Condividi tramite

Bloccare l'utilizzo del connettore in App per la logica di Azure

  • Articolo

Si applica a: App per la logica di Azure (a consumo e standard)

Se l'organizzazione non consente la connessione a risorse limitate o non approvate usando i connettori gestiti in App per la logica di Azure, è possibile bloccare la funzionalità di creare e usare tali connessioni nei flussi di lavoro dell'app per la logica. Con Criteri di Azure, è possibile definire e applicare criteri che impediscono la creazione o l'uso di connessioni per i connettori che si desidera bloccare. Ad esempio, per motivi di sicurezza, è possibile bloccare le connessioni a piattaforme di social media specifiche o ad altri servizi e sistemi.

Questo articolo illustra come configurare un criterio che blocca connessioni specifiche usando il portale di Azure, ma è possibile creare definizioni di criteri in altri modi. Ad esempio, è possibile usare l'API REST di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e i modelli di Azure Resource Manager. Per altre informazioni, vedere Esercitazione: Creare e gestire i criteri per applicare la conformità.

Prerequisiti

Trovare l'ID di riferimento del connettore

Se si ha già un'app per la logica con la connessione che si vuole bloccare, seguire la procedura per il portale di Azure. Altrimenti, eseguire le seguenti operazioni:

Documento di riferimento sui connettori

  1. Esaminare Connettori per App per la logica di Azure.

  2. Trovare la pagina di riferimento per il connettore che si vuole bloccare.

    Ad esempio, se si vuole bloccare il connettore Instagram, che è deprecato, visitare questa pagina:

    https://learn.microsoft.com/connectors/instagram/

  3. Dall'URL della pagina copiare e salvare l'ID riferimento connettore alla fine senza la barra (/), ad esempio instagram.

    In seguito, quando si crea la definizione dei criteri, si usa questo ID nell'istruzione di condizione della definizione, ad esempio:

    "like": "*managedApis/instagram"

Azure portal

  1. Nel portale di Azure trovare e aprire il flusso di lavoro dell'app per la logica.

  2. Nel menu dell'app per la logica selezionare una delle opzioni seguenti:

    • App per la logica a consumo: in Strumenti di sviluppo selezionare Connessioni API.

    • App per la logica standard: in Flussi di lavoro selezionare Connessioni. Nel riquadro Connessioni selezionare Connessioni API se non è già selezionato.

    1. Nel riquadro Connessioni API selezionare la connessione. Quando si apre il riquadro di connessione, nell'angolo superiore destro selezionare Visualizzazione JSON.

    2. Trovare l'oggetto api, che contiene una proprietà e un valore id con il formato seguente:

      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

      L'esempio seguente mostra la proprietà e il valore id per una connessione Instagram:

      "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

    3. Dal valore della proprietà id copiare e salvare l'ID riferimento connettore alla fine, ad esempio instagram.

      In seguito, quando si crea la definizione dei criteri, si usa questo ID nell'istruzione di condizione della definizione, ad esempio:

      "like": "*managedApis/instagram"

Creazione di connessioni in blocco

Per bloccare completamente la creazione di una connessione in un flusso di lavoro dell'app per la logica, seguire questa procedura:

  1. Nella casella di ricerca del portale di Azure immettere criteri e selezionare Criteri.

    Screenshot che mostra la casella di ricerca principale del portale di Azure con il termine

  2. Nel menu Criteri, in Creazione selezionare Definizioni. Nella barra degli strumenti del riquadro Definizione selezionare Definizione di criteri.

    Screenshot che mostra la barra degli strumenti del riquadro

  3. Nel riquadro Definizione di criteri specificare le informazioni per la definizione dei criteri, in base alle proprietà descritte nell'esempio:

    Screenshot che mostra le proprietà della definizione dei criteri.

