Munkafolyamat-kapcsolatok hitelesítése védett Azure-erőforrásokhoz felügyelt identitások használatával az Azure Logic Appsben

A következőkre vonatkozik: Azure Logic Apps (Fogyasztás + Standard)

Felügyelt identitás beállítása, ha a logikai alkalmazás munkafolyamataiból a Microsoft Entra által védett Azure-erőforrásokba való kapcsolatokat szeretné hitelesíteni. Ez az identitás a logikai alkalmazás nevében hozzáfér a védett erőforrásokhoz, és megszünteti a hitelesítő adatok, titkos kódok vagy hozzáférési jogkivonatok tárolásának és kezelésének szükségességét. Emiatt a hitelesítéshez felügyelt identitás használata javasolt. Az Azure kezeli ezt az identitást a hitelesítési adatok biztonságának megőrzése érdekében.

Az Azure Logic Appsben számos összekötő támogatja mindkét felügyelt identitástípust:

  • Rendszer által hozzárendelt identitás
  • Felhasználó által hozzárendelt identitás

Ez az útmutató a következő feladatok elvégzését mutatja be:

  • Állítsa be a rendszer által hozzárendelt identitást a logikai alkalmazás erőforrásán.
  • Hozzon létre és állítson be egy felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásán.

Ez az útmutató az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) lépéseit ismerteti. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében lásd:

Eszköz Dokumentáció
Azure PowerShell - Rendszer által hozzárendelt
- Felhasználó által hozzárendelt
Azure CLI - Rendszer által hozzárendelt
- Felhasználó által hozzárendelt
Azure REST API - Rendszer által hozzárendelt
- Felhasználó által hozzárendelt

További információkért lásd:

Előfeltételek

A felügyelt identitások használatának szempontjai

A felügyelt identitás logikai alkalmazással való beállítása és használata előtt tekintse át az alábbi szempontokat:

  • A logikai alkalmazás erőforrása csak egy egyedi rendszer által hozzárendelt identitással rendelkezik.

    Alapértelmezés szerint a standard logikai alkalmazások automatikusan engedélyezik a rendszer által hozzárendelt identitást.

  • A logikai alkalmazás erőforrása egyszerre engedélyezheti a rendszer által hozzárendelt identitást és egy vagy több felhasználó által hozzárendelt identitást.

    • A logikai alkalmazás használhatja a rendszer által hozzárendelt vagy a felhasználó által hozzárendelt identitást, de nem egyszerre mindkettőt.

    • A logikai alkalmazás egyszerre csak egy felhasználó által hozzárendelt identitást használhat.

  • A logikai alkalmazás erőforrása ugyanazt a felhasználó által hozzárendelt identitást oszthatja meg más logikaialkalmazás-erőforrások között.

  • A felügyelt identitást a logikai alkalmazás erőforrás- és kapcsolatszintjén használhatja.

  • Standard logikai alkalmazások esetén a hibrid üzembe helyezési lehetőség nem támogatja a felügyelt identitáshitelesítést. Ehelyett inkább egy alkalmazásregisztrációt kell létrehoznia és használnia.

További információkért lásd:

Felügyelt identitásokat támogató összekötők

Ahhoz, hogy az Azure Logic Apps beépített és felügyelt összekötői műveletei támogatják a felügyelt identitáshitelesítést, támogatniuk kell az OAuthot a Microsoft Entra-nal.

Az alábbi táblázatok olyan minta-összekötőket mutatnak be, amelyek támogatják a felügyelt identitás hitelesítését a logikai alkalmazás típusa alapján.

Összekötő típusa Támogatott összekötők
Beépítve - Azure API Management
- Azure-alkalmazás Szolgáltatások
- Azure Functions
- HTTP
- HTTP + Webhook

Megjegyzés: A HTTP-műveletek a rendszer által hozzárendelt identitással hitelesíthetik az Azure Storage-fiókokhoz való kapcsolatokat az Azure-tűzfalak mögött. A HTTP-műveletek azonban nem támogatják a felhasználó által hozzárendelt identitást ugyanazon kapcsolatok hitelesítéséhez.
Felügyelt - Azure-alkalmazás szolgáltatás
- Azure Automation
- Azure Blob Storage (Azure Blob-tároló)
- Azure Konténerpéldány
- Azure Cosmos DB
- Azure Data Explorer
- Azure Data Factory
- Azure Data Lake
- Azure Digital Twins
- Azure Event Grid
- Azure Event Hubs
- Azure IoT Central V2
- Azure Key Vault
-Azure Monitor-naplók
– Azure-üzenetsorok
- Azure Resource Manager
- Azure Service Bus
- Microsoft Sentinel
- Azure Táblatárolás
– Azure-beli virtuális gép
- SQL Server

A teljesebb listát a következő témakörben találja:

Rendszer által hozzárendelt identitás engedélyezése (portál)

A logikai alkalmazás típusa alapján kövesse az Azure Portal megfelelő lépéseit:

A Fogyasztási logikai alkalmazás-erőforráson manuálisan engedélyezze a rendszer által rendelt identitást.

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. A logikai alkalmazás oldalsávján, a Beállítások területen válassza az Identitás lehetőséget.

  3. Az Identitás lapon, a Hozzárendelt rendszer csoportban válassza a Be, majd a Mentés lehetőséget. A megerősítéshez válassza az Igen lehetőséget.

    Képernyőkép az Azure Portálról, a Fogyasztás logikai alkalmazásról, az Identitás lapról és a Rendszer által hozzárendelt lapról a kiválasztott beállításokkal, a Be és a Mentés opcióval.

    A logikai alkalmazás erőforrása mostantól használhatja a rendszer által hozzárendelt identitást. Ez az identitás a Microsoft Entra-azonosítóval van regisztrálva, és egy objektumazonosító jelöli.

    Képernyőkép a Használat logikai alkalmazás identitáslapjáról és a rendszer által hozzárendelt identitás objektumazonosítójáról.

    Tulajdonság Érték Leírás
    Objektum (egyszerű) azonosítója < identity-resource-ID> Globálisan egyedi azonosító (GUID), amely egy Microsoft Entra-bérlőben a logikai alkalmazás rendszer által hozzárendelt identitását jelöli.

