Megosztás a következőn keresztül:

Logic Apps aktiválása egyéni bővítményekkel a jogosultságkezelésben

  • Cikk

Az Azure Logic Apps segítségével automatizálhatók az egyéni munkafolyamatok, és egyetlen helyen csatlakoztathatók alkalmazások és szolgáltatások. A felhasználók a jogosultságkezeléssel integrálhatják a Logic Appst, hogy kibővítsék szabályozási munkafolyamataikat az alapvető jogosultságkezelési használati eseteken túl.

Ezek a Logic Apps ezután aktiválhatók, hogy a jogosultságkezelési használati eseteknek megfelelően fussanak, például amikor hozzáférési csomagot adnak meg vagy kérnek. Egy rendszergazda például létrehozhat és összekapcsolhat egy egyéni logikai alkalmazást a jogosultságkezeléssel, így amikor egy felhasználó hozzáférési csomagot kér, a rendszer elindít egy logikai alkalmazást, amely biztosítja, hogy a felhasználó bizonyos jellemzőket is hozzárendeljen egy külső SAAS-alkalmazáshoz (például a Salesforce-hoz), vagy egyéni e-mailt küldjön.

A Logic Appsszel integrálható jogosultságkezelési használati esetek a következő fázisokat tartalmazzák. Ezek az eseményindítók egy olyan hozzáférési csomaghoz vannak társítva, amely képes elindítani az egyéni bővítmény logic appját:

  • Hozzáférési csomag kérésének létrehozásakor

  • Hozzáférési csomagra vonatkozó kérés jóváhagyásakor

  • Hozzáférési csomag hozzárendelésének megadásakor

  • Hozzáférési csomag hozzárendelésének eltávolításakor

  • 14 nappal a hozzáférési csomag hozzárendelésének automatikus lejárata előtt

  • Egy nappal a hozzáférési csomag hozzárendelésének automatikus lejárata előtt

Ezek a Logic Apps-eseményindítók a Szabályok nevű hozzáférési csomag szabályzatainak egyik lapján vannak vezérelve. Emellett a Katalógus lapon található Egyéni bővítmények lapon megjelenik egy adott katalógus összes hozzáadott Logic Apps-bővítménye. Ez a cikk azt ismerteti, hogyan hozhat létre és vehet fel logikai alkalmazásokat katalógusokba és férhet hozzá csomagokhoz a jogosultságkezelésben.

Licenckövetelmények

A funkció használatához Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

Logikai alkalmazás munkafolyamatának létrehozása és hozzáadása katalógushoz jogosultságkezeléshez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az erőforráscsoport tulajdonosa.

  2. Keresse meg az identitásszabályozási>katalógusokat.

  3. Válassza ki azt a katalógust, amelyhez egyéni bővítményt szeretne hozzáadni, majd a bal oldali menüben válassza az Egyéni bővítmények lehetőséget.

  4. A fejléc navigációs sávjában válassza az Egyéni bővítmény hozzáadása lehetőséget.

  5. Az Alapszintű beállítások lapon adja meg az egyéni bővítmény nevét, amelynek a hivatkozott logikai alkalmazás neve és a munkafolyamat leírása kell legyen. Ezek a mezők megjelennek a katalógus Egyéni bővítmények lapján.

    Panel egyéni bővítmény létrehozásához

  6. A Bővítmény típusa lap határozza meg, hogy milyen típusú hozzáférésicsomag-szabályzatokkal használhatja az egyéni bővítményt. A "Munkafolyamat kérése" típus támogatja a szabályzat szakaszait: létrejön a kért hozzáférési csomag, a kérelem jóváhagyásakor, a hozzárendelés megadásakor és a hozzárendelés eltávolításakor. Ez a típus az Indítás és várakozás funkciót is támogatja.

  7. A lejárat előtti munkafolyamat támogatja a szabályzat szakaszait: a hozzáférési csomag hozzárendelésének lejáratáig 14 nap, a hozzáférési csomag hozzárendelésének lejáratáig pedig 1 nap. Ez a bővítménytípus nem támogatja az indítást és a várakozást.

    Képernyőkép az indítási és várakozási konfigurációs beállításokról.