    Proprietà Richiesto Valore Descrizione
    Posizione della definizione <Azure-subscription-name> Sottoscrizione di Azure da usare per la definizione dei criteri

    1. Per trovare la sottoscrizione, selezionare il pulsante con i puntini di sospensione (...).
    2. Nell'elenco Sottoscrizione trovare e scegliere la sottoscrizione.
    3. Al termine, selezionare Seleziona.
    Nome <policy-definition-name> Nome da usare per la definizione dei criteri
    Descrizione No <policy-definition-name> Descrizione della definizione dei criteri
    Categoria App per la logica Nome di una categoria esistente o di una nuova categoria per la definizione dei criteri
    Applicazione dei criteri Abilitato Questa impostazione specifica se abilitare o disabilitare la definizione dei criteri quando si salva il lavoro.

  4. In REGOLA DEI CRITERI la casella di modifica JSON è prepopolata con un modello di definizione dei criteri. Sostituire questo modello con la definizione di criteri in base alle proprietà descritte nella tabella seguente e seguendo questa sintassi:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Proprietà valore Descrizione
    mode All Modalità che determina i tipi di risorse valutati dai criteri.

    Questo scenario imposta mode su All, cosa che applica i criteri ai gruppi di risorse di Azure, alle sottoscrizioni e a tutti i tipi di risorse.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Modalità.
    if {condition-to-evaluate} Condizione che determina quando applicare la regola dei criteri

    In questo scenario, {condition-to-evaluate} determina se il valore api.id in Microsoft.Web/connections/api.id corrisponde a *managedApis/{connector-name}, che specifica un valore jolly (*).

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    field Microsoft.Web/connections/api.id Valore field da confrontare con la condizione

    In questo scenario, field usa l'alias, Microsoft.Web/connections/api.id, per accedere al valore nella proprietà del connettore api.id.
    like *managedApis/{connector-name} Operatore logico e valore da usare per confrontare il valore field

    In questo scenario, l'operatore like e il carattere jolly (*) assicurano che la regola funzioni indipendentemente dall'area e che la stringa *managedApis/{connector-name} sia il valore che corrisponde al punto in cui {connector-name} è l'ID del connettore che si vuole bloccare.

    Si supponga, ad esempio, di voler bloccare la creazione di connessioni a piattaforme o database di social media:

    - X: x
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server o Azure SQL: sql

    Per trovare questi ID connettore, vedere Trovare l'ID di riferimento del connettore in precedenza in questo argomento.
    then {effect-to-apply} Effetto da applicare quando viene soddisfatta la condizione di if

    In questo scenario, {effect-to-apply} consiste nel bloccare e non eseguire una richiesta o un'operazione che non è conforme ai criteri.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    effect deny effect consiste nel bloccare la richiesta, ovvero creare la connessione specificata

    Per altre informazioni, vedere Informazioni sugli effetti di Criteri di Azure - Nega.

    Si supponga, ad esempio, di voler bloccare la creazione di connessioni con il connettore Instagram. Ecco la definizione dei criteri che è possibile usare:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    Di seguito è riportato il modo in cui viene visualizzata la casella REGOLA DEI CRITERI:

    Screenshot che mostra la casella

    Per più connettori, è possibile aggiungere altre condizioni, ad esempio:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/instagram"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/x"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Al termine, seleziona Salva. Dopo aver salvato la definizione dei criteri, Criteri di Azure genera e aggiunge altri valori delle proprietà alla definizione dei criteri.

  6. Successivamente, per assegnare la definizione dei criteri in cui si desidera applicare i criteri, creare un'assegnazione di criteri.

Per altre informazioni sulle definizioni di Criteri di Azure, vedere questi argomenti:

Bloccare l'associazione di connessioni alle app per la logica

Quando si crea una connessione in un flusso di lavoro dell'app per la logica, questa connessione esiste come risorsa di Azure separata. Se si elimina solo il flusso di lavoro dell'app per la logica, la risorsa di connessione non viene eliminata automaticamente e continua a esistere fino a quando non viene eliminata. Potrebbe essere presente uno scenario in cui la risorsa di connessione esiste già o in cui è necessario creare la risorsa di connessione da usare all'esterno dell'app per la logica. È comunque possibile bloccare la funzionalità di associazione della connessione a un flusso di lavoro diverso dell'app per la logica creando un criterio che impedisce il salvataggio dei flussi di lavoro dell'app per la logica che tentano di usare la connessione limitata o non approvata. Questo criterio influisce solo sui flussi di lavoro delle app per la logica che non usano già la connessione.

