Megosztás a következőn keresztül:

Azure-erőforrásokhoz való hozzáférés és kapcsolatok hitelesítése felügyelt identitásokkal az Azure Logic Appsben

A következőkre vonatkozik: Azure Logic Apps (Fogyasztás + Standard)

Ha el szeretné kerülni a hitelesítő adatok, titkos kódok vagy Microsoft Entra-jogkivonatok megadását, tárolását és kezelését, felügyelt identitással hitelesítheti a logikai alkalmazás munkafolyamatából a Microsoft Entra által védett erőforrásokhoz való hozzáférést vagy kapcsolatokat. Az Azure Logic Appsben egyes összekötő-műveletek támogatják a felügyelt identitás használatát, ha hitelesítenie kell a Microsoft Entra ID által védett erőforrásokhoz való hozzáférést. Az Azure kezeli ezt az identitást, és segít a hitelesítési adatok biztonságának megőrzésében, hogy ne kelljen kezelnie ezeket a bizalmas információkat. További információ: Mik az Azure-erőforrások felügyelt identitásai?

Az Azure Logic Apps a következő felügyelt identitástípusokat támogatja:

Az alábbi lista néhány különbséget ír le a felügyelt identitástípusok között:

  • A logikaialkalmazás-erőforrások csak egyetlen egyedi rendszer által hozzárendelt identitást engedélyezhetnek és használhatnak.

  • A logikaialkalmazás-erőforrások ugyanazt a felhasználó által hozzárendelt identitást oszthatják meg más logikaialkalmazás-erőforrások egy csoportjában.

Ez az útmutató a következő feladatok elvégzését mutatja be:

Előfeltételek

  • Azure-fiók és -előfizetés. Ha még nincs előfizetése, regisztráljon egy ingyenes Azure-fiókra. A felügyelt identitásnak és a cél Azure-erőforrásnak, amelyhez hozzáférésre van szüksége, ugyanazt az Azure-előfizetést kell használnia.

  • A elérni kívánt cél Azure-erőforrás. Ezen az erőforráson hozzá kell adnia a felügyelt identitáshoz szükséges szerepkört ahhoz, hogy a logikai alkalmazás vagy a kapcsolat nevében hozzáférjen az erőforráshoz. Ha szerepkört szeretne hozzáadni egy felügyelt identitáshoz, microsoft entrai rendszergazdai engedélyekre van szüksége, amelyek szerepköröket rendelhetnek a megfelelő Microsoft Entra-bérlő identitásaihoz.

  • A logikai alkalmazás erőforrása és munkafolyamata, ahol a felügyelt identitásokat támogató eseményindítót vagy műveleteket szeretné használni.

Felügyelt identitásbeli különbségek a Fogyasztói és a Standard logikai alkalmazások között.

A logikai alkalmazás erőforrástípusa alapján engedélyezheti a rendszer által hozzárendelt identitást, a felhasználó által hozzárendelt identitást, vagy mindkettőt egyszerre:

Logikai alkalmazás Környezet Felügyelt identitás támogatása
Fogyasztás - Több-bérlős Azure Logic Apps – Engedélyezheti a rendszer által hozzárendelt identitást vagy a felhasználó által hozzárendelt identitást, de a logikai alkalmazásban mindkettőt nem.

– A felügyelt identitást a logikai alkalmazás erőforrásszintjén és a kapcsolat szintjén használhatja.

– Ha létrehozza és engedélyezi a felhasználó által hozzárendelt identitást, a logikai alkalmazás egyszerre csak egy felhasználó által hozzárendelt identitással rendelkezhet.
Standard – Egybérlős Azure Logic Apps

- App Service Environment v3 (ASEv3)		 – Egyszerre engedélyezheti a rendszer által hozzárendelt identitást, amely alapértelmezés szerint engedélyezve van, és a felhasználó által hozzárendelt identitást is. Több felhasználó által hozzárendelt identitást is hozzáadhat a logikai alkalmazáshoz. A logikai alkalmazás azonban egyszerre csak egy felügyelt identitást használhat.

– A felügyelt identitást a logikai alkalmazás erőforrásszintjén és a kapcsolat szintjén használhatja.

Megjegyzés: Hibrid telepítés esetén a felügyelt identitáshitelesítés jelenleg nem támogatott. Ehelyett alkalmazásregisztrációt kell létrehoznia és használnia. További információ: Standard logikaialkalmazás-munkafolyamatok létrehozása a hibrid üzembe helyezéshez a saját infrastruktúráján.

Az Azure Logic Apps felügyelt identitáskorlátairól további információt a logikai alkalmazások felügyelt identitásainak korlátai című témakörben talál. A Használat és a Standard logikai alkalmazás erőforrástípusairól és környezeteiről további információt az Erőforrás-környezetek eltérései című témakörben talál.

Ahol használhat felügyelt identitást

Az Azure Logic Appsben csak az OAuthot Microsoft Entra-azonosítóval támogató beépített és felügyelt összekötő-műveletek használhatnak felügyelt identitást a hitelesítéshez. Az alábbi táblázatok csak mintakijelölést biztosítanak. A teljesebb listát a következő dokumentációban találja:

A Fogyasztási logikai alkalmazás munkafolyamata esetében az alábbi táblázat a kezelt identitások hitelesítését támogató példa-összekötőket sorolja fel.

Összekötő típusa Támogatott összekötők
Beépítve - Azure API Management
- Azure-alkalmazás Szolgáltatások
- Azure Functions
- HTTP
- HTTP + Webhook

Megjegyzés: A HTTP-műveletek a rendszer által hozzárendelt identitással hitelesíthetik az Azure Storage-fiókokhoz való kapcsolatokat az Azure-tűzfalak mögött. A HTTP-műveletek azonban nem támogatják a felhasználó által hozzárendelt identitást ugyanazon kapcsolatok hitelesítéséhez.
Felügyelt - Azure-alkalmazás szolgáltatás
- Azure Automation
- Azure Blob Storage (Azure Blob-tároló)
- Azure Konténerpéldány
- Azure Cosmos DB
- Azure Data Explorer
- Azure Data Factory
- Azure Data Lake
- Azure Digital Twins
- Azure Event Grid
- Azure Event Hubs
- Azure IoT Central V2
- Azure Key Vault
-Azure Monitor-naplók
– Azure-üzenetsorok
- Azure Resource Manager
- Azure Service Bus
- Azure Sentinel
- Azure Táblatárolás
– Azure-beli virtuális gép
- SQL Server

Rendszer által hozzárendelt identitás engedélyezése az Azure Portalon

A Fogyasztási logikai alkalmazás erőforráson manuálisan kell engedélyeznie a rendszer által hozzárendelt identitást.