  4. Adjon hozzáférést az identitásnak a védett erőforráshoz.

Rendszer által hozzárendelt identitás engedélyezése (ARM-sablon)

A logikaialkalmazás-erőforrások létrehozásának és üzembe helyezésének automatizálásához használjon ARM-sablont.

A sablon gyökérszintjén a logikai alkalmazás erőforrásdefiníciója megköveteli, hogy egy identity objektum legyen, amelynek a type tulajdonsága SystemAssigned:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Amikor az Azure létrehozza a logikai alkalmazás erőforrásdefinícióját, az objektum a identity következőket principalId és tenantId tulajdonságokat kapja:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}
Tulajdonság (JSON) Érték Leírás
principalId < principal-ID> A Microsoft Entra által a felügyelt identitás szolgáltatásnév objektumának kezelésére használt globálisan egyedi azonosító (GUID) a Microsoft Entra-bérlőben. Ez a GUID néha "objektumazonosítóként" vagy objectID jelenik meg.
tenantId < Microsoft-Entra-tenant-ID> A globálisan egyedi azonosító (GUID), amely annak a Microsoft Entra-bérlőnek a tagját jelöli, amelybe a logikai alkalmazás most tartozik. A Microsoft Entra-bérlőn belül a szolgáltatásnév neve megegyezik a logikai alkalmazáspéldány nevével.

Felhasználó által hozzárendelt identitás létrehozása (portál)

Az identitást különálló Azure-erőforrásként kell létrehoznia, mielőtt engedélyezheti a felhasználó által hozzárendelt identitást a fogyasztás vagy standard Logic App erőforrásban.

  1. Az Azure Portal keresőmezőjében adja meg a következőt managed identities: Az eredmények listájában válassza a Felügyelt identitások lehetőséget.

    Képernyőkép az Azure Portalról a felügyelt identitások nevű kiválasztott beállítással.

  2. A Felügyelt identitások lap eszköztárán válassza a Létrehozás opciót.

  3. Adja meg a felügyelt identitás adatait, például:

    Képernyőkép a Felhasználó által hozzárendelt felügyelt identitás létrehozása nevű lapról a felügyelt identitás részleteivel.

    Tulajdonság Kötelező Érték Leírás
    Előfizetés Igen < Azure-előfizetés-neve> Az Azure-előfizetés neve.
    Erőforráscsoport Igen < Azure-erőforráscsoport-neve> Az Azure-erőforráscsoport neve. Hozzon létre egy új csoportot, vagy válasszon ki egy meglévő csoportot. Ez a példa létrehoz egy új csoportot .fabrikam-managed-identities-RG
    Régió Igen < Azure-régió> Az Azure-régió, ahol az erőforrással kapcsolatos információkat tárolhatja. Ez a példa a következőt használja: West US.
    Név Igen < felhasználó által meghatározott identitásnév> A felhasználó által hozzárendelt identitásnak adandó név. Ez a példa a következőt használja: Fabrikam-user-assigned-identity.
    Elkülönítési hatókör Nem - Nincs (alapértelmezett)
    - Régió    		 A felügyelt identitás érvényes hatóköre.

  4. Ha végzett, válassza a Véleményezés + létrehozás lehetőséget.

    Miután az Azure ellenőrzi az adatokat, az Azure létrehozza a felügyelt identitást. Most már hozzáadhatja a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásához.

Felhasználó által hozzárendelt identitás hozzáadása a logikai alkalmazáshoz (portál)

A felhasználó által hozzárendelt identitás létrehozása után adja hozzá az identitást a Consumption vagy a Standard logikai alkalmazás erőforrásához.

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. A logikai alkalmazás oldalsávján, a Beállítások területen válassza az Identitás lehetőséget.

  3. Az Identitás lapon válassza a Felhasználó által hozzárendeltet, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép a Consumption logikai alkalmazásról és az Identitás lapról, amelyen a Hozzáadás lehetőség van kiválasztva.

  4. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen kövesse az alábbi lépéseket:

    1. Az Előfizetés kiválasztása listából válassza ki az Azure-előfizetését.

    2. A felügyelt identitások listájában válassza ki a felhasználó által hozzárendelt identitást.

      A lista szűréséhez a Felhasználó által hozzárendelt felügyelt identitások keresőmezőbe írja be az identitás vagy erőforráscsoport nevét, például:

      Képernyőkép, amely egy Fogyasztás logikai appról és a kiválasztott, felhasználó által hozzárendelt identitásról mutat.

    3. Amikor végzett, válassza a Hozzáadás lehetőséget.

    A logikai alkalmazás most már a felhasználó által hozzárendelt identitáshoz van társítva.

    Képernyőkép egy fogyasztási logikai alkalmazásról, amelyhez felhasználó által hozzárendelt identitás tartozik.

  5. Adjon hozzáférést az identitásnak a védett erőforráshoz.

Felhasználó által hozzárendelt identitás létrehozása (ARM-sablon)

A logikaialkalmazás-erőforrások létrehozásának és üzembe helyezésének automatizálásához használjon ARM-sablont. Ezek a sablonok támogatják a felhasználó által hozzárendelt identitásokat a hitelesítéshez.

A sablon szakaszában resources a logikai alkalmazás erőforrásdefiníciójához a következő elemek szükségesek:

  • Egy identity objektum, amelynek a tulajdonsága type a következőre UserAssignedvan állítva: .
  • userAssignedIdentities Gyermekobjektum, amely megadja a felhasználó által hozzárendelt erőforrást és nevet.

Az alábbi példa egy használatalapú logikai alkalmazás erőforrását és munkafolyamat-definícióját mutatja be egy nemparaméteres PUT objektummal rendelkező HTTP-kéréshezidentity. A kérésre adott válasz és az PUT azt követő GET művelet is tartalmazza ezt az identity objektumot.

