $connectors de l’objet Microsoft.Logic/workflows/parameters.
    contains {connector-name} Opérateur logique et valeur à utiliser pour la comparaison avec la propriété value

    Dans ce scénario, l’opérateur contains fait en sorte que la règle fonctionne indépendamment de l’endroit où {connector-name} apparaît ; la chaîne {connector-name} est l’ID du connecteur à restreindre ou bloquer.

    Supposons, par exemple, que vous souhaitiez bloquer l’utilisation de connexions à des plateformes de réseaux sociaux ou à des bases de données :

    - X : x
    - Facebook : facebook
    - Pinterest : pinterest
    - SQL Server ou Azure SQL : sql

    Pour rechercher ces ID de connecteur, consultez l’ID de référence du connecteur plus haut dans cet article.
    then {effect-to-apply} Effet à appliquer lorsque la condition if est remplie

    Dans ce scénario, {effect-to-apply} consiste à bloquer et à faire échouer une demande ou une opération non conforme à la stratégie.

    Pour plus d’informations, consultez Structure de définition de stratégie – Règle de stratégie.
    effect deny effect consiste à deny ou à bloquer la demande d’enregistrement d’une application logique qui utilise la connexion spécifiée

    Pour plus d’informations, consultez Présentation des effets Azure Policy – Refuser.

    Par exemple, supposons que vous souhaitiez bloquer la sauvegarde des applications de logique qui utilisent des connexions Gmail. Vous pouvez utiliser cette définition de stratégie :

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    Voici la façon dont la règle de définition de stratégie s’affiche :

    Capture d’écran montrant une règle de définition de stratégie.

  5. Quand vous avez terminé, sélectionnez Enregistrer.

    Une fois la définition de stratégie enregistrée, Azure Policy génère et ajoute d’autres valeurs de propriété à la définition de stratégie.

Pour affecter la définition de stratégie dans laquelle vous souhaitez appliquer la stratégie, créez une attribution de stratégie, comme décrit plus loin dans ce guide.

Pour plus d’informations sur les définitions d’Azure Policy, consultez :

Création d’affectations de stratégies

Vous devez affecter la définition de stratégie où vous souhaitez appliquer la politique. Par exemple, vous pouvez affecter la définition de stratégie à un groupe de ressources unique, plusieurs groupes de ressources, un locataire Microsoft Entra ou un abonnement Azure. Dans le cadre de cette tâche, suivez cette procédure pour créer une affectation de stratégie :

  1. Dans la zone de recherche du portail Azure, entrez stratégie, et sélectionnez Stratégie.

    Capture d’écran montrant la boîte de recherche du portail Azure avec

  2. Dans le menu Stratégie, sous Création, sélectionnez Affectations. Dans la barre d’outils Affectations , sélectionnez Affecter une stratégie.

    Capture d'écran montrant la barre d'outils Assignations avec la stratégie Assignation mise en surbrillance.

  3. Dans la page Affecter une stratégie, sous Informations de base, fournissez ces informations pour l’attribution de stratégie :

    Paramètre Obligatoire Description
    Portée Oui Ressources dans lesquelles vous souhaitez appliquer l’affectation de stratégie

    1. À côté de la zone Étendue, sélectionnez le bouton points de suspension ( ).
    2. Dans la liste Abonnement, sélectionnez l’abonnement Azure.
    3. Dans la liste Groupe de ressources, sélectionnez le groupe de ressources (facultatif).
    4. Lorsque vous avez terminé, sélectionnez Sélectionner.
    Exclusions Non Ressources Azure à exclure de l’affectation de stratégie

    1. À côté de la zone Exclusions, sélectionnez le bouton points de suspension ( ).
    2. Dans la liste Ressource, sélectionnez la ressource >Ajouter à l’étendue sélectionnée.
    3. Quand vous avez terminé, sélectionnez Enregistrer.
    Sélecteurs de ressources Non
    Définition de stratégie Oui Nom de la définition de stratégie que vous souhaitez affecter et appliquer. Cet exemple continue avec l’exemple de stratégie Gmail, bloquer les connexions Gmail.

    1. À côté de la zone Définition de stratégie, sélectionnez le bouton points de suspension ( ).
    2. Recherchez et sélectionnez la définition de stratégie à l’aide du filtre Type ou de la zone Rechercher.
    3. Lorsque vous avez terminé, sélectionnez Sélectionner.
    Remplacement Non
    Nom de l’affectation Oui Nom à utiliser pour l’attribution de stratégie, s’il est différent de la définition de stratégie.
    Description Non Une description de l’affectation de stratégie.
    Application de stratégies Oui Paramètre qui active ou désactive l’attribution de stratégie.

    Par exemple, pour affecter la stratégie à un groupe de ressources Azure à l’aide de l’exemple Gmail :

    Capture d’écran montrant les valeurs d’affectation de stratégie.

  4. Quand vous avez terminé, sélectionnez Vérifier + créer.

    Après avoir créé une stratégie, vous devrez peut-être attendre jusqu’à 15 minutes pour qu’elle soit effective. Les modifications peuvent également avoir des effets différés similaires.

Une fois la stratégie appliquée, testez votre stratégie dans la section suivante.

Pour plus d’informations, consultez Démarrage rapide : Créer une attribution de stratégie pour identifier les ressources non conformes.

Tester la stratégie

Pour tester votre stratégie, commencez à créer une connexion à l’aide du connecteur maintenant restreint dans le concepteur de workflow. En suivant l’exemple Gmail, lorsque vous vous connectez à Gmail, vous obtenez une erreur indiquant que votre workflow n’a pas pu créer la connexion.

Le message d’erreur inclut ces informations :

Description Contenu
Raison de l’échec "Resource 'gmail' was disallowed by policy."
Nom de l’attribution "Block Gmail connections"
ID de l’affectation "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID de définition de stratégie "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Contenu connexe

  • Last updated on