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. A logikai alkalmazás menü Beállítások területén válassza az Identitás lehetőséget.

  3. Az Identitás lapon, a Rendszer által hozzárendelve alatt válassza a Be, majd kattintson a > gombra. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    Képernyőkép az Azure portálról, a Consumption logikai alkalmazásról, az Identitás lapról és a rendszer által hozzárendelt fülről, a Be és a Mentés lehetőséggel kiválasztott beállításokkal.

    Feljegyzés

    Ha hibaüzenetet kap, hogy csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás erőforrása már társítva van a felhasználó által hozzárendelt identitással. A rendszer által hozzárendelt identitás hozzáadása előtt el kell távolítania a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásából.

    A logikai alkalmazás erőforrása mostantól használhatja a rendszer által hozzárendelt identitást. Ez az identitás a Microsoft Entra-azonosítóval van regisztrálva, és egy objektumazonosító jelöli.

    A képernyőkép a Fogyasztás logika alkalmazásról, az Identitás oldalról és a rendszer által hozzárendelt identitás objektumazonosítójáról készült.

    Tulajdonság Érték Leírás
    Objektum (egyszerű) azonosítója < identity-resource-ID> Globálisan egyedi azonosító (GUID), amely egy Microsoft Entra-bérlőben a logikai alkalmazás rendszer által hozzárendelt identitását jelöli.

  4. Most kövesse azokat a lépéseket, amelyek a rendszer által hozzárendelt identitásnak hozzáférést biztosítanak az erőforráshoz az útmutató későbbi részében.

Rendszer által hozzárendelt identitás engedélyezése ARM-sablonban

A logikai alkalmazás erőforrásainak létrehozásának és üzembe helyezésének automatizálásához használhat ARM-sablont. Ha engedélyezni szeretné a logikaialkalmazás-erőforrás rendszer által hozzárendelt identitását a sablonban, adja hozzá az identitásobjektumot és a típus gyermektulajdonságot a logikai alkalmazás erőforrásdefiníciójához a sablonban, például:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Amikor az Azure létrehozza a logikai alkalmazás erőforrásdefinícióját, az identitásobjektum a következő további tulajdonságokat kapja:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}
Tulajdonság (JSON) Érték Leírás
principalId < principal-ID> A Microsoft Entra-bérlőben a logikai alkalmazását képviselő felügyelt identitás szolgáltatásbizalmas objektumának globálisan egyedi azonosítója (GUID). Ez a GUID néha "objektumazonosítóként" vagy objectID-ként jelenik meg.
tenantId < Microsoft-Entra-ID-tenant-ID> A globálisan egyedi azonosító (GUID), amely annak a Microsoft Entra-bérlőnek a tagját jelöli, amelybe a logikai alkalmazás most tartozik. A Microsoft Entra-bérlőn belül a szolgáltatásnév neve megegyezik a logikai alkalmazáspéldány nevével.

Felhasználó által hozzárendelt identitás létrehozása az Azure Portalon

Ahhoz, hogy engedélyezhesse a felhasználó által hozzárendelt identitást egy használatalapú logikai alkalmazás erőforrásán vagy a Standard logikai alkalmazás erőforrásán, külön Azure-erőforrásként kell létrehoznia ezt az identitást.

  1. Az Azure Portal keresőmezőjében adja meg a felügyelt identitásokat. Az eredmények listájában válassza a Felügyelt identitások lehetőséget.

    Képernyőkép az Azure Portalról a felügyelt identitások nevű kiválasztott beállítással.

  2. A Felügyelt identitások lap eszköztárán válassza a Létrehozás opciót.

  3. Adja meg a felügyelt identitással kapcsolatos információkat, és válassza a Véleményezés + Létrehozás lehetőséget, például:

    Képernyőkép a Felhasználó által hozzárendelt felügyelt identitás létrehozása nevű lapról a felügyelt identitás részleteivel.

    Tulajdonság Kötelező Érték Leírás
    Előfizetés Igen < Azure-előfizetés-neve> Az Azure-előfizetés neve
    Erőforráscsoport Igen < Azure-erőforráscsoport-neve> Az Azure-erőforráscsoport neve. Hozzon létre egy új csoportot, vagy válasszon ki egy meglévő csoportot. Ez a példa egy fabrikam-managed-identityes-RG nevű új csoportot hoz létre.
    Régió Igen < Azure-régió> Az Azure-régió, ahol az erőforrással kapcsolatos információkat tárolhatja. Ez a példa az USA nyugati régióját használja.
    Név Igen < felhasználó által meghatározott identitásnév> A felhasználó által hozzárendelt identitásnak adandó név. Ez a példa Fabrikam-user-assigned-identity-t használ.

    Miután az Azure ellenőrzi az adatokat, az Azure létrehozza a felügyelt identitást. Most már hozzáadhatja a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásához.

Felhasználó által hozzárendelt identitás hozzáadása a logikai alkalmazáshoz az Azure Portalon

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. A logikai alkalmazás menü Beállítások területén válassza az Identitás lehetőséget.

  3. Az Identitás lapon válassza a Felhasználó által hozzárendeltet, majd válassza a Hozzáadás lehetőséget.

    A képernyőkép a Fogyasztás logikai alkalmazást és az Identitás oldalt mutatja, ahol a Hozzáadás lehetőség van kiválasztva.

  4. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen kövesse az alábbi lépéseket:

    1. Az Előfizetés kiválasztása listából válassza ki az Azure-előfizetését.

    2. Az előfizetésben lévő összes felügyelt identitást tartalmazó listából válassza ki a felhasználó által hozzárendelt identitást. A lista szűréséhez a Felhasználó által hozzárendelt felügyelt identitások keresőmezőbe írja be az identitás vagy erőforráscsoport nevét.

      Képernyőkép a Fogyasztás logikai alkalmazásról és a kijelölt felhasználó által hozzárendelt identitásról.

    3. Ha elkészült, válassza a Hozzáadás lehetőséget.

      Feljegyzés

      Ha hibaüzenetet kap, hogy csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás már társítva van a rendszer által hozzárendelt identitással. A felhasználó által hozzárendelt identitás hozzáadása előtt először le kell tiltania a rendszer által hozzárendelt identitást.