A fogyasztási logikai alkalmazás erőforrása engedélyezhető, és rendelkezhet a rendszer által hozzárendelt identitással és több felhasználó által hozzárendelt identitásokkal is.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Ha a sablon tartalmazza a felügyelt identitás erőforrásdefinícióját, paraméterezheti az identity objektumot. Az alábbi példa bemutatja, hogyan hivatkozik a userAssignedIdentities gyermekobjektum egy userAssignedIdentityName , a sablon variables szakaszában definiált változóra. Ez a változó a felhasználó által hozzárendelt identitás erőforrás-azonosítóra hivatkozik.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters('Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Amikor a sablon létrehozza a logikai alkalmazás erőforrásdefinícióját, az objektum a identity következőket principalId és clientId tulajdonságokat tartalmazza:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-ID>": {
            "principalId": "<principal-ID>",
            "clientId": "<client-ID>"
        }
    }
}
Tulajdonság (JSON) Érték Leírás
principalId < principal-ID> A Microsoft Entra által használt globálisan egyedi azonosító (GUID) a Microsoft Entra bérlőjében a szolgáltatásprincipál objektum felügyeletére a felügyelt identitás esetén. Ez a GUID néha "objektumazonosítóként" vagy objectID jelenik meg. A Microsoft Entra-bérlőben a szolgáltatásnév neve megegyezik a logikai alkalmazáspéldány nevével.
clientId < ügyfél-azonosító> A logikai alkalmazás identitását jelképező globálisan egyedi azonosító (GUID), amely megadja a futtatókörnyezeti hívások során használni kívánt identitást.

További információ az Azure Resource Manager-sablonokról és az Azure Functions felügyelt identitásairól: ARM-sablon – Azure Functions.

Erőforrás-hozzáférés megadása egy identitáshoz

Mielőtt használhatja a felügyelt identitást a hitelesítéshez, hozzáférést kell adnia az identitásnak a célként megadott védett Azure-erőforráshoz. A hozzáférés beállítása a célerőforrástól függően eltérő lehet, például:

  • Azure szerepköralapú hozzáférés-vezérlés (RBAC)

    Egyes Azure-erőforrások, például tárfiókok esetében az RBAC használatával kell szerepkört hozzárendelni a célerőforráshoz az identitásához szükséges engedélyekkel.

    Ha például egy felügyelt identitáshoz szeretne hozzáférést adni egy Azure-beli Blob Storage-fiókhoz, hozzá kell rendelnie a tárfiók-erőforráshoz szükséges Azure-szerepkört az identitásához.

    Ez a szakasz bemutatja, hogyan rendelhet hozzá szerepkört az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatával.

    Az Azure PowerShell, az Azure CLI és az Azure REST API esetében lásd:

    Eszköz Dokumentáció
    Azure PowerShell Szerepkör hozzáadása
    Azure CLI Szerepkör hozzáadása
    Azure REST API Szerepkör hozzáadása

  • Hozzáférési szabályzat

    Más Azure-erőforrások, például kulcstartók is lehetővé teszik, hogy hozzáférési szabályzatot hozzon létre a célerőforráson az identitásához szükséges engedélyekkel.

    Létrehozhat például egy hozzáférési szabályzatot a Key Vault-erőforráson a felügyelt identitáshoz szükséges engedélyek hozzárendeléséhez.

    Ez a szakasz bemutatja, hogyan hozhat létre hozzáférési szabályzatot az Azure Portal használatával.

    A Resource Manager-sablonok, az Azure PowerShell és az Azure CLI esetében lásd:

    Eszköz Dokumentáció
    Azure Resource Manager-sablon (ARM-sablon) Key Vault hozzáférési szabályzat erőforrásdefiníciója
    Azure PowerShell Key Vault-hozzáférési szabályzat hozzárendelése
    Azure CLI Key Vault-hozzáférési szabályzat hozzárendelése

Felügyelt identitás hozzáférése magasabb szintű erőforrásokhoz

Ha egy felügyelt identitás hozzáféréssel rendelkezik egy erőforráshoz ugyanabban az előfizetésben, az identitás csak az adott erőforráshoz férhet hozzá, az erőforrás szülőhierarchiájában lévő többi erőforráshoz nem. A munkafolyamat-tervezőben egyes eseményindítókhoz és műveletekhez először ki kell választania egy előfizetést vagy erőforráscsoportot, mielőtt kijelölheti a célerőforrást. Ha az identitás nem fér hozzá ezekhez a magasabb szintű erőforrásokhoz, a tervező nem jeleníti meg a célerőforrást.

A probléma megoldásához adjon hozzáférést az identitásnak minden olyan magasabb szintű erőforráshoz, amelyet először ki kell választania.

Más esetekben az identitásnak hozzá kell férnie ahhoz az erőforráshoz is, ahol engedélyezte az identitást. Tegyük fel például, hogy van egy munkafolyamat-művelete, amely frissíti a munkafolyamat szülőlogikaalkalmazásának alkalmazásbeállítását. Ha a művelet felügyelt identitással fér hozzá ezekhez a beállításokhoz, adjon hozzáférést az identitásnak a szülő logikai alkalmazáshoz.

Szerepköralapú hozzáférés hozzárendelése felügyelt identitáshoz (portál)

Azon Azure-erőforrások esetében, amelyekhez szerepkört kell hozzárendelnie a felügyelt identitáshoz, kövesse az alábbi lépéseket:

  1. Az Azure Portalon nyissa meg azt az erőforrást, amelyhez az identitásnak hozzáférésre van szüksége.

    Ez a példa egy tárfiókot használ cél Azure-erőforrásként.

  2. Az erőforrás oldalsávján válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. A Hozzáférés-vezérlés (IAM) lap eszköztárán válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.

    Feljegyzés

    Ha nem tudja kiválasztani a Szerepkör-hozzárendelés hozzáadása lehetőséget, nem rendelkezik a szerepkörök hozzárendeléséhez szükséges engedélyekkel. Microsoft Entra rendszergazdai engedélyekre van szüksége, hogy szerepköröket rendelhesse hozzá a felügyelt identitásokhoz.

  4. A szükséges szerepkör felügyelt identitáshoz való hozzárendeléséhez kövesse az alábbi lépéseket:

    1. A Szerepkör lapon keresse meg és válassza ki azt a Beépített Microsoft Entra szerepkört , amely biztosítja az identitásának az aktuális erőforráshoz való szükséges hozzáférést, majd válassza a Tovább gombot.

