Partager via


Déterminez en externe les exigences d’approbation pour un ensemble d'accès en utilisant des extensions personnalisées (version préliminaire)

Dans la gestion des droits d’utilisation, les approbateurs pour les demandes de package d’accès peuvent être directement affectés ou déterminés dynamiquement. La gestion des droits d’utilisation prend en charge en mode natif les approbateurs lorsqu’ils sont le responsable des demandeurs, leur responsable de second niveau ou un sponsor d’une organisation connectée :

Capture d’écran de la prise en charge native des validateurs dans Entitlement management.

Avec l’inclusion d’extensions personnalisées appelant Azure Logic Apps, vous pouvez déterminer l’approbation en fonction de chacune des propriétés ApprovalStage. Par exemple, si l’utilisateur demandant un package d’accès se trouve dans un service où le leadership a récemment changé, les approbations dynamiques peuvent interroger le système et affecter le nouveau chef de service en tant qu’approbateur.

Capture d’écran de l’exemple de détermination des approbateurs à l’aide d’extensions personnalisées.

Cet article vous guide tout au long de la création d’une extension personnalisée, de son application logique Azure sous-jacente, de la définition de son identité et de son rôle attribués par le système dans le catalogue, de la modification de l’action d’application logique pour effectuer une logique métier et des tests pour voir s’il s’exécute correctement.

Conditions requises pour la licence

Cette fonctionnalité nécessite des licences Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour trouver la licence adaptée à vos besoins, consultez Principes fondamentaux des licences de gouvernance des ID Microsoft Entra.

Conditions préalables

Créer l’extension personnalisée et l’application logique Azure

Pour créer une extension personnalisée et son application logique Azure sous-jacente, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que propriétaire du catalogue où se trouve l’extension personnalisée.

  2. Accédez à Gouvernance des identités>Gestion des droits>Catalogues.

  3. Dans la page vue d’ensemble des catalogues, sélectionnez un catalogue existant où se trouve votre extension personnalisée ou créez un catalogue.

  4. Dans la page de catalogue spécifique dans laquelle vous souhaitez créer votre extension personnalisée, sélectionnez Extensions personnalisées. Capture d’écran de la page catalogue où l’extension personnalisée est ajoutée.

  5. Sélectionnez Ajouter une extension personnalisée pour ajouter un nom et une description pour l’extension personnalisée. Quand vous avez terminé, sélectionnez Suivant. Capture d’écran des principes de base de l’extension personnalisée.

  6. Dans la page Type d’extension , sélectionnez Flux de travail de demande (déclenché lorsqu’un package d’accès est demande, approuvé, accordé ou supprimé) et sélectionnez Suivant. Capture d’écran de la sélection du type d’extension pour une extension personnalisée.

  7. Dans la page Configuration de l’extension , pour Le comportement, sélectionnez Lancer et attendre, pour que les données de réponse sélectionnent l’étape d’approbation (préversion), puis sélectionnez Suivant.

  8. Dans la page Détails , choisissez un abonnement, un groupe de ressources et un nom pour l’application logique en cours de création. Une fois que vous avez entré ces informations, sélectionnez Créer une application logique. Une fois l’application logique créée, sélectionnez Suivant.

  9. Dans la page Vérifier + créer , vérifiez que tous vos détails sont corrects, puis sélectionnez Créer.

Référencer l’extension personnalisée dans une stratégie d’affectation de package d’accès

Une fois que vous avez créé l’extension personnalisée et l’application logique, vous pouvez référencer l’extension personnalisée dans une stratégie d’attribution de package d’accès en procédant comme suit :

  1. Sélectionnez le catalogue où l’extension personnalisée a été créée.

  2. Dans la page catalogue, sélectionnez Packages Access, puis sélectionnez le package d’accès pour la stratégie à mettre à jour.

  3. Dans la page vue d’ensemble du package d’accès, sélectionnez Stratégies, puis sélectionnez la stratégie à modifier. Capture d’écran de la liste des stratégies pour un package d’accès.

  4. Dans la page Modifier la stratégie sous Demandes, définissez la zone Exiger l’approbation sur oui et vous pouvez ajouter votre extension personnalisée en tant qu’approbateur. L’exemple montre ici l’extension personnalisée utilisée comme premier approbateur. Capture d’écran de l’extension personnalisée comme premier approbateur dans la stratégie de package d’accès.

  5. Sélectionnez Mettre à jour.

Une fois mis à jour, vous pouvez accéder à la stratégie modifiée et confirmer la modification en sélectionnant les détails de l’étape d’approbation. Capture d’écran des détails de l’étape d’approbation modifiée.

Définir l'identité attribuée à l'application logique et lui attribuer un rôle

Une fois l’application logique Azure créée, vous devez activer son identité affectée par le système et lui donner le rôle approprié en procédant comme suit :

  1. Connectez-vous au portail Azure et accédez à l’application logique avec le rôle intégré Azure d’au moins contributeur d’application logique.

  2. Sur la page de vue d'ensemble de l'application logique, allez dans Paramètres>Identité.

  3. Dans la page Identité, activez l'identité gérée attribuée par le système pour l'application logique Capture d’écran de l’activation de l’identité gérée attribuée par le système pour l’application logique.