  8. A Bővítménykonfiguráció lapon eldöntheti, hogy a bővítmény "indítási és folytatási" vagy "indítási és várakozási" viselkedéssel rendelkezik-e. Az "Indítás és folytatás" beállítással a hozzáférési csomag csatolt szabályzatművelete( például egy kérés) aktiválja az egyéni bővítményhez csatolt logikai alkalmazást. A logikai alkalmazás aktiválása után a hozzáférési csomaghoz társított jogosultságkezelési folyamat folytatódik. A "Launch and wait" (Indítás és várakozás) műveletnél szüneteltetjük a társított hozzáférési csomag műveletet, amíg a bővítményhez csatolt logikai alkalmazás befejezi a feladatát, és a rendszergazda a folyamat folytatásához egy folytatási műveletet küld. Ha a megadott várakozási időszakban nem küld vissza választ, a folyamat sikertelennek minősül. Ezt a folyamatot a jogosultságkezelési folyamatokat szüneteltető egyéni bővítmények konfigurálása című szakasz ismerteti.

  9. A Részletek lapon adja meg, hogy egy meglévő használati csomag logikai alkalmazást szeretne-e használni. Ha az Igen lehetőséget választja az "Új logikai alkalmazás létrehozása" mezőben (alapértelmezés) létrehoz egy új üres használati tervet, a Logic Appot, amely már kapcsolódik ehhez az egyéni bővítményhez. Ettől függetlenül meg kell adnia a következőt:

    1. Azure-előfizetés.

    2. Új logikai alkalmazás létrehozásakor logikai alkalmazás erőforrás-létrehozási engedélyekkel rendelkező erőforráscsoport.

    3. Ha ezt a beállítást használja, válassza a "Logikai alkalmazás létrehozása" lehetőséget.

      Képernyőkép a logikai alkalmazás részletes kijelöléseinek létrehozásáról.

    Feljegyzés

    Amikor új logikai alkalmazást hoz létre ebben a modálisban, a "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" hossza nem haladhatja meg a 150 karaktert.

  10. A Véleményezés és létrehozás területen tekintse át az egyéni bővítmény összegzését, és győződjön meg arról, hogy a Logic App-ábrafelirat részletei helyesek. Válassza a Létrehozás parancsot.

  11. A csatolt logikai alkalmazáshoz tartozó egyéni bővítmény mostantól megjelenik a Katalógusok alatti Egyéni bővítmények lapon. Ezt az egyéni bővítményt a hozzáférési csomag szabályzataiban hívhatja meg.

Katalógus meglévő egyéni bővítményeinek megtekintése és szerkesztése

  1. Navigáljon az Egyéni bővítmények lapra a katalógusban, ahogy korábban már említettük, legalább identitásirányítási rendszergazdaként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa.

  2. Itt megtekintheti az összes létrehozott egyéni bővítményt, a társított logikai alkalmazással és az egyéni bővítmény típusával kapcsolatos információkat. Képernyőkép az egyéni bővítmények listájáról.

  3. A Logikai alkalmazás nevével együtt a Típus oszlop azt határozza meg, hogy az egyéni bővítmény az új V2 hitelesítési modellben (2023. március 17. után) vagy az eredeti modellben lett-e létrehozva. Ha egyéni bővítményt hoztak létre az új modellben, a Típus oszlop megegyezik a kiválasztott típussal a konfigurációs modálisból, amely "hozzárendelési kérelem" vagy "lejárat előtti". A régebbi egyéni bővítmények esetében a típus az "egyéni hozzáférési csomagot" jeleníti meg.

  4. A Token Security oszlop az egyéni bővítmény létrehozásakor használt hitelesítési biztonsági keretrendszert jeleníti meg. Az új V2-es egyéni bővítmények a jogkivonat biztonsági típusaként a "tulajdonjog igazolása" (PoP) értéket jelenítik meg. A régebbi egyéni bővítmények "normál" értéket mutatnak.

  5. A régi stílusú egyéni bővítmények már nem hozhatók létre a felhasználói felületről, a meglévők azonban a felhasználói felületről új stílusú egyéni bővítményekké alakíthatók át. Képernyőkép a régi biztonsági jogkivonat újsá alakításáról.