      Ez a példa a Storage Blob Data Contributor nevű szerepkört választja ki. Ez a szerepkör írási hozzáférést biztosít egy Azure Storage-tároló blobtartalmaihoz.

      További információt az Azure Storage-tárolóban blobtartalmakat elérő szerepkörökben talál.

    2. A Tagok lapon kövesse az alábbi lépéseket a felügyelt identitás kiválasztásához:

      1. A hozzáférés hozzárendeléséhez válassza a Felügyelt identitást.

      2. Tagok hozzáadása esetén válassza a + Tagok kijelölése lehetőséget.

      3. A Felügyelt identitások kiválasztása panelen válassza ki az Azure-előfizetését.

      4. A felügyelt identitás alapján válassza ki a felügyelt identitás típusát, majd válassza ki a felügyelt identitást.

        Felügyelt identitás típusa Leírás
        Felhasználó által hozzárendelt felügyelt identitás A felhasználó által hozzárendelt felügyelt identitás megtekintése és kiválasztása bármely Azure-erőforráson.
        Minden rendszer által hozzárendelt felügyelt identitás Egy engedélyezett, rendszer által hozzárendelt felügyelt identitás megtekintése és kiválasztása bármely Azure-erőforráson.
        Logikai alkalmazás Csak a logikai alkalmazás erőforrásain tekintheti meg és választhatja ki az engedélyezett felügyelt identitásokat.

      5. Amikor végzett, válassza a Kiválasztás lehetőséget.

    További információkért lásd:

  5. Hitelesítse az eseményindítót vagy a műveletet a felügyelt identitás használatával.

Hozzáférési szabályzat létrehozása az Azure Portalon

Azon Azure-erőforrások esetében, amelyekhez hozzáférési szabályzatot szeretne létrehozni a felügyelt identitáshoz, kövesse az alábbi lépéseket:

  1. Az Azure Portalon nyissa meg azt az erőforrást, amelyhez az identitásnak hozzáférésre van szüksége.

    Ez a példa egy kulcstárat használ mint cél Azure-erőforrást.

  2. Az erőforrás oldalsávján válassza az Access-szabályzatok lehetőséget.

    Feljegyzés

    Ha az erőforrás nem rendelkezik hozzáférési szabályzatokkal , rendeljen hozzá helyette egy szerepkört.

  3. A lap eszköztárán válassza a Létrehozás lehetőséget a Hozzáférési szabályzat létrehozása panel megnyitásához.

    Képernyőkép az Azure Portalról és egy key vault-példáról, amelyen megnyitott, hozzáférési szabályzat létrehozása nevű panel látható.

  4. Az Engedélyek lapon válassza ki azokat az engedélyeket, amelyekre az identitásnak szüksége van a célerőforráshoz való hozzáféréshez.

    Ha például az identitást az Azure Key Vault által felügyelt összekötő Titkos kulcsok listájának műveletével szeretné használni, az identitásnak listaengedélyekre van szüksége. Ebben a forgatókönyvben tehát a Titkos kódok oszlopban válassza a Lista lehetőséget.

    Képernyőkép a Kijelölt listaengedélyekkel rendelkező Engedélyek lapról.

  5. Ha végzett, válassza a Tovább gombot.

  6. Az Egyszerű lapon válassza ki a felügyelt identitást.

    Ez a példa egy felhasználó által hozzárendelt identitást jelöl ki.

  7. Hagyja ki az opcionális alkalmazáslépést, válassza a Tovább lehetőséget, és fejezze be a hozzáférési szabályzat létrehozását.

  8. Hitelesítse az eseményindítót vagy a műveletet a felügyelt identitás használatával.

Hozzáférés hitelesítése a felügyelt identitással

Ez a szakasz bemutatja, hogyan lehet felügyelt identitással hitelesíteni a felügyelt identitáshitelesítést támogató munkafolyamat-eseményindítók vagy műveletek hozzáférését. A példa onnan folytatódik, ahol az RBAC és egy Azure Storage-fiók használatával beállította a felügyelt identitáshoz való hozzáférést. Bár a cél Azure-erőforrás eltérő lehet, az általános lépések többnyire hasonlóak.

Fontos

Ha olyan Azure-függvénye van, amelyben a rendszer által hozzárendelt identitást szeretné használni, először engedélyezze az Azure Functions hitelesítését.

Az alábbi lépések bemutatják, hogyan használhatja a felügyelt identitást az Azure Portal használatával. Ha a felügyelt identitást a mögöttes JSON-definícióban szeretné használni a kódszerkesztővel, tekintse meg a felügyelt identitás hitelesítését.

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. Ha még nem tette meg, adja hozzá a felügyelt identitásokat támogató eseményindítót vagy műveletet.

  3. Az eseményindítón vagy a műveleten kövesse az alábbi lépéseket:

    • Beépített műveletek

      Ezek a lépések példaként a HTTP-műveletet használják.

      1. A Speciális paraméterek listájában válassza ki a Hitelesítési paramétert.

        Képernyőkép egy fogyasztási munkafolyamatról, amely beépített HTTP-művelettel rendelkezik, és egy Speciális paraméterek nevű megnyitott listát mutat, kiválasztott hitelesítési beállítással.

        A Hitelesítési paraméter és a Hitelesítési típuslista is megjelenik, például:

        Képernyőkép a Speciális paraméterek szakaszról a Hitelesítés tulajdonsággal és a Hitelesítés típuslistával.

      2. A Hitelesítés típusa listából válassza a Felügyelt identitás lehetőséget.

        Képernyőkép egy munkafolyamatról, amely beépített művelettel, megnyitott hitelesítési típuslistával és a felügyelt identitáshoz kiválasztott beállítással rendelkezik.

        A Hitelesítés szakasz a következő lehetőségeket jeleníti meg:

        Paraméter Leírás
        Felügyelt identitás A használni kívánt felügyelt identitás.
        Hallgatóság Meghatározott eseményindítókon és műveleteken jelenik meg, így beállíthatja az Azure-célerőforrás vagy -szolgáltatás erőforrás-azonosítóját.