    A logikai alkalmazás most már a felhasználó által hozzárendelt identitáshoz van társítva.

    Képernyőkép a Fogyasztás logikai alkalmazásról, a felhasználó által hozzárendelt társított identitással.

  5. Most kövesse azokat a lépéseket, amelyek lehetővé teszik az identitás hozzáférését az erőforráshoz az útmutató későbbi részében.

Felhasználó által hozzárendelt identitás létrehozása ARM-sablonban

A logikai alkalmazás erőforrásainak létrehozásának és üzembe helyezésének automatizálásához használhat ARM-sablont. Ezek a sablonok támogatják a felhasználó által hozzárendelt identitásokat a hitelesítéshez.

A sablon erőforrások szakaszában a logikai alkalmazás erőforrásdefiníciójához a következő elemek szükségesek:

  • Egy identitásobjektum, amelynek a típustulajdonságaUserAssigned értékre van állítva.

  • Az userAssignedIdentities gyermekobjektum, amely megadja a felhasználó által hozzárendelt erőforrást és nevet

Ez a példa egy használatalapú logikai alkalmazás erőforrását és munkafolyamat-definícióját mutatja be egy nemparaméteres identitásobjektummal rendelkező HTTP PUT-kéréshez. A PUT kérésre és az azt követő GET műveletre adott válasz tartalmazza ezt az identitásobjektumot is:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Ha a sablon tartalmazza a felügyelt identitás erőforrásdefinícióját is, paraméterezheti az identitásobjektumot . Az alábbi példa bemutatja, hogy a gyermek userAssignedIdentities objektum hogyan hivatkozik egy userAssignedIdentityName változóra, amelyet a sablon változói szakaszban definiál. Ez a változó a felhasználó által hozzárendelt identitás erőforrás-azonosítóra hivatkozik.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters('Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Identitáshozzáférés biztosítása az erőforrásokhoz

Mielőtt használhatja a logikai alkalmazás felügyelt identitását a hitelesítéshez, be kell állítania az identitáshoz való hozzáférést a cél Azure-erőforráson, ahol használni szeretné az identitást. A hozzáférés beállítása a célerőforrástól függően változik.

Feljegyzés

Ha egy felügyelt identitás hozzáféréssel rendelkezik egy Azure-erőforráshoz ugyanabban az előfizetésben, az identitás csak az adott erőforráshoz férhet hozzá. Egyes, felügyelt identitásokat támogató eseményindítókban és műveletekben azonban először ki kell választania a célerőforrást tartalmazó Azure-erőforráscsoportot. Ha az identitás nem rendelkezik hozzáféréssel az erőforráscsoport szintjén, a célerőforráshoz való hozzáférés ellenére az adott csoport egyik erőforrása sem szerepel a listán.

Az ilyen viselkedés kezeléséhez az identitásnak hozzáférést kell biztosítani nem csak az erőforráshoz, hanem az erőforráscsoporthoz is. Hasonlóképpen, ha a célerőforrás kiválasztása előtt ki kell választania az előfizetést, hozzáférést kell adnia az identitásnak az előfizetéshez.

Bizonyos esetekben szükség lehet az identitásra a társított erőforráshoz való hozzáféréshez. Tegyük fel például, hogy rendelkezik egy felügyelt identitással egy logikai alkalmazáshoz, amelyhez hozzáférésre van szüksége ugyanazon logikai alkalmazás alkalmazásbeállításainak frissítéséhez egy munkafolyamatból. Önnek hozzáférést kell adnia annak az identitásnak a társított logikai alkalmazáshoz.

Ha például felügyelt identitást szeretne használni egy Blob Storage-fiókhoz vagy kulcstartóhoz való hozzáférés hitelesítéséhez az Azure-ban, be kell állítania az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC), és hozzá kell rendelnie az identitáshoz megfelelő szerepkört a tárfiókhoz vagy a kulcstartóhoz.

Az ebben a szakaszban ismertetett lépések azt ismertetik, hogyan rendelhet hozzá szerepköralapú hozzáférést az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatával. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse meg a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell Szerepkör hozzáadása
Azure CLI Szerepkör hozzáadása
Azure REST API Szerepkör hozzáadása

Az Azure Key Vault esetében emellett létrehozhat egy hozzáférési szabályzatot a felügyelt identitáshoz a kulcstartóban, és hozzárendelheti a megfelelő engedélyeket az adott identitáshoz a kulcstartón. A szakasz későbbi lépései bemutatják, hogyan hajthatja végre ezt a feladatot az Azure Portal használatával. A Resource Manager-sablonok, a PowerShell és az Azure CLI esetében lásd a következő dokumentációt:

Eszköz Dokumentáció
Azure Resource Manager-sablon (ARM-sablon) Key Vault hozzáférési szabályzat erőforrásdefiníciója
Azure PowerShell Key Vault-hozzáférési szabályzat hozzárendelése
Azure CLI Key Vault-hozzáférési szabályzat hozzárendelése

Szerepköralapú hozzáférés hozzárendelése felügyelt identitáshoz az Azure Portal használatával

Ha felügyelt identitást szeretne használni a hitelesítéshez, egyes Azure-erőforrások, például az Azure Storage-fiókok megkövetelik, hogy az identitást egy olyan szerepkörhöz rendelje, amely rendelkezik a célerőforrás megfelelő engedélyével. Más Azure-erőforrások, például kulcstartók, több lehetőséget is támogatnak. Választhat szerepköralapú hozzáférést vagy olyan hozzáférési szabályzatot, amely rendelkezik az adott identitás célerőforrására vonatkozó megfelelő engedélyekkel.

  1. Az Azure Portalon nyissa meg azt az erőforrást, ahol az identitást használni szeretné.

  2. Az erőforrás menüjében válassza

    Feljegyzés

    Ha a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva, nincs engedélye szerepkörök hozzárendelésére. További információért lásd: Microsoft Entra beépített szerepkörök.

  3. Rendelje hozzá a szükséges szerepkört a felügyelt identitáshoz. A Szerepkör lapon rendeljen hozzá egy szerepkört, amely biztosítja az identitás számára az aktuális erőforráshoz való szükséges hozzáférést.