  1. Nella casella di ricerca del portale di Azure immettere criteri e selezionare Criteri.

    Screenshot che mostra la casella di ricerca del portale di Azure con il termine

  2. Nel menu Criteri, in Creazione selezionare Definizioni. Nella barra degli strumenti del riquadro Definizione selezionare Definizione di criteri.

    Screenshot che mostra la barra degli strumenti del riquadro

  3. In Definizione di criteri fornire le informazioni per la definizione dei criteri, in base alle proprietà descritte nell'esempio e continuare usando Instagram come esempio:

    Screenshot che mostra le proprietà della definizione dei criteri.

    Proprietà Richiesto Valore Descrizione
    Posizione della definizione <Azure-subscription-name> Sottoscrizione di Azure da usare per la definizione dei criteri

    1. Per trovare la sottoscrizione, selezionare il pulsante con i puntini di sospensione (...).
    2. Nell'elenco Sottoscrizione trovare e scegliere la sottoscrizione.
    3. Al termine, selezionare Seleziona.
    Nome <policy-definition-name> Nome da usare per la definizione dei criteri
    Descrizione No <policy-definition-name> Descrizione della definizione dei criteri
    Categoria App per la logica Nome di una categoria esistente o di una nuova categoria per la definizione dei criteri
    Applicazione dei criteri Abilitato Questa impostazione specifica se abilitare o disabilitare la definizione dei criteri quando si salva il lavoro.

  4. In REGOLA DEI CRITERI la casella di modifica JSON è prepopolata con un modello di definizione dei criteri. Sostituire questo modello con la definizione di criteri in base alle proprietà descritte nella tabella seguente e seguendo questa sintassi:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Proprietà valore Descrizione
    mode All Modalità che determina i tipi di risorse valutati dai criteri.

    Questo scenario imposta mode su All, cosa che applica i criteri ai gruppi di risorse di Azure, alle sottoscrizioni e a tutti i tipi di risorse.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Modalità.
    if {condition-to-evaluate} Condizione che determina quando applicare la regola dei criteri

    In questo scenario, {condition-to-evaluate} determina se l'output della stringa di [string(field('Microsoft.Logic/workflows/parameters'))] contiene la stringa {connector-name}.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    value [string(field('Microsoft.Logic/workflows/parameters'))] Valore da confrontare con la condizione

    In questo scenario, value è l'output stringa di [string(field('Microsoft.Logic/workflows/parameters'))], che converte l'oggetto $connectors all'interno dell'oggetto Microsoft.Logic/workflows/parameters in una stringa.
    contains {connector-name} Operatore logico e valore da utilizzare per il confronto con la proprietà value

    In questo scenario, l'operatore contains assicura che la regola funzioni indipendentemente dalla posizione in cui viene visualizzato {connector-name}, in cui la stringa {connector-name} è l'ID per il connettore che si vuole limitare o bloccare.

    Si supponga, ad esempio, di voler bloccare l'uso di connessioni a piattaforme o database di social media:

    - X: x
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server o Azure SQL: sql

    Per trovare questi ID connettore, vedere Trovare l'ID di riferimento del connettore in precedenza in questo argomento.
    then {effect-to-apply} Effetto da applicare quando viene soddisfatta la condizione di if

    In questo scenario, {effect-to-apply} consiste nel bloccare e non eseguire una richiesta o un'operazione che non è conforme ai criteri.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    effect deny effect consiste in deny o nel bloccare la richiesta di salvataggio di un'app per la logica che usa la connessione specificata

    Per altre informazioni, vedere Informazioni sugli effetti di Criteri di Azure - Nega.

    Si supponga, ad esempio, di voler bloccare il salvataggio delle app per la logica che usano connessioni Instagram. Ecco la definizione dei criteri che è possibile usare:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    Di seguito è riportato il modo in cui viene visualizzata la casella REGOLA DEI CRITERI:

    Screenshot che mostra la regola di definizione dei criteri.