        Alapértelmezés szerint a Célközönség paraméter az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

      3. A felügyelt identitások listájában válassza ki a kívánt identitást, például:

        Képernyőkép a Hitelesítés szakaszról a Hitelesítési típus listával és az Audience tulajdonsággal.

        Feljegyzés

        Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitás a kiválasztott beállítás, még akkor is, ha nem engedélyezi a felügyelt identitásokat. A felügyelt identitás sikeres használatához azonban először engedélyeznie kell ezt az identitást a logikai alkalmazásban. A használati logikai alkalmazások nem engedélyezik automatikusan a rendszeridentitást a Standard logikai alkalmazásokkal ellentétben.

      További információ : Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással.

    • Felügyelt összekötőműveletek

      1. A Kapcsolat létrehozása panel hitelesítési listájában válassza a Felügyelt identitás lehetőséget, például:

        Képernyőkép a fogyasztási munkafolyamatról, az Azure Resource Manager művelettel és egy kiválasztott felügyelt identitás beállítással.

      2. A következő ablaktáblán a Kapcsolat neve mezőben adja meg a kapcsolathoz használni kívánt nevet.

      3. Az összekötő alapján válasszon az alábbi lehetőségek közül:

        • Egyszeri hitelesítés: Ezek az összekötők csak egy hitelesítési típust támogatnak, amely ebben az esetben a felügyelt identitás.

          Az alábbi lépések egy Azure-erőforrás-műveletet használnak példaként:

          1. A felügyelt identitások listájában válassza ki az aktuálisan engedélyezett felügyelt identitást.

          2. Válassza az Új létrehozása lehetőséget.

        • Több hitelesítés: Ezek az összekötők több hitelesítési típust is támogatnak, de egyszerre csak egy típust választhat ki és használhat.

          Az alábbi lépések egy Azure Blob Storage-műveletet használnak példaként:

          1. A Hitelesítési típus listából válassza a Logic Apps felügyelt identitását.

            Képernyőkép a Fogyasztási munkafolyamatról, a kapcsolatteremtési mezőről, valamint a Logic Apps felügyelt identitáshoz kiválasztott beállításról.

          2. Válassza az Új létrehozása lehetőséget.

          További információkért lásd a következőt: Példa: Felügyelt összekötő eseményindítójának vagy műveletének hitelesítése felügyelt identitással.

Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással

A beépített HTTP-eseményindító vagy -művelet használhatja a logikai alkalmazás erőforrásán engedélyezett rendszer által hozzárendelt identitást. A HTTP-eseményindító vagy -művelet általában a következő tulajdonságokat használja a elérni kívánt erőforrás vagy entitás megadásához:

Tulajdonság Kötelező Leírás
Módszer Igen A futtatni kívánt művelet HTTP-metódusa
URI Igen A cél Azure-erőforrás vagy entitás elérésének végponti URL-címe. Az URI szintaxis általában tartalmazza a cél Azure-erőforrás vagy szolgáltatás erőforrás-azonosítóját.
Fejlécek Nem Minden olyan fejlécérték, amelyet a kimenő kérelemben fel szeretne venni vagy fel szeretne venni, például a tartalomtípus
Lekérdezések Nem Minden olyan lekérdezési paraméter, amelyet fel szeretne venni a kérésbe. Lekérdezési paraméterek például egy adott művelethez vagy a futtatni kívánt művelet API-verziójához.
Hitelesítés Igen Az Azure-célerőforráshoz vagy szolgáltatáshoz való hozzáférés hitelesítéséhez használandó hitelesítési típus

Konkrét példaként tegyük fel, hogy a Snapshot Blob műveletet egy olyan blobon szeretné futtatni az Azure Storage-fiókban, ahol korábban beállította az identitáshoz való hozzáférést. Az Azure Blob Storage-összekötő azonban jelenleg nem kínálja ezt a műveletet. Ehelyett a HTTP-művelettel vagy egy másik Blob Service REST API-művelettel futtathatja ezt a műveletet.

Fontos

Ha az Azure Storage-fiókokat tűzfalak mögött szeretné elérni az Azure Blob Storage-összekötő és a felügyelt identitások használatával, győződjön meg arról, hogy a tárfiókot is beállítja a megbízható Microsoft-szolgáltatások által hozzáférést engedélyező kivétellel.

A Pillanatkép-blob művelet futtatásához a HTTP-művelet a következő tulajdonságokat adja meg:

Tulajdonság Kötelező Példaérték Leírás
URI Igen https://<storage-account-name>/<folder-name>/{name} Az Azure Blob Storage-fájl erőforrás-azonosítója az Azure Global (nyilvános) környezetben, amely ezt a szintaxist használja.
Módszer Igen PUT A Pillanatkép-blob művelet által használt HTTP-metódus.
Fejlécek Az Azure Storage számára x-ms-blob-type = BlockBlob

x-ms-version = 2024-05-05

x-ms-date = formatDateTime(utcNow(),'r')		 Az Azure Storage-műveletekhez szükség van a x-ms-blob-type, x-ms-version és x-ms-date fejléc értékekre.

Fontos: Az Azure Storage kimenő HTTP-eseményindítóiban és műveleti kérelmeiben a fejléchez a x-ms-version futtatni kívánt művelet tulajdonsága és API-verziója szükséges. Az x-ms-date értéknek az aktuális dátumnak kell lennie. Ellenkező esetben a munkafolyamat 403 FORBIDDEN hibával sikertelen lesz. Ha az aktuális dátumot a szükséges formátumban szeretné lekérni, használhatja a kifejezést a példaértékben.

További információ:

- Kérések fejlécei – Pillanatkép-adatcsomó
- Verziószámozás az Azure Storage-szolgáltatásokhoz
Lekérdezések Csak a Pillanatkép-blob művelethez comp = snapshot A művelet lekérdezési paraméterének neve és értéke.

  1. A munkafolyamat-tervezőben adja hozzá a kívánt eseményindítót, majd adja hozzá a HTTP-műveletet .

    Az alábbi példa egy HTTP-mintaműveletet mutat be a Snapshot Blob művelethez használandó összes korábban leírt tulajdonságértékkel:

    Képernyőkép az Azure Portalról, a használati munkafolyamatról és az erőforrások eléréséhez beállított HTTP-műveletről.