  4. Cliquez sur Enregistrer.

  5. De retour dans le Centre d’administration Microsoft Entra en tant que propriétaire du catalogue au moins, accédez au catalogue où vous avez créé l’extension personnalisée, puis sélectionnez Rôles et administrateurs.

  6. Dans la page rôles et administrateurs, sélectionnez Ajouter un gestionnaire d’affectation de package d’accès, puis sélectionnez l’application logique que vous avez créée. Capture d’écran de l’ajout d’une application logique en tant que gestionnaire d’affectation de package d’accès pour un catalogue.

Configurer l’application logique et la logique métier correspondante

Avec l'application Azure Logic App ayant le rôle de gestionnaire d'attribution de package d'accès pour le catalogue, vous devez maintenant accéder à cette application pour la modifier afin qu'elle puisse communiquer avec Microsoft Entra. Pour ce faire, vous devez effectuer les étapes suivantes :

  1. Sur l’application logique créée, allez dans Outils de développement et >.

  2. Dans la page du concepteur, supprimez tout sous le déclencheur manuel , puis sélectionnez le bouton Ajouter une action . Capture d’écran de l’ajout d’une action dans le concepteur d’applications logiques.

  3. Dans le volet Ajouter une action, sélectionnez HTTP.

  4. Dans le volet HTTP sous Paramètres, entrez les paramètres suivants :

    • URI : https://graph.microsoft.com/v1.0@{triggerBody()?['CallbackUriPath']}
    • Method : PUBLIER
    • Type d’authentification : identité managée
    • Identité managée : identité managée affectée par le système
    • Public : https://graph.microsoft.com
  5. Sous Paramètres HTTP, désactivez le modèle asynchrone. Capture d’écran de la désactivation du modèle asynchrone dans un appel http d’application logique.

  6. Une fois que vous avez apporté des modifications au déclencheur HTTP, sélectionnez Enregistrer.

Ajouter une logique métier à l’application logique

Avec l’application logique configurée pour la communication avec Microsoft Entra, vous pouvez maintenant ajouter ce que vous souhaitez que l’application fasse. Les actions d’application logique sont ajoutées au corps de la section HTTP que vous avez configurée pour l’application logique. Pour le modifier, procédez comme suit :

  1. Sur l’application logique créée, allez dans Outils de développement et >.

  2. Dans la page du concepteur d’applications logiques, sélectionnez HTTP.

  3. Dans le volet HTTP sous Paramètres, faites défiler jusqu’à Corps et entrez vos données logiques en fonction des paramètres à rechercher. Pour plus d’informations, consultez : Appeler des points de terminaison HTTP ou HTTPS externes à partir de flux de travail dans Azure Logic Apps. Capture d’écran de l’ajout de la logique métier à l’application logique.

    Remarque

    Pour un exemple de l’action du corps du message, consultez : exemple d’action HTTP.

  4. Lorsque vous avez terminé d’ajouter votre logique métier, sélectionnez Enregistrer.

Vérifier que l’extension a fonctionné

Pour vérifier que l’extension personnalisée fonctionne, vous pouvez demander l’accès au package d’accès et afficher les détails de la demande via demandes sur la page du package d’accès en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que propriétaire du catalogue où se trouve l’extension personnalisée.

    Conseil / Astuce

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le gestionnaire de package Access, le gestionnaire d’attributions de package Access et l’administrateur de gouvernance des identités.

  2. Accédez à Gouvernance des identifiants>Gestion des droits>Package d'accès.

  3. Dans la page Packages d’accès, ouvrez le package d’accès pour lequel vous souhaitez voir les demandes.

  4. Sélectionnez Demandes.

  5. Dans la page demandes, sélectionnez la demande dont vous souhaitez afficher les détails et vérifiez que le package d’accès a été correctement remis. affichage des détails de la demande de package d’accès.

Exemple d’action HTTP

L’exemple suivant d’une action qui peut être placée dans le corps HTTP est une application logique qui identifie l’approbateur principal. Vous devez transmettre votre propre variable dans ce code, à l’endroit où vous y êtes invité :

{
  "data": {
    "@@odata.type": "microsoft.graph.assignmentRequestApprovalStageCallbackData",
    "approvalStage": {
      "durationBeforeAutomaticDenial": "P2D",
      "escalationApprovers": [],
      "fallbackEscalationApprovers": [],
      "fallbackPrimaryApprovers": [],
      "isApproverJustificationRequired": false,
      "isEscalationEnabled": false,
      "primaryApprovers": [
        {
          "@@odata.type": "#microsoft.graph.singleUser",
          "description": "This is the primary approver for the access package requested by the user.",
          "id": "<Dynamically assigned variable>",
          "isBackup": false
        }
      ]
    },
    "customExtensionStageInstanceDetail": "A approval stage from Logic Apps",
    "customExtensionStageInstanceId": "@{triggerBody()?['CustomExtensionStageInstanceId']}",
    "stage": "assignmentRequestDeterminingApprovalRequirements"
  },
  "source": "Entra",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated"
}

Bien que l’exemple utilise un ID utilisateur, la section primaryApprovers et escalationApprovers peut contenir n’importe quel objetSet valide. La section d’approbation du code doit suivre les paramètres comme indiqué ici : accessPackageApprovalStage.

Remarque

Bien que l'application Logic soit appelée contre la version bêta de l'API, les paramètres utilisent toujours le point de terminaison v1.0.