Wyzwalanie usługi Logic Apps z niestandardowymi rozszerzeniami w zarządzaniu upoważnieniami

  • Artykuł

Usługa Azure Logic Apps może służyć do automatyzowania niestandardowych przepływów pracy i łączenia aplikacji i usług w jednym miejscu. Użytkownicy mogą zintegrować usługę Logic Apps z zarządzaniem upoważnieniami, aby poszerzyć przepływy pracy nadzoru poza podstawowymi przypadkami użycia zarządzania upoważnieniami.

Następnie można wyzwolić te aplikacje logiki, aby były uruchamiane zgodnie z przypadkami użycia zarządzania upoważnieniami, takimi jak po udzieleniu lub żądaniu pakietu dostępu. Na przykład administrator może utworzyć i połączyć niestandardową aplikację logiki z zarządzaniem upoważnieniami, aby po żądaniu pakietu dostępu przez użytkownika wyzwalana jest aplikacja logiki, która gwarantuje, że użytkownik ma również przypisane pewne cechy w aplikacji SAAS innej firmy (takiej jak Salesforce) lub jest wysyłana niestandardowa wiadomość e-mail.

Przypadki użycia zarządzania upoważnieniami, które można zintegrować z usługą Logic Apps, obejmują następujące etapy. Są to wyzwalacze skojarzone z pakietem dostępu, który może uruchomić niestandardową aplikację logiki rozszerzenia:

  • Po utworzeniu żądania pakietu dostępu

  • Po zatwierdzeniu żądania pakietu dostępu

  • Po udzieleniu przypisania pakietu dostępu

  • Po usunięciu przypisania pakietu dostępu

  • 14 dni przed automatycznym wygaśnięciem przypisania pakietu dostępu

  • Jeden dzień przed automatycznym wygaśnięciem przypisania pakietu dostępu

Te wyzwalacze w usłudze Logic Apps są kontrolowane na karcie w ramach zasad pakietu dostępu o nazwie Reguły. Ponadto na stronie Wykaz na karcie Rozszerzenia niestandardowe są wyświetlane wszystkie dodane rozszerzenia usługi Logic Apps dla danego wykazu. W tym artykule opisano sposób tworzenia i dodawania aplikacji logiki do wykazów i uzyskiwania dostępu do pakietów w zarządzaniu upoważnieniami.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.

Tworzenie i dodawanie przepływu pracy aplikacji logiki do katalogu do użycia w zarządzaniu upoważnieniami

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Role wymagań wstępnych: administrator globalny, administrator usługi Identity Governance, właściciel wykazu lub właściciel grupy zasobów

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do katalogu ładu>tożsamości.

  3. Wybierz katalog, dla którego chcesz dodać rozszerzenie niestandardowe, a następnie w menu po lewej stronie wybierz pozycję Rozszerzenia niestandardowe.

  4. Na pasku nawigacyjnym nagłówka wybierz pozycję Dodaj rozszerzenie niestandardowe.

  5. Na karcie Podstawy wprowadź nazwę rozszerzenia niestandardowego, które powinno być nazwą aplikacji logiki, którą łączysz, oraz opisem przepływu pracy. Te pola są wyświetlane na karcie Rozszerzenia niestandardowe wykazu.

    Pane to create a custom extension

  6. Karta Typ rozszerzenia definiuje typ zasad pakietu dostępu, z którym można używać rozszerzenia niestandardowego. Typ "Żądanie przepływu pracy" obsługuje etapy zasad: żądany pakiet dostępu jest tworzony, gdy żądanie jest zatwierdzane, po udzieleniu przypisania i po usunięciu przypisania. Ten typ obsługuje również uruchamianie i oczekiwanie. Możliwości.

  7. Przepływ pracy przed wygaśnięciem obsługuje etapy zasad: 14 dni do wygaśnięcia przypisania pakietu dostępu i 1 dzień do wygaśnięcia przypisania pakietu dostępu. Ten typ rozszerzenia nie obsługuje uruchamiania i oczekiwania.

    Screenshot of launch and wait configuration options.