  2. A HTTP-műveletSpeciális paraméterek listájában válassza a Hitelesítés lehetőséget.

    Képernyőkép a Fogyasztási munkafolyamatról HTTP-művelettel és megnyitott fejlett paraméterek listájáról, amelyben a Hitelesítés nevű tulajdonság van kiválasztva.

    A Hitelesítés szakasz megjelenik a HTTP-műveletben .

  3. A Hitelesítés típusa listából válassza a Felügyelt identitás lehetőséget.

    Képernyőkép a Fogyasztási munkafolyamatról, a HTTP-műveletről és a Hitelesítési típus tulajdonságról a kiválasztott felügyelt identitás opcióval.

  4. A felügyelt identitások listájában válasszon a forgatókönyve alapján elérhető lehetőségek közül.

    • Ha beállítja a rendszer által hozzárendelt identitást, válassza a rendszer által hozzárendelt felügyelt identitást.

      Képernyőkép a Használat munkafolyamatról, a HTTP-műveletről és a Felügyelt identitás tulajdonságról a rendszer által hozzárendelt felügyelt identitás kiválasztott beállításával.

    • Ha beállítja a felhasználó által hozzárendelt identitást, válassza ki ezt az identitást.

      Képernyőkép a Fogyasztási munkafolyamatról, a HTTP műveletről és a kezelt identitás tulajdonságról a kiválasztott, felhasználó által hozzárendelt identitással.

    Ez a példa a rendszer által hozzárendelt felügyelt identitással folytatódik.

  5. Egyes triggerek és műveletek a Célközönség paramétert jelenítik meg, így megadhatja a cél Azure-erőforrás vagy szolgáltatás erőforrás-azonosítóját.

    Ha például hitelesíteni szeretné a Key Vault-erőforráshoz való hozzáférést a globális Azure-felhőben, állítsa az Audience paramétert pontosan a következő erőforrás-azonosítóra: https://vault.azure.net

    Ellenkező esetben a Célközönség paraméter alapértelmezés szerint az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

    Fontos

    A célerőforrás-azonosítónak pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. Ellenkező esetben előfordulhat, hogy 400-ás hibás kérés vagy 401 Jogosulatlan hiba jelenik meg . Ha az erőforrás-azonosító tartalmaz záró perjeleket, vegye fel őket. Ha nem, ne vegye fel őket.

    Az összes Azure Blob Storage-fiók erőforrás-azonosítója például egy záró perjelet igényel. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Ellenőrizze a Microsoft Entra-azonosítót támogató Azure-szolgáltatások erőforrás-azonosítóit.

    Az alábbi példa a Célközönség paramétert állítja be a következőre https://storage.azure.com/: . Ez az érték azt jelenti, hogy a hitelesítéshez használt hozzáférési jogkivonatok az összes tárfiókra érvényesek. Egy adott tárfiók esetében adja meg a gyökérszolgáltatás URL-címét. https://<your-storage-account>.blob.core.windows.net

    Képernyőkép a Fogyasztási munkafolyamatról és a HTTP-műveletről, amelynek Audiencia tulajdonsága a célerőforrás-azonosítóra van beállítva.

    További információkért lásd:

  6. Folytassa a munkafolyamat elkészítését a forgatókönyv alapján.

Példa: Felügyelt összekötő-eseményindító vagy művelet hitelesítése felügyelt identitás használatával

A felügyelt Azure Resource Manager-összekötő egy Olvasás egy erőforrás olvasása nevű műveletével rendelkezik, amely használhatja a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást. Ez a példa bemutatja, hogyan használhatja a rendszer által hozzárendelt felügyelt identitást egy felügyelt összekötővel.

  1. A munkafolyamat-tervezőben adja hozzá az Erőforrás olvasása nevű Azure Resource Manager-műveletet.

  2. A Kapcsolat létrehozása panel Hitelesítési listájában válassza a Felügyelt identitás lehetőséget, majd válassza a Bejelentkezés lehetőséget.

    Feljegyzés

    Egyes összekötőkben a Hitelesítési típus lista ehelyett a Logic Apps felügyelt identitását jeleníti meg. Ha a forgatókönyv ezt a lehetőséget jeleníti meg, válassza ezt a lehetőséget.

    Képernyőkép mutatja a Fogyasztási munkafolyamatot, az Azure Resource Manager műveletet, a megnyitott hitelesítési listát és a kiválasztott felügyelt identitás opciót.

  3. Adja meg a kapcsolat nevét, és válassza ki a kívánt felügyelt identitást.

    Ha engedélyezte a rendszer által hozzárendelt identitást, a felügyelt identitáslista automatikusan kiválasztja a rendszer által hozzárendelt felügyelt identitást. Ha ehelyett engedélyezte a felhasználó által hozzárendelt identitást, a lista automatikusan kiválasztja a felhasználó által hozzárendelt identitást.

    Ebben a példában a rendszer által hozzárendelt felügyelt identitás az egyetlen választható lehetőség.

    A képernyőképen a fogyasztási munkafolyamat és az Azure Resource Manager művelet látható a megadott kapcsolatnévvel, valamint a rendszer által hozzárendelt felügyelt identitás kiválasztott opciójával.

    Feljegyzés

    Ha nem engedélyezi a felügyelt identitást a kapcsolat létrehozásakor vagy módosításakor, vagy ha eltávolítja a felügyelt identitást, miközben továbbra is létezik egy felügyelt identitással kompatibilis kapcsolat, hibaüzenet jelenik meg, amely szerint engedélyeznie kell az identitást, és hozzáférést kell adnia a célerőforráshoz.

  4. Amikor végzett, válassza az Új létrehozása lehetőséget.

    A kapcsolat létrehozása után a tervező lekérheti a dinamikus értékeket, tartalmakat vagy sémákat a felügyelt identitáshitelesítés használatával.