    Ebben a példában rendelje hozzá a Storage Blob Data Contributor nevű szerepkört, amely magában foglalja a blobok írási hozzáférését egy Azure Storage-tárolóban. Az egyes tároló szerepkörökről további információért lásd: Szerepkörök, amelyek hozzáférhetnek az Azure Storage tároló blobjaihoz.

  4. Ezután válassza ki azt a felügyelt identitást, amelyhez hozzá szeretné rendelni a szerepkört. A Hozzáférés hozzárendelése részben válassza a Felügyelt identitás>Tagok hozzáadása lehetőséget.

  5. A felügyelt identitás típusa alapján válassza ki vagy adja meg a következő értékeket:

    Típus Azure-szolgáltatáspéldány Előfizetés Tag
    Rendszer általi hozzárendelés esetén Logikai alkalmazás < Azure-előfizetés-neve> < a-logikai-alkalmazás-neve>
    Felhasználó által hozzárendelt Nem alkalmazható < Azure-előfizetés-neve> < a-user-assigned-identity-name>

    A szerepkörök hozzárendelésével kapcsolatos további információkért lásd : Szerepkörök hozzárendelése az Azure Portalon.

Ha végzett, az identitással hitelesítheti a felügyelt identitásokat támogató eseményindítók és műveletek hozzáférését.

A feladatról további általános információkért lásd : Felügyelt identitáshozzáférés hozzárendelése Egy Azure-erőforráshoz vagy egy másik erőforráshoz.

Hozzáférési szabályzat létrehozása az Azure Portal használatával

Ha felügyelt identitást szeretne használni a hitelesítéshez, más Azure-erőforrások is támogatják vagy követelik meg, hogy hozzon létre egy hozzáférési szabályzatot, amely rendelkezik az adott identitás célerőforrására vonatkozó megfelelő engedélyekkel. Más Azure-erőforrások, például az Azure Storage-fiókok esetében azonban azt kell megkövetelni, hogy az identitást egy olyan szerepkörhöz rendelje , amely rendelkezik a célerőforrás megfelelő engedélyével.

  1. Nyissa meg a célerőforrást az Azure Portalon, ahol az identitást használni szeretné.

    Ez a példa egy kulcstartót használ cél Azure-erőforrásként.

  2. Az erőforrás menüjében válassza a Hozzáférési szabályzatok>létrehozása lehetőséget, amely megnyitja a Hozzáférési szabályzat létrehozása panelt.

    Feljegyzés

    Ha az erőforrás nem rendelkezik hozzáférési szabályzatokkal , próbáljon meg inkább szerepkör-hozzárendelést hozzárendelni.

    Képernyőkép az Azure Portalról és a Key Vault-példáról az Access-szabályzatok nevű megnyitott panellel.

  3. Az Engedélyek lapon válassza ki azokat a szükséges engedélyeket, amelyekre az identitásnak szüksége van a célerőforrás eléréséhez.

    Ha például az identitást az Azure Key Vault felügyelt összekötő Titkos kulcsok listájának műveletével szeretné használni, az identitásnak listaengedélyekre van szüksége. A Titkos engedélyek oszlopban válassza a Lista lehetőséget.

    Képernyőkép az Engedélyek lapról a kijelölt listaengedélyekkel.

  4. Ha készen áll, válassza a Tovább gombot. Az Egyszerű lapon keresse meg és válassza ki a felügyelt identitást, amely egy felhasználó által hozzárendelt identitás ebben a példában.

  5. Hagyja ki az opcionális alkalmazáslépést, válassza a Tovább lehetőséget, és fejezze be a hozzáférési szabályzat létrehozását.

A következő szakasz bemutatja, hogyan használhat felügyelt identitást eseményindítóval vagy művelettel a hozzáférés hitelesítéséhez. A példa egy korábbi szakasz lépéseivel folytatódik, ahol a felügyelt identitáshoz való hozzáférést RBAC-vel és Azure Storage-fiókkal állítja be példaként. A felügyelt identitás hitelesítéshez való használatának általános lépései azonban ugyanazok.

Hozzáférés hitelesítése felügyelt identitással

Miután engedélyezte a felügyelt identitást a logikai alkalmazás erőforrásához, és hozzáférést adott az azure-beli célerőforráshoz vagy szolgáltatáshoz, ezt az identitást használhatja a felügyelt identitásokat támogató triggerekben és műveletekben.

Fontos

Ha olyan Azure-függvénye van, amelyben a rendszer által hozzárendelt identitást szeretné használni, először engedélyezze az Azure Functions hitelesítését.

Az alábbi lépések bemutatják, hogyan használhatja a felügyelt identitást eseményindítóval vagy művelettel az Azure Portalon. Ha meg szeretné adni a felügyelt identitást egy eseményindító vagy művelet mögöttes JSON-definíciójában, olvassa el a Felügyelt identitás hitelesítése című témakört.

  1. Az Azure Portalon nyissa meg a Consumption logikai alkalmazás erőforrását.

  2. Ha még nem tette meg, adja hozzá a felügyelt identitásokat támogató eseményindítót vagy műveletet.

    Feljegyzés

    Nem minden összekötőművelet támogatja a hitelesítési típus hozzáadását. További információ: A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai.

  3. A hozzáadott eseményindítón vagy műveleten kövesse az alábbi lépéseket:

    • Beépített összekötőműveletek, amelyek támogatják a felügyelt identitáshitelesítést

      Ezek a lépések a HTTP-művelet példaként való használatával folytatódnak.

      1. A Speciális paraméterek listából adja hozzá a Hitelesítési tulajdonságot, ha a tulajdonság még nem jelenik meg.

        Képernyőkép a Fogyasztási munkafolyamatról beépített művelettel és a Speciális paraméterek nevű megnyitott listával, ahol a Hitelesítés beállítása van kiválasztva.

        Most a Hitelesítési tulajdonság és a Hitelesítési típus lista is megjelenik a műveletben.

        Képernyőkép a Speciális paraméterek szakaszról a hozzáadott hitelesítési tulajdonsággal és hitelesítési típuslistával.

      2. A Hitelesítési típus listából válassza a Felügyelt identitás lehetőséget.

        Képernyőkép a Használat munkafolyamatról a beépített művelettel, a megnyitott hitelesítési típuslistával és a felügyelt identitás kiválasztott beállításával.