  5. Al termine, seleziona Salva. Dopo aver salvato la definizione dei criteri, Criteri di Azure genera e aggiunge altri valori delle proprietà alla definizione dei criteri.

  6. Successivamente, per assegnare la definizione dei criteri in cui si desidera applicare i criteri, creare un'assegnazione di criteri.

Per altre informazioni sulle definizioni di Criteri di Azure, vedere questi argomenti:

Crea assegnazione criteri

Successivamente, è necessario assegnare la definizione di criteri in cui si vuole applicare i criteri, ad esempio a un singolo gruppo di risorse, a più gruppi di risorse, al tenant Microsoft Entra o alla sottoscrizione di Azure. Per questa attività, seguire questa procedura per creare un'assegnazione di criteri:

  1. Nella casella di ricerca del portale di Azure immettere criteri e selezionare Criteri.

    Screenshot che mostra la casella di ricerca del portale di Azure con il termine

  2. Nel menu Criteri, in Creazione selezionare Assegnazioni. Nella barra degli strumenti del riquadro Assegnazioni selezionare Assegna criteri.

    Screenshot che mostra la barra degli strumenti del riquadro

  3. Nel riquadro Assegna criteri, in Informazioni di base specificare queste informazioni per l'assegnazione dei criteri:

    Proprietà Richiesto Descrizione
    Scope Risorse in cui si vuole applicare l'assegnazione dei criteri.

    1. Accanto alla casella Ambito selezionare i puntini di sospensione (...).
    2. Nell'elenco Sottoscrizione selezionare la sottoscrizione di Azure.
    3. Facoltativamente, nell'elenco Gruppo di risorse selezionare il gruppo di risorse.
    4. Al termine, selezionare Seleziona.
    Esclusioni No Tutte le risorse di Azure da escludere dall'assegnazione dei criteri.

    1. Accanto alla casella Esclusioni selezionare i puntini di sospensione (...).
    2. Nell'elenco Risorsa selezionare la risorsa >Aggiungi all'ambito selezionato.
    3. Al termine, selezionare Salva.
    Definizione criteri Nome della definizione di criteri da assegnare e applicare. Questo esempio continua con i criteri Instagram campione "Blocca connessioni Instagram".

    1. Accanto alla casella Definizione criteri selezionare i puntini di sospensione (...) .
    2. Trovare e selezionare la definizione dei criteri usando il filtro Tipo o la casella Cerca.
    3. Al termine, selezionare Seleziona.
    Nome dell'assegnazione Nome da usare per l'assegnazione di criteri, se diverso dalla definizione dei criteri
    ID assegnazione ID generato automaticamente per l'assegnazione dei criteri
    Descrizione No Descrizione dell'assegnazione dei criteri
    Applicazione dei criteri Impostazione che abilita o disabilita l'assegnazione dei criteri
    Assegnato da No Nome della persona che ha creato e applicato l'assegnazione dei criteri

    Ad esempio, per assegnare i criteri a un gruppo di risorse di Azure usando il campione Instagram:

    Screenshot che mostra le proprietà di assegnazione dei criteri.

  4. Al termine, selezionare Rivedi e crea.

    Dopo aver creato un criterio, potrebbe essere necessario attendere fino a 15 minuti prima che questo abbia effetto. Anche le modifiche potrebbero avere effetti ritardati simili.

  5. Dopo aver applicato il criterio, è possibile testarlo.

Per altre informazioni, vedere Avvio rapido: creare un'assegnazione di criteri per identificare le risorse non conformi.

Testare il criterio

Per provare i criteri, iniziare a creare una connessione usando il connettore con restrizioni nella finestra di progettazione del flusso di lavoro. Continuando con l'esempio Instagram, quando si accede a Instagram viene visualizzato questo errore che indica che l'app per la logica non è riuscita a creare la connessione:

Screenshot che mostra l'errore di connessione a causa dei criteri applicati.

Il messaggio include queste informazioni:

Descrizione Contenuto
Motivo dell'errore "Resource 'instagram' was disallowed by policy."
Nome dell'assegnazione "Block Instagram connections"
ID assegnazione "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID definizione criteri "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Passaggi successivi