Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans la gestion des droits d’utilisation, les approbateurs pour les demandes de package d’accès peuvent être directement affectés ou déterminés dynamiquement. La gestion des droits d’utilisation prend en charge en mode natif les approbateurs lorsqu’ils sont le responsable des demandeurs, leur responsable de second niveau ou un sponsor d’une organisation connectée :
Avec l’inclusion d’extensions personnalisées appelant Azure Logic Apps, vous pouvez déterminer l’approbation en fonction de chacune des propriétés ApprovalStage. Par exemple, si l’utilisateur demandant un package d’accès se trouve dans un service où le leadership a récemment changé, les approbations dynamiques peuvent interroger le système et affecter le nouveau chef de service en tant qu’approbateur.
Cet article vous guide tout au long de la création d’une extension personnalisée, de son application logique Azure sous-jacente, de la définition de son identité et de son rôle attribués par le système dans le catalogue, de la modification de l’action d’application logique pour effectuer une logique métier et des tests pour voir s’il s’exécute correctement.
Conditions requises pour la licence
Cette fonctionnalité nécessite des licences Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour trouver la licence adaptée à vos besoins, consultez Principes fondamentaux des licences de gouvernance des ID Microsoft Entra.
Conditions préalables
- Au moins le rôle de propriétaire du catalogue de gestion des droits d’utilisation où l'extension personnalisée sera créée ou existe.
- Au moins le rôle intégré Azure du contributeur d’application logique sur l’application logique elle-même, le groupe de ressources, l’abonnement ou le groupe d’administration dans lequel se trouve l’application logique.
Créer l’extension personnalisée et l’application logique Azure
Pour créer une extension personnalisée et son application logique Azure sous-jacente, procédez comme suit :
Connectez-vous au Centre d’administration Microsoft Entra en tant que propriétaire du catalogue où se trouve l’extension personnalisée.
Accédez à Gouvernance des identités>Gestion des droits>Catalogues.
Dans la page vue d’ensemble des catalogues, sélectionnez un catalogue existant où se trouve votre extension personnalisée ou créez un catalogue.
Dans la page de catalogue spécifique dans laquelle vous souhaitez créer votre extension personnalisée, sélectionnez Extensions personnalisées.
Sélectionnez Ajouter une extension personnalisée pour ajouter un nom et une description pour l’extension personnalisée. Quand vous avez terminé, sélectionnez Suivant.
Dans la page Type d’extension , sélectionnez Flux de travail de demande (déclenché lorsqu’un package d’accès est demande, approuvé, accordé ou supprimé) et sélectionnez Suivant.
Dans la page Configuration de l’extension , pour Le comportement, sélectionnez Lancer et attendre, pour que les données de réponse sélectionnent l’étape d’approbation (préversion), puis sélectionnez Suivant.
Dans la page Détails , choisissez un abonnement, un groupe de ressources et un nom pour l’application logique en cours de création. Une fois que vous avez entré ces informations, sélectionnez Créer une application logique. Une fois l’application logique créée, sélectionnez Suivant.
Dans la page Vérifier + créer , vérifiez que tous vos détails sont corrects, puis sélectionnez Créer.
Référencer l’extension personnalisée dans une stratégie d’affectation de package d’accès
Une fois que vous avez créé l’extension personnalisée et l’application logique, vous pouvez référencer l’extension personnalisée dans une stratégie d’attribution de package d’accès en procédant comme suit :
Sélectionnez le catalogue où l’extension personnalisée a été créée.
Dans la page catalogue, sélectionnez Packages Access, puis sélectionnez le package d’accès pour la stratégie à mettre à jour.
Dans la page vue d’ensemble du package d’accès, sélectionnez Stratégies, puis sélectionnez la stratégie à modifier.
Dans la page Modifier la stratégie sous Demandes, définissez la zone Exiger l’approbation sur oui et vous pouvez ajouter votre extension personnalisée en tant qu’approbateur. L’exemple montre ici l’extension personnalisée utilisée comme premier approbateur.
Sélectionnez Mettre à jour.
Une fois mis à jour, vous pouvez accéder à la stratégie modifiée et confirmer la modification en sélectionnant les détails de l’étape d’approbation.
Définir l'identité attribuée à l'application logique et lui attribuer un rôle
Une fois l’application logique Azure créée, vous devez activer son identité affectée par le système et lui donner le rôle approprié en procédant comme suit :
Connectez-vous au portail Azure et accédez à l’application logique avec le rôle intégré Azure d’au moins contributeur d’application logique.
Sur la page de vue d'ensemble de l'application logique, allez dans Paramètres>Identité.
Dans la page Identité, activez l'identité gérée attribuée par le système pour l'application logique
Cliquez sur Enregistrer.