        A Hitelesítés szakasz a következő lehetőségeket jeleníti meg:

        • Felügyelt identitások listája, amelyből kiválaszthat egy adott felügyelt identitást

        • A Célközönség tulajdonság meghatározott eseményindítókon és műveleteken jelenik meg, így beállíthatja az Azure-célerőforrás vagy -szolgáltatás erőforrás-azonosítóját. Ellenkező esetben a Célközönség tulajdonság alapértelmezés szerint az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

      3. A felügyelt identitások listájában válassza ki a használni kívánt identitást, például:

        Képernyőkép a Hitelesítés szakaszról a Hitelesítési típus listával és az Audience tulajdonsággal.

        Feljegyzés

        Az alapértelmezett beállítás a rendszer által hozzárendelt felügyelt identitás, még akkor is, ha nincs engedélyezve a felügyelt identitások használata.

        A felügyelt identitás sikeres használatához először engedélyeznie kell ezt az identitást a logikai alkalmazásban. Fogyasztási logikai alkalmazásban csak a rendszer által hozzárendelt vagy a felhasználó által hozzárendelt felügyelt identitással rendelkezhet, de mindkettővel nem.

      További információ : Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással.

    • Felügyelt identitáshitelesítést támogató felügyelt összekötő-műveletek

      1. A Kapcsolat létrehozása panel hitelesítési listájában válassza a Felügyelt identitás lehetőséget, például:

        Képernyőkép a fogyasztási munkafolyamatról, az Azure Resource Manager művelettel és egy kiválasztott felügyelt identitás beállítással.

      2. A következő panelen a kapcsolat neveként adjon meg egy nevet, amelyet a kapcsolatnál fog használni.

      3. A hitelesítési típushoz válassza a következő lehetőségek egyikét a felügyelt összekötő alapján:

        • Egyszeri hitelesítés: Ezek az összekötők csak egy hitelesítési típust támogatnak, amely ebben az esetben a felügyelt identitás.

          1. A felügyelt identitások listájában válassza ki az aktuálisan engedélyezett felügyelt identitást.

          2. Ha elkészült, válassza az Új létrehozása lehetőséget.

        • Több hitelesítés: Ezek az összekötők több hitelesítési típust is támogatnak, de egyszerre csak egy típust választhat ki és használhat.

          Ezek a lépések egy Azure Blob Storage-művelet példaként való használatával folytatódnak.

          1. A Hitelesítési típus listából válassza a Logic Apps felügyelt identitását.

            Képernyőkép a Fogyasztási munkafolyamatról, a kapcsolatteremtési mezőről, valamint a Logic Apps felügyelt identitáshoz kiválasztott beállításról.

          2. Ha elkészült, válassza az Új létrehozása lehetőséget.

        További információkért lásd a következőt: Példa: Felügyelt összekötő eseményindítójának vagy műveletének hitelesítése felügyelt identitással.

Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással

A beépített HTTP-eseményindító vagy -művelet használhatja a logikai alkalmazás erőforrásán engedélyezett rendszer által hozzárendelt identitást. A HTTP-eseményindító vagy -művelet általában a következő tulajdonságokat használja a elérni kívánt erőforrás vagy entitás megadásához:

Tulajdonság Kötelező Leírás
Módszer Igen A futtatni kívánt művelet által használt HTTP-metódus
URI Igen A cél Azure-erőforrás vagy entitás elérésének végponti URL-címe. Az URI szintaxis általában tartalmazza a cél Azure-erőforrás vagy szolgáltatás erőforrás-azonosítóját.
Fejlécek Nem Minden olyan fejlécérték, amelyet a kimenő kérelemben fel szeretne venni vagy fel szeretne venni, például a tartalomtípus
Lekérdezések Nem Minden olyan lekérdezési paraméter, amelyet fel szeretne venni a kérésbe. Lekérdezési paraméterek például egy adott művelethez vagy a futtatni kívánt művelet API-verziójához.
Hitelesítés Igen Az Azure-célerőforráshoz vagy szolgáltatáshoz való hozzáférés hitelesítéséhez használandó hitelesítési típus

Konkrét példaként tegyük fel, hogy a Snapshot Blob műveletet egy olyan blobon szeretné futtatni az Azure Storage-fiókban, ahol korábban beállította az identitáshoz való hozzáférést. Az Azure Blob Storage-összekötő azonban jelenleg nem kínálja ezt a műveletet. Ehelyett a HTTP-művelettel vagy egy másik Blob Service REST API-művelettel futtathatja ezt a műveletet.

Fontos

Ha az Azure Storage-fiókokat tűzfalak mögött szeretné elérni az Azure Blob Storage-összekötő és a felügyelt identitások használatával, győződjön meg arról, hogy a tárfiókot is beállítja a megbízható Microsoft-szolgáltatások által hozzáférést engedélyező kivétellel.

A Pillanatkép-blob művelet futtatásához a HTTP-művelet a következő tulajdonságokat adja meg:

Tulajdonság Kötelező Példaérték Leírás
URI Igen https://<storage-account-name>/<folder-name>/{name} Az Azure Blob Storage-fájl erőforrás-azonosítója az Azure Global (nyilvános) környezetben, amely ezt a szintaxist használja
Módszer Igen PUT A Pillanatkép-blob művelet által használt HTTP-metódus
Fejlécek Az Azure Storage számára x-ms-blob-type = BlockBlob

x-ms-version = 2024-05-05

x-ms-date = formatDateTime(utcNow(),'r')		 Az Azure Storage-műveletekhez szükség van a x-ms-blob-type, x-ms-version és x-ms-date fejléc értékekre.

Fontos: Az Azure Storage kimenő HTTP-eseményindítóiban és műveleti kérelmeiben a fejléchez a x-ms-version futtatni kívánt művelet tulajdonsága és API-verziója szükséges. Az x-ms-date aktuális dátumnak kell lennie. Ellenkező esetben a munkafolyamat 403 FORBIDDEN hibával sikertelen lesz. Ha az aktuális dátumot a szükséges formátumban szeretné lekérni, használhatja a kifejezést a példaértékben.

További információkért tekintse meg a következő dokumentációt:

- Kérések fejlécei – Pillanatkép-adatcsomó
- Verziószámozás az Azure Storage-szolgáltatásokhoz
Lekérdezések Csak a Pillanatkép-blob művelethez comp = snapshot A művelet lekérdezési paraméterének neve és értéke.