  6. A régi egyéni bővítmény sorának végén található három pont kiválasztásával gyorsan frissítheti az egyéni bővítményt egy új típusra.

    Feljegyzés

    Az egyéni bővítmények csak akkor konvertálhatók új típussá, ha nincsenek használatban, vagy ha kizárólag egy adott bővítménytípus (hozzárendelési kérelem szakaszai vagy lejárat előtti szakaszai) szabályzatszakaszaihoz vannak használatban.

  7. Az egyéni bővítményeket is szerkesztheti. Ez lehetővé teszi a név, a leírás és az egyéb mezőértékek frissítését. Ezt úgy teheti meg, hogy a Szerkesztés lehetőséget választja a három pontból álló panelen bármilyen egyéni bővítményhez.

  8. A régi stílusú egyéni bővítmények továbbra is használhatók és szerkeszthetők, még akkor is, ha nem konvertálódnak, még akkor is, ha már nem hozhatók létre.

  9. Ha egy régi stílusú egyéni bővítmény nem frissíthető az új típusra, mert a szabályzatszakaszokhoz, a hozzárendelési kérelemhez és a lejárat előtti típusokhoz használja, akkor a frissítéshez vagy el kell távolítania az összes csatolt szabályzatból, vagy meg kell győződnie arról, hogy csak a ONE típushoz társított szabályzatszakaszokhoz használja (hozzárendelési kérelem, vagy lejárat előtt).  

Egyéni bővítmény hozzáadása egy hozzáférési csomag szabályzatához

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access csomagkezelője.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Válassza ki azt a hozzáférési csomagot, amelyhez egyéni bővítményt (logikai alkalmazást) szeretne hozzáadni a már létrehozott hozzáférési csomagok listájából.

    Feljegyzés

    Ha új hozzáférési csomagot szeretne létrehozni, válassza az Új hozzáférési csomag lehetőséget. További információ a hozzáférési csomagok létrehozásáról: Új hozzáférési csomag létrehozása a jogosultságkezelésben. A meglévő hozzáférési csomagok szerkesztéséről további információt a Hozzáférési csomag kérési beállításainak módosítása a Microsoft Entra jogosultságkezelésében című témakörben talál.

  4. Váltson a házirend lapra, válassza ki a szabályzatot, és válassza a Szerkesztés lehetőséget.

  5. A szabályzat beállításai között lépjen az Egyéni bővítmények lapra.

  6. A Szakasz alatti menüben válassza ki azt a hozzáférési csomageseményt, amelyet eseményindítóként szeretne használni ehhez az egyéni bővítményhez (Logic App). Ha például csak akkor szeretné aktiválni az egyéni bővítmény logic app munkafolyamatát, amikor egy felhasználó kéri a hozzáférési csomagot, válassza a Kérés lehetőséget.

  7. Az Egyéni bővítmény alatti menüben válassza ki a hozzáférési csomaghoz hozzáadni kívánt egyéni bővítményt (Logic App). A kiválasztott művelet akkor hajtja végre, amikor a mezőben kijelölt esemény bekövetkezik.

  8. A Frissítés lehetőséget választva hozzáadhatja azt egy meglévő hozzáférési csomag szabályzatához.

    Logikai alkalmazás hozzáadása a csomag eléréséhez

Csatolt logikai alkalmazás munkafolyamat-definíciójának szerkesztése

Az egyéni bővítményekhez csatolt újonnan létrehozott Logic Apps esetében ezek a Logic Apps üresen kezdődnek. Ahhoz, hogy létrehozhassa a Logic Appsben azokat a munkafolyamatokat, amelyeket a bővítmény aktivál a csatolt hozzáférési csomag házirendjének feltétele aktiválásakor, szerkesztenie kell a Logic App-munkafolyamat definícióját a Logic App Designerben. Ehhez kövesse az alábbi lépéseket:

  1. Navigáljon az Egyéni bővítmények lapra a katalógusban, ahogy korábban már említettük, legalább identitásirányítási rendszergazdaként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa.

