Delen via

Azure Logic Apps veilig integreren met on-premises API's met behulp van de Microsoft Entra-toepassingsproxy

  • Artikel

Azure Logic Apps is een service waarmee u eenvoudig beheerde werkstromen kunt maken in een omgeving zonder code die kan worden geïntegreerd met verschillende externe services en systemen. Werkstromen helpen bij het automatiseren van een breed scala aan bedrijfsprocessen, zoals gegevensintegratie, gegevensverwerking en gebeurtenisgestuurde scenario's. Logic Apps kan worden geïntegreerd met andere openbare en cloudservices. Of gebruik Logic Apps met on-premises toepassingen en services. Integratie met het privénetwerk stelt de service niet bloot aan het publiek met port forwarding of een traditionele omgekeerde proxy.

In dit artikel worden de stappen beschreven die nodig zijn voor het gebruik van de Microsoft Entra-toepassingsproxyoplossing om veilige toegang te bieden tot een logische app, terwijl de interne toepassing wordt beschermd tegen ongewenste actoren. Het proces en het eindresultaat zijn vergelijkbaar met Access on-premises API's met Microsoft Entra-toepassingsproxy , met speciale aandacht voor het gebruik van de API vanuit een logische app.

Overzicht

In het volgende diagram ziet u een traditionele manier om on-premises API's te publiceren voor toegang vanuit Azure Logic Apps. Voor deze aanpak moeten binnenkomende TCP-poorten (Transmission Control Protocol) 80 en/of 443 worden geopend voor de API-service.

Diagram dat de directe verbinding toont van Logic App naar API.

In het volgende diagram ziet u hoe u de Microsoft Entra-toepassingsproxy kunt gebruiken om API's veilig te publiceren voor gebruik met Logic Apps (of andere Azure Cloud-services) zonder binnenkomende poorten te openen:

Diagram dat de verbinding van Logic App naar API via de Azure-toepassingsproxy toont.

De Microsoft Entra-toepassingsproxy en de bijbehorende connector vergemakkelijken veilige autorisatie en integratie met uw on-premises services zonder meer configuratie voor uw netwerkbeveiligingsinfrastructuur.

Vereisten

U hebt het volgende nodig om deze zelfstudie te volgen:

Notitie

Hoewel het verlenen van een gebruikersrechten en het testen van de aanmelding wordt aanbevolen, is dit niet vereist voor deze handleiding.

De toepassingstoegang configureren

Wanneer er een nieuwe ondernemingstoepassing wordt gemaakt, wordt er ook een overeenkomende app-registratie gemaakt. De app-registratie maakt configuratie van beveiligde programmatische toegang mogelijk met behulp van certificaten, geheimen of federatieve referenties. Voor integratie met een logische app configureert u een clientgeheimsleutel en configureert u de API-machtigingen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als tenminste een Toepassingsbeheerder.

  2. Blader naar Identiteit>Toepassingen>App-registraties.

  3. Selecteer in het venster App-registraties de tabbladoptie Alle toepassingen .

  4. Navigeer naar de toepassing met een overeenkomende naam voor de geïmplementeerde toepassingsproxytoepassing. Als u voorbeeld-app 1 bijvoorbeeld hebt geïmplementeerd als een ondernemingstoepassing, selecteert u het registratie-item voorbeeld-app 1.

    Notitie

    Als een gekoppelde toepassing niet kan worden gevonden, is deze mogelijk niet automatisch gemaakt of verwijderd. U kunt een registratie maken met behulp van de knop Nieuwe registratie .

  5. Noteer op de detailpagina van de Sample App 1 de velden Application (client) ID en Directory (tenant) ID.

  6. Selecteer de menuopdracht API-machtigingen in het navigatiedeelvenster.

    Schermopname van het menu-item Machtigingen voor de Registratie-API voor Microsoft Entra-apps.