  5. Folytassa a munkafolyamat elkészítését a forgatókönyv alapján.

Kapcsolatok felügyelt identitásokkal a logikai alkalmazás erőforrás-definícióiban

A felügyelt identitás által hitelesített kapcsolattípus egy speciális kapcsolattípus, amely csak felügyelt identitással működik. A munkafolyamat-futtatókörnyezetben a kapcsolat a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használja. Az Azure Logic Apps ellenőrzi, hogy a munkafolyamatban található felügyelt összekötő-műveletek használják-e a felügyelt identitást, és hogy létezik-e minden szükséges engedély a felügyelt identitás használatához a megfelelő célerőforrások eléréséhez. Ha ez az ellenőrzés sikeres, az Azure Logic Apps lekéri a felügyelt identitáshoz társított Microsoft Entra-jogkivonatot, az identitással hitelesíti a cél Azure-erőforrásokhoz való hozzáférést, és végrehajtja a munkafolyamat megfelelő műveleteit.

A Fogyasztási logikai alkalmazás erőforrásában a kapcsolatkonfigurációt az erőforrásdefiníció parameters objektumában menti. Ez az objektum tartalmazza azt az $connections objektumot, amely a felhasználó által hozzárendelt identitás engedélyezésekor a kapcsolat erőforrás-azonosítójára mutató mutatókat és a felügyelt identitás erőforrás-azonosítóját tartalmazza.

Az alábbi példa azt az parameters objektumot mutatja be, amikor a rendszer által hozzárendelt identitás engedélyezve van egy logikai alkalmazásban:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Az alábbi példa azt az parameters objektumot mutatja be, amikor a felhasználó által hozzárendelt felügyelt identitás engedélyezve van egy logikai alkalmazásban:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

ARM-sablon API-kapcsolatokhoz és felügyelt identitásokhoz

Ha ARM-sablonnal automatizálja az üzembe helyezést, és a munkafolyamat tartalmaz egy felügyelt összekötő által létrehozott API-kapcsolatot, és felügyelt identitást használ, további lépéseket kell elvégeznie.

Az ARM-sablonban a mögöttes összekötő erőforrásdefiníciója attól függ, hogy használatalapú vagy standard logikai alkalmazáserőforrást használ-e, és hogy az összekötő egy- vagy többhitelesítési beállításokat jelenít-e meg.

Az alábbi példák a fogyasztási logikai alkalmazás erőforrásaira vonatkoznak. Bemutatják, hogy a mögöttes összekötő erőforrásdefiníciója miben különbözik az egy hitelesítési összekötő és a többhitelesítési összekötő között.

Egyszeri hitelesítés

Ez a példa egy olyan összekötőművelet mögöttes kapcsolati erőforrásdefinícióját mutatja be, amely csak egy hitelesítési típust támogat, és felügyelt identitást használ egy Használat logikai alkalmazás munkafolyamatában. A definíció a következő attribútumokat tartalmazza:

  • A kind tulajdonság egy Fogyasztás munkafolyamathoz V1 van beállítva.

  • A parameterValueType tulajdonság értéke Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Több hitelesítési módszer

Ez a példa egy olyan összekötőművelet mögöttes kapcsolati erőforrásdefinícióját mutatja be, amely több hitelesítési típust támogat, és felügyelt identitást használ egy Használat logikai alkalmazás munkafolyamatában. A definíció a következő attribútumokat tartalmazza:

  • A kind tulajdonság egy Fogyasztási munkafolyamathoz V1 van beállítva.

  • Az parameterValueSet objektum tartalmaz egy name tulajdonságot, amely managedIdentityAuth értékre van állítva, és egy values tulajdonságot, amely egy üres objektumra van állítva.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Speciális vezérlés beállítása API-kapcsolathitelesítéshez

Ha a standard logikai alkalmazás munkafolyamata egy felügyelt összekötő által létrehozott API-kapcsolatot használ, az Azure Logic Apps két kapcsolatot használ a célerőforrással való kommunikációhoz, például az e-mail-fiókjával vagy a kulcstartójával:

Az elméleti diagram a logikai alkalmazás és a tokentároló közötti hitelesítés első kapcsolatát, valamint a tokentároló és a célerőforrás közötti második kapcsolatot mutatja be.

  • Az 1. kapcsolat hitelesítéssel van beállítva a belső token tárolóhoz.

  • A 2. kapcsolat a célerőforrás hitelesítésével van beállítva.

Ha azonban egy fogyasztási logikai alkalmazás munkafolyamata API-kapcsolatot használ, nem tekintheti meg vagy állíthatja be az 1. kapcsolatot. Ha standard logikaialkalmazás-erőforrást használ, nagyobb mértékben szabályozhatja a logikai alkalmazásokat és a munkafolyamatokat. Alapértelmezés szerint az 1. kapcsolat a rendszer által hozzárendelt identitást használja.

Ha a forgatókönyvben az API-kapcsolatok hitelesítésének finomabb szabályozása szükséges, módosítsa az 1. kapcsolat hitelesítését az alapértelmezett rendszer által hozzárendelt identitásról a logikai alkalmazáshoz hozzáadott felhasználó által hozzárendelt identitásra. Ez a hitelesítés minden API-kapcsolatra vonatkozik, így a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitásokat különböző kapcsolatokban kombinálhatja ugyanahhoz a célerőforráshoz.

A Standard logikai alkalmazás connections.json fájljában, amely az egyes API-kapcsolatok adatait tárolja, minden kapcsolatdefiníció két authentication objektummal rendelkezik, például:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • Az első authentication objektum az 1. kapcsolathoz rendelődik.

    Ez az objektum a belső jogkivonat-tárolóval való kommunikációhoz használt hitelesítést ismerteti. Korábban a type tulajdonságot mindig olyan alkalmazás számára állították be ManagedServiceIdentity értékre, amely az Azure-ba került telepítésre, és nem tartalmazott konfigurálható beállításokat.

  • A második authentication objektum a 2. kapcsolatra térképez.

    Ez az objektum a célerőforrással való kommunikációhoz használt hitelesítést írja le, és a kapcsolathoz választott hitelesítési típustól függően változhat.

Miért változtassuk meg a jogkivonat-tároló hitelesítését?

Bizonyos esetekben előfordulhat, hogy ugyanazt az API-kapcsolatot több logikaialkalmazás-erőforráson szeretné megosztani és használni, de nem szeretné hozzáadni az egyes logikaialkalmazás-erőforrások rendszer által hozzárendelt identitását a célerőforrás hozzáférési szabályzatához.