De retour dans le Centre d’administration Microsoft Entra en tant que propriétaire du catalogue au moins, accédez au catalogue où vous avez créé l’extension personnalisée, puis sélectionnez Rôles et administrateurs.
Dans la page rôles et administrateurs, sélectionnez Ajouter un gestionnaire d’affectation de package d’accès, puis sélectionnez l’application logique que vous avez créée.
Configurer l’application logique et la logique métier correspondante
Avec l'application Azure Logic App ayant le rôle de gestionnaire d'attribution de package d'accès pour le catalogue, vous devez maintenant accéder à cette application pour la modifier afin qu'elle puisse communiquer avec Microsoft Entra. Pour ce faire, vous devez effectuer les étapes suivantes :
Sur l’application logique créée, allez dans Outils de développement et >.
Dans la page du concepteur, supprimez tout sous le déclencheur manuel , puis sélectionnez le bouton Ajouter une action .
Dans le volet Ajouter une action, sélectionnez HTTP.
Dans le volet HTTP sous Paramètres, entrez les paramètres suivants :
- URI :
https://graph.microsoft.com/v1.0@{triggerBody()?['CallbackUriPath']}
- Method : PUBLIER
- Type d’authentification : identité managée
- Identité managée : identité managée affectée par le système
- Public :
https://graph.microsoft.com
- URI :
Sous Paramètres HTTP, désactivez le modèle asynchrone.
Une fois que vous avez apporté des modifications au déclencheur HTTP, sélectionnez Enregistrer.
Ajouter une logique métier à l’application logique
Avec l’application logique configurée pour la communication avec Microsoft Entra, vous pouvez maintenant ajouter ce que vous souhaitez que l’application fasse. Les actions d’application logique sont ajoutées au corps de la section HTTP que vous avez configurée pour l’application logique. Pour le modifier, procédez comme suit :
Sur l’application logique créée, allez dans Outils de développement et >.
Dans la page du concepteur d’applications logiques, sélectionnez HTTP.
Dans le volet HTTP sous Paramètres, faites défiler jusqu’à Corps et entrez vos données logiques en fonction des paramètres à rechercher. Pour plus d’informations, consultez : Appeler des points de terminaison HTTP ou HTTPS externes à partir de flux de travail dans Azure Logic Apps.
Remarque
Pour un exemple de l’action du corps du message, consultez : exemple d’action HTTP.
Lorsque vous avez terminé d’ajouter votre logique métier, sélectionnez Enregistrer.
Vérifier que l’extension a fonctionné
Pour vérifier que l’extension personnalisée fonctionne, vous pouvez demander l’accès au package d’accès et afficher les détails de la demande via demandes sur la page du package d’accès en procédant comme suit :
Connectez-vous au Centre d’administration Microsoft Entra en tant que propriétaire du catalogue où se trouve l’extension personnalisée.
Conseil / Astuce
D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le gestionnaire de package Access, le gestionnaire d’attributions de package Access et l’administrateur de gouvernance des identités.
Accédez à Gouvernance des identifiants>Gestion des droits>Package d'accès.
Dans la page Packages d’accès, ouvrez le package d’accès pour lequel vous souhaitez voir les demandes.
Sélectionnez Demandes.
Dans la page demandes, sélectionnez la demande dont vous souhaitez afficher les détails et vérifiez que le package d’accès a été correctement remis.
Exemple d’action HTTP
L’exemple suivant d’une action qui peut être placée dans le corps HTTP est une application logique qui identifie l’approbateur principal. Vous devez transmettre votre propre variable dans ce code, à l’endroit où vous y êtes invité :
{
"data": {
"@@odata.type": "microsoft.graph.assignmentRequestApprovalStageCallbackData",
"approvalStage": {
"durationBeforeAutomaticDenial": "P2D",
"escalationApprovers": [],
"fallbackEscalationApprovers": [],
"fallbackPrimaryApprovers": [],
"isApproverJustificationRequired": false,
"isEscalationEnabled": false,
"primaryApprovers": [
{
"@@odata.type": "#microsoft.graph.singleUser",
"description": "This is the primary approver for the access package requested by the user.",
"id": "<Dynamically assigned variable>",
"isBackup": false
}
]
},
"customExtensionStageInstanceDetail": "A approval stage from Logic Apps",
"customExtensionStageInstanceId": "@{triggerBody()?['CustomExtensionStageInstanceId']}",
"stage": "assignmentRequestDeterminingApprovalRequirements"
},
"source": "Entra",
"type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated"
}
Bien que l’exemple utilise un ID utilisateur, la section primaryApprovers et escalationApprovers peut contenir n’importe quel objetSet valide. La section d’approbation du code doit suivre les paramètres comme indiqué ici : accessPackageApprovalStage.
Remarque
Bien que l'application Logic soit appelée contre la version bêta de l'API, les paramètres utilisent toujours le point de terminaison v1.0.