  8. Karta Konfiguracja rozszerzenia umożliwia podjęcie decyzji, czy rozszerzenie ma zachowanie "uruchamianie i kontynuowanie" lub "uruchamianie i oczekiwanie". Po uruchomieniu i kontynuowaniu połączonej akcji zasad w pakiecie dostępu, takiej jak żądanie, wyzwala aplikację logiki dołączoną do rozszerzenia niestandardowego. Po wyzwoleniu aplikacji logiki proces zarządzania upoważnieniami skojarzony z pakietem dostępu będzie kontynuowany. W przypadku polecenia "Uruchom i poczekaj" wstrzymamy skojarzona akcja pakietu dostępu do momentu, gdy aplikacja logiki połączona z rozszerzeniem zakończy swoje zadanie, a administrator wyśle akcję wznawiania, aby kontynuować proces. Jeśli żadna odpowiedź nie zostanie wysłana z powrotem w zdefiniowanym okresie oczekiwania, ten proces zostanie uznany za błąd. Ten proces został opisany poniżej w własnej sekcji Konfigurowanie niestandardowych rozszerzeń, które wstrzymuje procesy zarządzania upoważnieniami.

  9. Na karcie Szczegóły wybierz, czy chcesz użyć istniejącej aplikacji logiki planu zużycia. Wybranie pozycji Tak w polu "Utwórz nową aplikację logiki" (ustawienie domyślne) powoduje utworzenie nowej pustej aplikacji logiki planu zużycia, która jest już połączona z tym rozszerzeniem niestandardowym. Niezależnie od tego, musisz podać następujące elementy:

    1. Subskrypcja Azure.

    2. Grupa zasobów z uprawnieniami tworzenia zasobów aplikacji logiki w przypadku tworzenia nowej aplikacji logiki.

    3. Wybierz pozycję "Utwórz aplikację logiki", jeśli używasz tego ustawienia.

      Screenshot of creating logic app detail selections.

    Uwaga

    Podczas tworzenia nowej aplikacji logiki w tym modalnym czasie długość ciągu "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" nie może przekraczać 150 znaków.

  10. W obszarze Przeglądanie i tworzenie przejrzyj podsumowanie rozszerzenia niestandardowego i upewnij się, że szczegóły objaśnienia aplikacji logiki są poprawne. Następnie wybierz Utwórz.

  11. To rozszerzenie niestandardowe połączonej aplikacji logiki jest teraz wyświetlane na karcie Rozszerzenia niestandardowe w obszarze Wykazy. Możesz wywołać tę funkcję w zasadach pakietu dostępu.

Wyświetlanie i edytowanie istniejących rozszerzeń niestandardowych dla wykazu

Role wymagań wstępnych: administrator globalny, administrator usługi Identity Governance lub właściciel wykazu

  1. Przejdź do karty Rozszerzenia niestandardowe w katalogu, jak wspomniano wcześniej.

  2. W tym miejscu możesz wyświetlić wszystkie utworzone rozszerzenia niestandardowe oraz skojarzona aplikacja logiki oraz informacje o niestandardowym typie rozszerzenia. Screenshot of a list of custom extensions.

  3. Wraz z nazwą aplikacji logiki kolumna Typ określa, czy rozszerzenie niestandardowe zostało utworzone w nowym modelu uwierzytelniania w wersji 2 (po 17 marca 2023 r.), czy w oryginalnym modelu. Jeśli rozszerzenie niestandardowe zostało utworzone w nowym modelu, kolumna Typ pasuje do wybranego typu z modalnej konfiguracji, która jest "żądanie przypisania" lub "przed wygaśnięciem". W przypadku starszych rozszerzeń niestandardowych typ zawiera "niestandardowy pakiet dostępu".

  4. W kolumnie Zabezpieczenia tokenu jest wyświetlana skojarzona platforma zabezpieczeń uwierzytelniania używana podczas tworzenia rozszerzenia niestandardowego. Nowe rozszerzenia niestandardowe w wersji 2 pokazują "dowód posiadania" (PoP) jako typ zabezpieczeń tokenu. Starsze rozszerzenia niestandardowe pokazują "regularne".

  5. Stare rozszerzenia niestandardowe stylu nie mogą już być tworzone z poziomu interfejsu użytkownika, jednak istniejące można przekonwertować na nowe rozszerzenia niestandardowe stylu z interfejsu użytkownika. Screenshot of converting old security token to new.

  6. Wybranie trzech kropek na końcu wiersza starego rozszerzenia niestandardowego umożliwia szybkie zaktualizowanie rozszerzenia niestandardowego do nowego typu.

    Uwaga

    Rozszerzenia niestandardowe można konwertować tylko na nowy typ, jeśli nie są używane lub są używane wyłącznie dla etapów zasad jednego określonego typu rozszerzenia (etapy żądania przypisania lub etapy przed wygaśnięciem).