  1. A munkafolyamat-tervezőben adja hozzá a kívánt eseményindítót, majd adja hozzá a HTTP-műveletet .

    Az alábbi példa egy HTTP-mintaműveletet mutat be a Snapshot Blob művelethez használandó összes korábban leírt tulajdonságértékkel:

    Képernyőkép az Azure Portalról, a használati munkafolyamatról és az erőforrások eléréséhez beállított HTTP-műveletről.

  2. A HTTP-műveletben adja hozzá a Hitelesítési tulajdonságot. A Speciális paraméterek listájában válassza a Hitelesítés lehetőséget.

    Képernyőkép a Fogyasztási munkafolyamatról HTTP-művelettel és megnyitott fejlett paraméterek listájáról, amelyben a Hitelesítés nevű tulajdonság van kiválasztva.

    A Hitelesítés szakasz ekkor megjelenik a HTTP-műveletben .

    Feljegyzés

    Nem minden eseményindító és művelet támogatja a hitelesítési típus hozzáadását. További információ: A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai.

  3. A Hitelesítési típus listából válassza a Felügyelt identitás lehetőséget.

    Képernyőkép a Fogyasztási munkafolyamatról, a HTTP-műveletről és a Hitelesítési típus tulajdonságról a kiválasztott felügyelt identitás opcióval.

  4. A felügyelt identitások listájában válasszon a forgatókönyve alapján elérhető lehetőségek közül.

    • Ha beállítja a rendszer által hozzárendelt identitást, válassza a rendszer által hozzárendelt felügyelt identitást.

      Képernyőkép a Fogyasztási munkafolyamatról, a HTTP-műveletről és a Felügyelt identitás tulajdonságról, a rendszer által hozzárendelt felügyelt identitás kiválasztott beállításával.

    • Ha beállítja a felhasználó által hozzárendelt identitást, válassza ki ezt az identitást.

      Képernyőkép a Fogyasztás munkafolyamatról, a HTTP-műveletről és a felügyelt identitás tulajdonságáról a felhasználó által választott hozzárendelt identitással.

    Ez a példa a rendszer által hozzárendelt felügyelt identitással folytatódik.

  5. Egyes eseményindítókon és műveleteknél megjelenik a Célközönség tulajdonság, így beállíthatja a cél Azure-erőforrás vagy szolgáltatás erőforrás-azonosítóját.

    Ha például hitelesíteni szeretné a Key Vault-erőforráshoz való hozzáférést a globális Azure-felhőben, az Audience tulajdonságot pontosan a következő erőforrás-azonosítóra kell beállítania:https://vault.azure.net

    Ha nem állítja be a Célközönség tulajdonságot, a Célközönség tulajdonság alapértelmezés szerint az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

    Fontos

    Győződjön meg arról, hogy a célerőforrás-azonosító pontosan megegyezik a Microsoft Entra ID által várt értékkel. Ellenkező esetben előfordulhat, hogy 400 Bad Request hiba vagy 401 Unauthorized hiba jelenik meg. Ha tehát az erőforrás-azonosító tartalmaz záró perjeleket, mindenképpen vegye fel őket. Ellenkező esetben ne vegye fel őket.

    Az összes Azure Blob Storage-fiók erőforrás-azonosítója például egy záró perjelet igényel. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Ellenőrizze a Microsoft Entra-azonosítót támogató Azure-szolgáltatások erőforrás-azonosítóit.

    Ez a példa úgy állítja be a Célközönség tulajdonságot https://storage.azure.com/ , hogy a hitelesítéshez használt hozzáférési jogkivonatok érvényesek legyenek az összes tárfiókra. Megadhatja azonban a gyökérszolgáltatás URL-címét https://<your-storage-account>.blob.core.windows.netis egy adott tárfiókhoz.

    Képernyőkép a Fogyasztási munkafolyamatról és a HTTP-műveletről, amelynek Audiencia tulajdonsága a célerőforrás-azonosítóra van beállítva.

    Az Azure Storage-hoz készült Microsoft Entra ID-val való hozzáférés engedélyezéséről az alábbi dokumentációban talál további információt:

  6. Folytassa a munkafolyamat elkészítését a kívánt módon.

Példa: Kezelt csatlakozó eseményindító vagy művelet hitelesítése kezelt identitással

A felügyelt Azure Resource Manager-összekötő rendelkezik egy Erőforrás olvasása nevű műveletével, amely a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használhatja. Ez a példa bemutatja, hogyan használhatja a rendszer által hozzárendelt felügyelt identitást egy felügyelt összekötővel.

  1. A munkafolyamat-tervezőben adja hozzá az Erőforrás olvasása nevű Azure Resource Manager-műveletet.

  2. A Kapcsolat létrehozása panel hitelesítési listájában válassza a Felügyelt identitás lehetőséget, majd válassza a Bejelentkezés lehetőséget.

    Feljegyzés

    Más összekötőknél a Hitelesítési típus listában a Logic Apps kezelt identitás látható, ezért válassza ezt a lehetőséget.

    Képernyőkép mutatja a Fogyasztási munkafolyamatot, az Azure Resource Manager műveletet, a megnyitott hitelesítési listát és a kiválasztott felügyelt identitás opciót.

  3. Adjon nevet a kapcsolatnak, és válassza ki a használni kívánt felügyelt identitást.

    Ha engedélyezte a rendszer által hozzárendelt identitást, a felügyelt identitáslista automatikusan kiválasztja a rendszer által hozzárendelt felügyelt identitást. Ha ehelyett engedélyezte a felhasználó által hozzárendelt identitást, a lista automatikusan kiválasztja a felhasználó által hozzárendelt identitást.

    Ebben a példában a rendszer által hozzárendelt felügyelt identitás az egyetlen választható lehetőség.

    A képernyőképen a fogyasztási munkafolyamat és az Azure Resource Manager művelet látható a megadott kapcsolatnévvel, valamint a rendszer által hozzárendelt felügyelt identitás kiválasztott opciójával.

    Feljegyzés

    Ha a felügyelt identitás nincs engedélyezve a kapcsolat létrehozásakor vagy módosításakor, vagy ha a felügyelt identitás el lett távolítva, miközben továbbra is létezik egy felügyelt identitást engedélyező kapcsolat, hibaüzenet jelenik meg, amely szerint engedélyeznie kell az identitást, és hozzáférést kell adnia a célerőforráshoz.