    1. Selecteer de knop Een machtiging toevoegen.

      1. Selecteer de API's die door mijn organisatie worden gebruikt .

      2. Zoek uw app op naam (bijvoorbeeld voorbeeld-app 1) en selecteer het item.

      3. Zorg ervoor dat Gedelegeerde machtigingen is ingeschakeld en schakel het selectievakje voor user_impersonation in.

      4. Selecteer Machtigingen toevoegen.

    2. Controleer of de geconfigureerde machtiging wordt weergegeven.

      Schermopname van de API-machtigingsdetails voor registratie van Microsoft Entra-apps.

  7. Selecteer het menu-item Certificaten en geheimen in het navigatiedeelvenster.

    Schermopname van het menu-item Microsoft Entra App-registratiecertificaten en geheimen.

    1. Selecteer het tabblad Clientgeheimen .

    2. Klik op de knop Nieuwe clientsleutel.

    3. Vanuit het pop-upvenster Een clientsleutel toevoegen.

      1. Voer een beschrijving en gewenste vervaldatum in.

      2. Selecteer Toevoegen.

    4. Controleer of het nieuwe clientgeheim wordt weergegeven.

    5. Selecteer de knop Kopiëren voor de waarde van het zojuist gemaakte geheim. Sla het geheim veilig op voor later gebruik. Deze waarde wordt slechts één keer weergegeven.

De Logic App configureren

  1. Open vanuit de logische app de ontwerpweergave .

  2. Selecteer een gewenste trigger (als hierom wordt gevraagd).

  3. Voeg een nieuwe stap toe en selecteer de HTTP-bewerking .

    Schermopname van het Azure Logic App-deelvenster voor Triggeropties.

    1. Methode: Selecteer de gewenste HTTP-methode die naar de interne API moet worden verzonden.

    2. URI: Vul de openbare FQDN (Fully Qualified Domain Name) in van uw toepassing die is geregistreerd in Microsoft Entra ID, samen met de andere URI die is vereist voor API-toegang (bijvoorbeeld sampleapp1.msappproxy.net/api/1/status).

      Notitie

      Specifieke waarden voor API zijn afhankelijk van uw interne toepassing.

    3. Headers: voer de gewenste headers in die naar de interne API moeten worden verzonden.

    4. Query's: voer de gewenste query's in die naar de interne API moeten worden verzonden.

    5. Hoofdtekst: Voer de inhoud van de gewenste hoofdtekst in die naar de interne API moet worden verzonden.

    6. Cookie: Voer alle gewenste cookies in die naar de interne API moeten worden verzonden.

    7. Selecteer Nieuwe parameter toevoegen en controleer vervolgens Verificatie.

    8. Selecteer Microsoft Entra ID OAuth in het verificatietype.

    9. Vul voor de verificatie de volgende details in.

      1. Instantie: Voer in https://login.windows.net.

      2. Tenant: Voer de Directory (tenant) ID in die is genoteerd in Applicatietoegang configureren.

      3. Doelgroep: Voer de openbare FQDN in van uw toepassing die is geregistreerd in Microsoft Entra-id (bijvoorbeeld sampleapp1.msappproxy.net).

      4. Client-id: voer de toepassings-id (client) in die is genoteerd in De toepassingstoegang configureren.

      5. Referentietype: geheim.

      6. Geheim: Voer de geheime waarde in die wordt vermeld in De toepassingstoegang configureren.

  4. Sla de logica-app op en test deze met uw trigger.

Waarschuwingen

API's waarvoor verificatie/autorisatie is vereist, vereisen speciale verwerking bij het gebruik van deze methode. Omdat OAuth van Microsoft Entra-id wordt gebruikt voor toegang, bevatten de verzonden aanvragen al een autorisatieveld dat de interne API niet kan gebruiken (tenzij eenmalige aanmelding is geconfigureerd). Als tijdelijke oplossing bieden sommige toepassingen verificatie of autorisatie die andere methoden dan een autorisatieheader gebruiken. GitLab staat bijvoorbeeld een header met de titel PRIVATE-TOKEN toe en Atlassian Jira maakt het mogelijk om een cookie aan te vragen die kan worden gebruikt in latere aanvragen.

De HTTP-actie van de Logic App toont tekst in leesbare vorm. Sla de geheime sleutel voor app-registratie echter op in Azure Key Vault voor veilig ophalen en gebruiken.

Zie ook