  2. Válassza ki azt az egyéni bővítményt, amelynek szerkeszteni szeretné a logikai alkalmazást.

  3. Válassza ki a logikai alkalmazást a logikai alkalmazás oszlopában a társított egyéni bővítménysorhoz. Ez lehetővé teszi a munkafolyamat szerkesztését vagy létrehozását a Logic App Designerben.

A logikaialkalmazás-munkafolyamatok létrehozásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Példa fogyasztási munkafolyamat létrehozása több-bérlős Azure Logic Apps-alkalmazásokban.

Jogosultságkezelési folyamatokat szüneteltető egyéni bővítmények konfigurálása

Az egyéni bővítmények funkció új frissítése az egyéni bővítményhez társított hozzáférési csomag házirendfolyamatának szüneteltetése mindaddig, amíg a Logic App befejeződik, és a rendszer vissza nem küldi a kérelem hasznos adatait a jogosultságkezelésnek. Ha például egy logikai alkalmazás egyéni bővítményét egy hozzáférési csomag engedélyezési szabályzata aktiválja, és engedélyezve van az "indítás és várakozás", a logikai alkalmazás aktiválása után a támogatási folyamat csak a Logic App befejeződése után folytatódik, és a rendszer visszaküld egy önéletrajzkérelmet a jogosultságkezelésnek.

Ez a szüneteltetési folyamat lehetővé teszi a rendszergazdák számára, hogy irányítják a futtatni kívánt munkafolyamatokat, mielőtt folytatják a hozzáférési életciklussal kapcsolatos feladatokat a jogosultságkezelésben. Ez alól az egyetlen kivétel, ha időtúllépés történik. Az indítási és várakozási folyamatok legfeljebb 14 napos időtúllépést igényelnek, amely percekben, órákban vagy napokban van megadva. Ha az "időtúllépési" időszak leteltével a rendszer nem küld vissza önéletrajz-választ a jogosultságkezelésnek, a jogosultságkezelési kérelem munkafolyamata szünetel.

A rendszergazda felelős egy olyan automatizált folyamat konfigurálásáért, amely képes elküldeni az API önéletrajzkérelem hasznos adatait a jogosultságkezelésnek, miután a Logic App munkafolyamata befejeződött. Az önéletrajz-kérelem hasznos adatainak visszaküldéséhez kövesse az itt található utasításokat a Graph API-dokumentumokban. Az önéletrajz-kérelemről itt talál információt.

Ha egy hozzáférési csomag szabályzata engedélyezve van egy egyéni bővítmény meghívásához, és a kérésfeldolgozás az ügyfél visszahívására vár, az ügyfél elindíthat egy folytatási műveletet. Egy accessPackageAssignmentRequest objektumon hajtja végre, amelynek requestStatus kérése WaitingForCallback állapotban van.

Az önéletrajz-kérelem a következő szakaszokra küldhető vissza:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Az alábbi folyamatábra a Logic Apps-munkafolyamat jogosultságkezelési feliratát mutatja be: A logic apps munkafolyamat jogosultságkezelési hívásának diagramja.

A diagram folyamatábra a következőt mutatja:

  1. A felhasználó létrehoz egy egyéni végpontot, amely képes fogadni a hívást az Identity Service-ből
  2. Az identitásszolgáltatás teszthívást indít annak ellenőrzésére, hogy a végpontot meghívhatja-e az Identity Service
  3. A felhasználó meghívja a Graph API-t, hogy kérje a felhasználó hozzáférési csomaghoz való hozzáadását
  4. Az Identity Service hozzá lesz adva a háttérbeli munkafolyamatot aktiváló üzenetsorhoz
  5. A jogosultságkezelési szolgáltatás kérésfeldolgozása meghívja a logikai alkalmazást a kérelem hasznos adataival
  6. A munkafolyamat az elfogadott kódot várja
  7. A jogosultságkezelési szolgáltatás megvárja, amíg a letiltó egyéni művelet folytatódik
  8. Az ügyfélrendszer meghívja a kérelem folytatási API-jának az identitásszolgáltatáshoz a kérés feldolgozásának folytatásához
  9. Az identitásszolgáltatás hozzáadja az önéletrajz-kérelem üzenetét a jogosultságkezelési szolgáltatás üzenetsorához, amely a háttérbeli munkafolyamatot folytatja
  10. A jogosultságkezelési szolgáltatás a letiltott állapotból folytatódik