  4. Ha elkészült, válassza az Új létrehozása lehetőséget.

  5. Miután a tervező sikeresen létrehozta a kapcsolatot, a tervező lekérheti a dinamikus értékeket, tartalmakat vagy sémákat a felügyelt identitáshitelesítés használatával.

  6. Folytassa a munkafolyamat elkészítését a kívánt módon.

Felügyelt identitást használó logikai alkalmazás erőforrásdefiníciója és kapcsolatai

A felügyelt identitást engedélyező és használó kapcsolat egy speciális kapcsolattípus, amely csak felügyelt identitással működik. Futásidőben a kapcsolat a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használja. Az Azure Logic Apps ellenőrzi, hogy a munkafolyamatban lévő felügyelt összekötő műveletek a felügyelt identitás használatára vannak-e beállítva, és hogy a felügyelt identitás használatához minden szükséges engedély létezik-e az összekötőműveletek által meghatározott célerőforrások eléréséhez. Ha ez az ellenőrzés sikeres, az Azure Logic Apps lekéri a felügyelt identitáshoz társított Microsoft Entra-jogkivonatot, ezt az identitást használja a cél Azure-erőforráshoz való hozzáférés hitelesítéséhez, és végrehajtja a munkafolyamat konfigurált műveleteit.

A Fogyasztási logikai alkalmazás erőforrásában a kapcsolat konfigurációja az erőforrás-definíció parameters objektumában van elmentve, amely tartalmazza azt a $connections objektumot, amely mutatókat tartalmaz a kapcsolat erőforrás-azonosítójára, valamint a felügyelt identitás erőforrás-azonosítójára, amikor a felhasználó által hozzárendelt identitás engedélyezve van.

Ez a példa az parameters objektumkonfigurációt mutatja be, ha a logikai alkalmazás engedélyezi a rendszer által hozzárendelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Ez a példa az parameters objektumkonfigurációt mutatja be, ha a logikai alkalmazás engedélyezi a felhasználó által hozzárendelt felügyelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

ARM-sablon API-kapcsolatokhoz és felügyelt identitásokhoz

Ha ARM-sablonnal automatizálja az üzembe helyezést, és a munkafolyamat tartalmaz egy API-kapcsolatot, amelyet egy felügyelt identitást használó felügyelt összekötő hoz létre, további lépéseket kell elvégeznie.

Az ARM-sablonban a mögöttes összekötő erőforrásdefiníciója attól függ, hogy használatalapú vagy standard logikai alkalmazáserőforrással rendelkezik-e, és hogy az összekötő egy- vagy többhitelesítési lehetőségeket jelenít-e meg.

Az alábbi példák a Fogyasztási logikai alkalmazás erőforrásaira vonatkoznak, és bemutatják, hogy a mögöttes összekötő erőforrás meghatározása miként különbözik az egyes hitelesítési modulú összekötő és a több hitelesítési modulú összekötő esetében.

Egyszeri hitelesítés

Ez a példa egy olyan összekötőművelet mögöttes kapcsolati erőforrásdefinícióját mutatja be, amely csak egy hitelesítési típust támogat, és felügyelt identitást használ egy használatalapú logikai alkalmazás munkafolyamatában, ahol a definíció a következő attribútumokat tartalmazza:

  • A kind tulajdonság értéke V1 egy fogyasztási logikai alkalmazás esetén.

  • A parameterValueType tulajdonság értéke Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Több hitelesítés

Ez a példa egy olyan összekötőművelet mögöttes kapcsolati erőforrásdefinícióját mutatja be, amely több hitelesítési típust támogat, és felügyelt identitást használ egy használatalapú logikai alkalmazás munkafolyamatában, ahol a definíció a következő attribútumokat tartalmazza:

  • A kind tulajdonság értéke V1 egy fogyasztási logikai alkalmazás esetén.

  • Az parameterValueSet objektum tartalmaz egy name tulajdonságot, amely managedIdentityAuth értékre van állítva, és egy values tulajdonságot, amely egy üres objektumra van állítva.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Az API-kapcsolat hitelesítésének speciális vezérlésének beállítása

Ha a Standard logikai alkalmazás munkafolyamata egy felügyelt összekötő által létrehozott API-kapcsolatot használ, az Azure Logic Apps két kapcsolat használatával kommunikál a célerőforrással, például az e-mail-fiókjával, a kulcstartójával stb.:

Az elméleti diagram a logikai alkalmazás és a tokentároló közötti hitelesítés első kapcsolatát, valamint a tokentároló és a célerőforrás közötti második kapcsolatot mutatja be.

  • Az 1. kapcsolat hitelesítéssel van beállítva a belső token tárolóhoz.

  • A 2. kapcsolat a célerőforrás hitelesítésével van beállítva.

Ha azonban egy használatalapú logikai alkalmazás munkafolyamata API-kapcsolatot használ, a kapcsolat el van rejtve a felhasználó elől, és nincs lehetőség konfigurálásra. A Standard logikai alkalmazás erőforrásával jobban szabályozhatja a logikai alkalmazást és a munkafolyamatokat. Alapértelmezés szerint az 1. kapcsolat automatikusan be van állítva a rendszer által hozzárendelt identitás használatára.

Ha a forgatókönyvben részletesebb vezérlésre van szükség az API-kapcsolatok hitelesítése felett, tetszés szerint módosíthatja az 1. kapcsolat hitelesítését az alapértelmezett rendszer által hozzárendelt identitásról bármely, a logikai alkalmazáshoz hozzáadott felhasználó által hozzárendelt identitásra. Ez a hitelesítés minden API-kapcsolatra vonatkozik, így a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitásokat különböző kapcsolatokban kombinálhatja ugyanahhoz a célerőforráshoz.

A Standard logikai alkalmazás connections.json fájljában, amely az egyes API-kapcsolatok adatait tárolja, minden kapcsolatdefiníció két authentication szakaszból áll, például:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • Az első authentication szakasz az 1. kapcsolatra térképez fel.

    Ez a szakasz a belső token-tárolóval való kommunikációhoz használt hitelesítést ismerteti. Korábban ezt a szakaszt mindig ManagedServiceIdentity-ra állították be olyan alkalmazásokhoz, amelyek az Azure-ban kerülnek üzembe helyezésre, és nincsenek konfigurálható beállításaik.

  • A második authentication szakasz a 2-es kapcsolatra képez le.

    Ez a szakasz a célerőforrással való kommunikációhoz használt hitelesítést ismerteti, a kapcsolathoz választott hitelesítési típustól függően.