Más esetekben előfordulhat, hogy nem szeretné beállítani a rendszer által hozzárendelt identitást a logikai alkalmazásban. Ha inkább felhasználó által hozzárendelt identitást szeretne használni, módosíthatja a hitelesítést felhasználó által hozzárendelt identitásra, és teljesen letilthatja a rendszer által hozzárendelt identitást.

A jogkivonat-tároló hitelesítésének módosítása

  1. Nyissa meg a Standard logikai alkalmazás erőforrását az Azure Portalon.

  2. Az erőforrás oldalsávjának Munkafolyamatok területén válassza a Kapcsolatok lehetőséget.

  3. A Kapcsolatok panelen válassza a JSON nézetet.

    Képernyőkép az Azure Portalról, a Standard logikai alkalmazás erőforrásról, a Kapcsolatok panelről, amelyen a JSON nézet van kiválasztva.

  4. A JSON-szerkesztőben keresse meg az managedApiConnections objektumot. Ez az objektum tartalmazza az API-kapcsolatokat a logikaialkalmazás-erőforrás összes munkafolyamatában.

  5. Keresse meg azt a kapcsolatot, amelyhez felhasználó által hozzárendelt felügyelt identitást szeretne hozzáadni.

    Tegyük fel például, hogy a munkafolyamat azure Key Vault-kapcsolattal rendelkezik:

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. A kapcsolatdefinícióban kövesse az alábbi lépéseket:

    1. Keresse meg az első authentication objektumot. Ha ebben az identity objektumban nincs authentication tulajdonság, a logikai alkalmazás implicit módon használja a rendszer által hozzárendelt identitást.

    2. Adjon hozzá egy tulajdonságot identity az ebben a lépésben található példával.

    3. Állítsa be a tulajdonság értékét a felhasználó által hozzárendelt identitás erőforrás-azonosítójának.

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Az Azure Portalon lépjen a célerőforrásra, és adjon hozzáférést a felhasználó által hozzárendelt felügyelt identitáshoz a célerőforrás igényeinek megfelelően.

    Az Azure Key Vault esetében például adja hozzá az identitást a kulcstartó hozzáférési szabályzataihoz. Az Azure Blob Storage esetében rendelje hozzá az identitáshoz szükséges szerepkört a tárfiókhoz.

Felügyelt identitás letiltása

A felügyelt identitás hitelesítéshez való használatának leállításához kövesse az alábbi lépéseket:

  1. Távolítsa el az identitás hozzáférését a célerőforráshoz.

  2. A logikai alkalmazás erőforrásán tiltsa le a rendszer által hozzárendelt identitást, vagy távolítsa el a felhasználó által hozzárendelt identitást.

Amikor kikapcsolja a felügyelt identitást a logikai alkalmazás erőforrásán, eltávolítja az identitás azon képességét, hogy hozzáférést kérjen azokhoz az Azure-erőforrásokhoz, amelyekhez az identitás hozzáféréssel rendelkezett.

Feljegyzés

Ha letiltja a rendszer által hozzárendelt identitást, a logikai alkalmazás munkafolyamataiban az identitást használó összes kapcsolat futásidőben leáll, még akkor is, ha azonnal újra engedélyezi az identitást.

Ez a viselkedés azért fordul elő, mert az azonosító letiltása törli az objektumazonosítóját. Minden alkalommal, amikor engedélyezi az identitást, az Azure egy másik és egyedi objektumazonosítóval hozza létre az identitást. A probléma megoldásához hozza létre újra a kapcsolatokat, hogy az aktuális objektumazonosítót használják az aktuális rendszer által hozzárendelt identitáshoz.

Kerülje a rendszer által hozzárendelt identitás lehető legnagyobb mértékű letiltását. Az identitás Azure-erőforrásokhoz való hozzáférésének eltávolításához távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból. Ha törli a logikai alkalmazás erőforrását, az Azure automatikusan eltávolítja a felügyelt identitást a Microsoft Entra-azonosítóból.

Az alábbi szakaszok bemutatják, hogyan tilthatja le a felügyelt identitást az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatával. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében lásd:

Eszköz Dokumentáció
Azure PowerShell 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure CLI 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure REST API 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.

További információ: Azure-beli szerepkör-hozzárendelés eltávolítása.

Felügyelt identitás letiltása az Azure Portalon

A felügyelt identitáshoz való hozzáférés eltávolításához távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból, majd tiltsa le a felügyelt identitást.

Szerepkör-hozzárendelések eltávolítása

Az alábbi lépések eltávolítják a célerőforráshoz való hozzáférést a felügyelt identitásból:

  1. Az Azure Portalon lépjen a cél Azure-erőforrásra, ahol el szeretné távolítani a felügyelt identitáshoz való hozzáférést.

  2. A célerőforrás-oldalsávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Az eszköztáron válassza a Szerepkör-hozzárendelések lehetőséget.

  3. A szerepkörök listájában válassza ki az eltávolítani kívánt felügyelt identitásokat. Az eszköztáron válassza az Eltávolítás lehetőséget.

    Feljegyzés

    Ha az Eltávolítás lehetőség le van tiltva, akkor valószínűleg nem rendelkezik engedélyekkel. Az erőforrások szerepköreinek kezelését lehetővé tevő engedélyekről további információt a Microsoft Entra ID rendszergazdai szerepkör-engedélyeivel kapcsolatban talál.

Felügyelt identitás letiltása a logikai alkalmazás erőforrásán

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. A logikai alkalmazás erőforrás-oldalsávjának Beállítások területén válassza az Identitás lehetőséget, majd kövesse az identitás lépéseit:

    • Válassza a Rendszer által kijelölt>Kikapcsolva>Mentés. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    • Válassza ki a hozzárendelt felhasználót és a felügyelt identitást, majd válassza az Eltávolítás lehetőséget. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

Felügyelt identitás letiltása ARM-sablonban

Ha ARM-sablonnal hozta létre a logikai alkalmazás felügyelt identitását, állítsa be az identity objektum gyermektulajdonságát type a következőre None: .

"identity": {
   "type": "None"
}

Kapcsolódó tartalom

  • Last updated on