Az önéletrajzkérés hasznos adataira példa a következő:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Az Indítás és várakozás funkcióval a rendszergazdák megtagadják a kérést, ha a bővítmény a hozzáférési csomag "a kérés létrejött" vagy a "kérelem jóváhagyva" szakaszához van csatolva. Ezekben az esetekben a logikai alkalmazás visszaküldhet egy "megtagadási" üzenetet a jogosultságkezelésnek, amely véget vet a folyamatnak, mielőtt a végfelhasználó megkapja a hozzáférési csomagot.

Ahogy említettük, a kérelem munkafolyamat-típusával létrehozott egyéni bővítmények, amelyek négy kapcsolódó szabályzatszakaszt tartalmaznak, igény szerint engedélyezhetők az "Indítás és várakozás" lehetőséggel.

Az alábbi példa egy hozzáférési csomag-hozzárendelési kérelem feldolgozásának folytatására a visszahívásra váró kérés megtagadásával. A kérelem nem tagadható meg a kiírás assignmentRequestCreated szakaszában.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Bővítmény végfelhasználói felülete

Jóváhagyó felület

A jóváhagyó az önéletrajz-kérelem hasznos adatai customExtensionStageInstanceDetail között megadott sztringet látja a jogosultságkezelési folyamatokat szüneteltető egyéni bővítmények konfigurálása területen található hasznos adatok között. Képernyőkép a jóváhagyó képernyőről.

Kérelmezői élmény

Ha egy hozzáférési csomag rendelkezik egy indítási és várakozási funkcióval rendelkező egyéni bővítménysel, és a logikai alkalmazás a hozzáférési csomag kérésének létrehozásakor aktiválódik, a kérelmezők a Kérések előzményei között láthatják a kérés állapotát a MyAccessben.

A következő állapotfrissítések jelennek meg a felhasználók számára az egyéni bővítményszakaszuk alapján:

Egyéni bővítményszakasz Üzenet jelenik meg a kérelmezőnek a MyAccess kérési előzményeiben
A bővítmény feldolgozásakor Várakozás az információra a folytatás előtt
Ha a bővítmény sikertelen A folyamat lejárt
Amikor a bővítmény újraindul A folyamat folytatódik

Ez egy példa egy myAccess-kérés előzményére egy kérelmezőtől a bővítmény folytatása után:

Képernyőkép a kérelmező képernyőről.

Hibaelhárítás és ellenőrzés

A kéréshez társított egyéni bővítmények esetében az egyéni bővítmény folyamatának részleteit (és az indítást és várakozást, ha engedélyezve van) a kérelemelőzmények részleteit tartalmazó hivatkozáson tekintheti meg a társított hozzáférési csomag kérés részletei oldalán.

Képernyőkép egy egyéni feladatbővítmény előzményeinek lekéréséről.Képernyőkép az egyéni feladatbővítmény kijelölési részleteiről.

Itt látható például a kérés elküldése, valamint az indítási és várakozási folyamat (a visszahívásra való várakozás) kezdete. A kérést jóváhagyták, és a jogosultságkezelési szakasz "újraindult", miután a Logikai alkalmazás végre lett hajtva, és az önéletrajzkérelmet 12:15-kor adták vissza.

Emellett a kérés részletei között található új egyéni bővítménypéldányok hivatkozása a kérelem hozzáférési csomagjával társított egyéni bővítmény adatait jeleníti meg.
Képernyőkép a kijelölés részleteinek listaelemeiről.

Ez az egyéni bővítményazonosítót és az állapotot jeleníti meg. Ez az információ attól függően változik, hogy van-e kapcsolódó indítási és várakozási visszahívás.

Annak ellenőrzéséhez, hogy az egyéni bővítmény megfelelően aktiválta-e a társított logikai alkalmazást, megtekintheti a logikai alkalmazás naplóit is, amelyek időbélyeget kaptak a Logikai alkalmazás legutóbbi végrehajtásának időpontjáról.

Következő lépések