Miért változtassuk meg a jogkivonat-tároló hitelesítését?

Bizonyos esetekben előfordulhat, hogy ugyanazt az API-kapcsolatot több logikaialkalmazás-erőforráson szeretné megosztani és használni, de az egyes logikaialkalmazás-erőforrások rendszer által hozzárendelt identitását nem szeretné hozzáadni a célerőforrás hozzáférési szabályzatához.

Más esetekben előfordulhat, hogy nem szeretné teljesen beállítani a rendszer által hozzárendelt identitást a logikai alkalmazásban, így a hitelesítést felhasználó által hozzárendelt identitásra módosíthatja, és teljesen letilthatja a rendszer által hozzárendelt identitást.

A jogkivonat-tároló hitelesítésének módosítása

  1. Nyissa meg a Standard logikai alkalmazás erőforrását az Azure Portalon.

  2. Az erőforrásmenü Munkafolyamatok területén válassza a Kapcsolatok lehetőséget.

  3. A Kapcsolatok panelen válassza a JSON nézetet.

    Képernyőkép az Azure Portalról, a Standard logikai alkalmazás erőforrásról, a Kapcsolatok panelről, amelyen a JSON nézet van kiválasztva.

  4. A JSON-szerkesztőben keresse meg azt a managedApiConnections szakaszt, amely a logikai alkalmazás erőforrásának összes munkafolyamatában tartalmazza az API-kapcsolatokat.

  5. Keresse meg azt a kapcsolatot, amelyhez felhasználó által hozzárendelt felügyelt identitást szeretne hozzáadni.

    Tegyük fel például, hogy a munkafolyamat azure Key Vault-kapcsolattal rendelkezik:

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. A kapcsolatdefinícióban hajtsa végre a következő lépéseket:

    1. Keresse meg az első authentication szakaszt. Ha ebben a identity szakaszban nincs authentication tulajdonság, a logikai alkalmazás implicit módon használja a rendszer által hozzárendelt identitást.

    2. Adjon hozzá egy tulajdonságot identity az ebben a lépésben található példával.

    3. Állítsa be a tulajdonság értékét a felhasználó által hozzárendelt identitás erőforrás-azonosítójának.

    "keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Az Azure Portalon lépjen a célerőforrásra, és adjon hozzáférést a felhasználó által hozzárendelt felügyelt identitáshoz a célerőforrás igényeinek megfelelően.

    Az Azure Key Vault esetében például adja hozzá az identitást a kulcstartó hozzáférési szabályzataihoz. Az Azure Blob Storage esetében rendelje hozzá az identitáshoz szükséges szerepkört a tárfiókhoz.

Felügyelt identitás letiltása

Ha le szeretné állítani a felügyelt identitás hitelesítésre való használatát, először távolítsa el az identitás hozzáférését a célerőforráshoz. Ezután kapcsolja ki a rendszer által hozzárendelt identitást a logikai alkalmazás erőforrásán, vagy távolítsa el a felhasználó által hozzárendelt identitást.

Amikor letiltja a felügyelt identitást a logikai alkalmazás erőforrásán, eltávolítja az identitás azon képességét, hogy hozzáférést kérjen azokhoz az Azure-erőforrásokhoz, amelyekhez az identitás hozzáféréssel rendelkezett.

Feljegyzés

Ha letiltja a rendszer által hozzárendelt identitást, a logikai alkalmazás munkafolyamataiban használt munkafolyamatok által használt összes kapcsolat futásidőben nem fog működni, még akkor sem, ha azonnal újra engedélyezi az identitást. Ez a viselkedés azért fordul elő, mert az azonosító letiltása törli az objektumazonosítóját. Minden alkalommal, amikor engedélyezi az identitást, az Azure egy másik és egyedi objektumazonosítóval hozza létre az identitást. A probléma megoldásához újra létre kell hoznia a kapcsolatokat, hogy az aktuális objektumazonosítót használják az aktuális rendszer által hozzárendelt identitáshoz.

Próbálja lehetőség szerint elkerülni a rendszer által hozzárendelt identitás letiltását. Ha el szeretné távolítani az identitás Azure-erőforrásokhoz való hozzáférését, távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból. Ha törli a logikai alkalmazás erőforrását, az Azure automatikusan eltávolítja a felügyelt identitást a Microsoft Entra-azonosítóból.

A szakasz lépései az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatát ismertetik. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse meg a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure CLI 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure REST API 1. Távolítsa el a szerepkör hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.

További információ: Azure-beli szerepkör-hozzárendelés eltávolítása.

Felügyelt identitás letiltása az Azure Portalon

A felügyelt identitáshoz való hozzáférés eltávolításához távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból, majd tiltsa le a felügyelt identitást.

Szerepkör-hozzárendelések eltávolítása

Az alábbi lépések eltávolítják a célerőforráshoz való hozzáférést a felügyelt identitásból:

  1. Az Azure Portalon lépjen a cél Azure-erőforrásra, ahol el szeretné távolítani a felügyelt identitáshoz való hozzáférést.

  2. A célerőforrás menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Az eszköztáron válassza a Szerepkör-hozzárendelések lehetőséget.

  3. A szerepkörök listájában válassza ki az eltávolítani kívánt felügyelt identitásokat. Az eszköztáron válassza az Eltávolítás lehetőséget.

    Tipp.

    Ha az Eltávolítás lehetőség le van tiltva, akkor valószínűleg nem rendelkezik engedélyekkel. Az erőforrások szerepköreinek kezelését lehetővé tevő engedélyekről további információt a Microsoft Entra ID rendszergazdai szerepkör-engedélyeivel kapcsolatban talál.

Felügyelt identitás letiltása a logikai alkalmazás erőforrásán

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. A logikai alkalmazás erőforrásmenüjének Beállítások területén válassza az Identitás lehetőséget, majd kövesse az identitás lépéseit:

    • Válassza a Rendszer által kijelölt>Kikapcsolva>Mentés. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    • Válassza ki a hozzárendelt felhasználót és a felügyelt identitást, majd válassza az Eltávolítás lehetőséget. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

Felügyelt identitás letiltása ARM-sablonban

Ha ARM-sablonnal hozta létre a logikai alkalmazás felügyelt identitását, állítsa be az identity objektum gyermektulajdonságát type a következőre None: .

"identity": {
   "type": "None"
}

Kapcsolódó tartalom

  • Last updated on