  7. Można również edytować dowolne rozszerzenie niestandardowe. Dzięki temu można zaktualizować nazwę, opis i inne wartości pól. Można to zrobić, wybierając pozycję Edytuj wewnątrz okienka z trzema kropkami dla dowolnego rozszerzenia niestandardowego.

  8. Stare rozszerzenia niestandardowe stylu mogą być nadal używane i edytowane, nawet jeśli nie są konwertowane, mimo że nie można ich już tworzyć.

  9. Jeśli nie można zaktualizować starego rozszerzenia niestandardowego stylu do nowego typu, ponieważ jest on używany do etapów zasad, zarówno żądania przypisania, jak i typów przed wygaśnięciem, aby zaktualizować go, musisz usunąć go ze wszystkich połączonych zasad lub upewnić się, że jest on używany tylko dla etapów zasad skojarzonych z jednym typem (żądanie przypisania, lub przed wygaśnięciem).  

Dodawanie rozszerzenia niestandardowego do zasad w pakiecie dostępu

Role wymagań wstępnych: administrator globalny, administrator ładu tożsamości, właściciel wykazu lub menedżer pakietów programu Access

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Wybierz pakiet dostępu, do którego chcesz dodać niestandardowe rozszerzenie (aplikacja logiki) z listy pakietów dostępu, które zostały już utworzone.

    Uwaga

    Wybierz pozycję Nowy pakiet dostępu, jeśli chcesz utworzyć nowy pakiet dostępu. Aby uzyskać więcej informacji na temat tworzenia pakietu dostępu, zobacz Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami. Aby uzyskać więcej informacji na temat edytowania istniejącego pakietu dostępu, zobacz Zmienianie ustawień żądania dla pakietu dostępu w usłudze Microsoft Entra entitlement management.

  4. Przejdź do karty zasady, wybierz zasady i wybierz pozycję Edytuj.

  5. W ustawieniach zasad przejdź do karty Rozszerzenia niestandardowe.

  6. W menu poniżej etapu wybierz zdarzenie pakietu dostępu, którego chcesz użyć jako wyzwalacza dla tego rozszerzenia niestandardowego (aplikacja logiki). Jeśli na przykład chcesz wyzwolić niestandardowy przepływ pracy aplikacji logiki rozszerzenia, gdy użytkownik zażąda pakietu dostępu, wybierz pozycję Żądanie zostanie utworzone.

  7. W menu poniżej rozszerzenia niestandardowego wybierz rozszerzenie niestandardowe (aplikacja logiki), które chcesz dodać do pakietu dostępu. Wybrana akcja jest wykonywana po wybraniu zdarzenia w polu, w którym występuje.

  8. Wybierz pozycję Aktualizuj , aby dodać go do zasad istniejącego pakietu dostępu.

    Add a Logic App to access package

Edytowanie definicji przepływu pracy połączonej aplikacji logiki

Role wymagań wstępnych: administrator globalny, administrator usługi Identity Governance lub właściciel wykazu

W przypadku nowo utworzonych aplikacji logiki połączonych z rozszerzeniami niestandardowymi te aplikacje logiki zaczynają być puste. Aby utworzyć przepływy pracy w usłudze Logic Apps, które będą wyzwalane przez rozszerzenie po wyzwoleniu warunku zasad połączonego pakietu dostępu, należy edytować definicję przepływu pracy aplikacji logiki w projektancie aplikacji logiki. W tym celu należy wykonać następujące kroki:

  1. Przejdź do karty Rozszerzenia niestandardowe w katalogu, jak wspomniano w powyższej sekcji.

  2. Wybierz rozszerzenie niestandardowe, dla którego chcesz edytować aplikację logiki.

  3. Wybierz aplikację logiki w kolumnie Aplikacja logiki dla skojarzonego wiersza rozszerzenia niestandardowego. Umożliwia to edytowanie lub tworzenie przepływu pracy w projektancie aplikacji logiki.

Aby uzyskać więcej informacji na temat tworzenia przepływów pracy aplikacji logiki, zobacz Szybki start: tworzenie przykładowego przepływu pracy użycia w wielodostępnej usłudze Azure Logic Apps.

Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami

Nowa aktualizacja funkcji rozszerzeń niestandardowych to możliwość wstrzymania procesu zasad pakietu dostępu skojarzonego z rozszerzeniem niestandardowym do momentu ukończenia tej aplikacji logiki, a ładunek żądania wznawiania jest wysyłany z powrotem do zarządzania upoważnieniami. Jeśli na przykład niestandardowe rozszerzenie aplikacji logiki zostanie wyzwolone z zasad udzielania pakietu dostępu, a "uruchamianie i oczekiwanie" jest włączone, gdy aplikacja logiki zostanie wyzwolona, proces udzielania nie zostanie wznowiony dopiero po zakończeniu działania aplikacji logiki, a żądanie wznowienia zostanie wysłane z powrotem do zarządzania upoważnieniami.

Ten proces wstrzymania umożliwia administratorom kontrolowanie przepływów pracy, które mają być uruchamiane przed kontynuowaniem zadań cyklu życia dostępu w zarządzaniu upoważnieniami. Jedynym wyjątkiem jest przekroczenie limitu czasu. Procesy uruchamiania i oczekiwania wymagają limitu czasu do 14 dni zanotowany w minutach, godzinach lub dniach. Jeśli odpowiedź wznawiania nie zostanie wysłana z powrotem do zarządzania upoważnieniami do czasu upływu "limitu czasu", proces przepływu pracy żądania zarządzania upoważnieniami zostanie wstrzymany.

Administrator jest odpowiedzialny za skonfigurowanie zautomatyzowanego procesu, który może wysłać ładunek żądania wznowienia interfejsu API do zarządzania upoważnieniami po zakończeniu przepływu pracy aplikacji logiki. Aby wysłać z powrotem ładunek żądania wznawiania, postępuj zgodnie z instrukcjami podanymi tutaj w dokumentach interfejsu API programu Graph. Zobacz tutaj informacje dotyczące żądania wznowienia.

W szczególności po włączeniu zasad pakietu dostępu w celu wywołania rozszerzenia niestandardowego, a przetwarzanie żądań oczekuje na wywołanie zwrotne od klienta, klient może zainicjować akcję wznawiania. Jest wykonywane na obiekcie accessPackageAssignmentRequest , którego requestStatus jest w stanie WaitingForCallback .

Żądanie wznowienia można wysłać z powrotem na następujące etapy:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Na poniższym diagramie przepływu przedstawiono objaśnienie zarządzania upoważnieniami do przepływu pracy usługi Logic Apps: A diagram of the entitlement management call to the logic apps workflow.

Diagram przepływu diagramu przedstawia następujące opisano:

  1. Użytkownik tworzy niestandardowy punkt końcowy, który może odbierać wywołanie z usługi tożsamości
  2. Usługa tożsamości wykonuje wywołanie testowe w celu potwierdzenia, że punkt końcowy może być wywoływany przez usługę tożsamości
  3. Użytkownik wywołuje interfejs API programu Graph w celu żądania dodania użytkownika do pakietu dostępu
  4. Usługa tożsamości jest dodawana do kolejki wyzwalającej przepływ pracy zaplecza
  5. Przetwarzanie żądań usługi zarządzania upoważnieniami wywołuje aplikację logiki z ładunkiem żądania
  6. Przepływ pracy oczekuje zaakceptowanego kodu
  7. Usługa zarządzania upoważnieniami czeka na wznowienie akcji niestandardowej blokującej
  8. System klienta wywołuje interfejs API wznawiania żądania do usługi tożsamości w celu wznowienia przetwarzania żądania
  9. Usługa tożsamości dodaje komunikat żądania wznawiania do kolejki usługi zarządzania upoważnieniami wznawiania przepływu pracy zaplecza
  10. Usługa zarządzania upoważnieniami jest wznawiana ze stanu zablokowanego

Przykładem ładunku żądania wznawiania jest:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/0e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

W przypadku uruchamiania i oczekiwania administratorzy mają również możliwość odmowy żądania, jeśli rozszerzenie jest połączone z etapami pakietu dostępu "żądanie zostało utworzone" lub "żądanie zostało zatwierdzone". W takich przypadkach aplikacja logiki może wysłać z powrotem komunikat "odmów" do zarządzania upoważnieniami, co spowoduje zakończenie procesu przed odebraniem pakietu dostępu przez użytkownika końcowego.

Jak wspomniano, rozszerzenia niestandardowe utworzone z typem przepływu pracy żądania, które obejmują cztery skojarzone etapy zasad, można włączyć za pomocą opcji "Uruchom i poczekaj" w razie potrzeby.

Poniżej przedstawiono przykład w celu wznowienia przetwarzania żądania przypisania pakietu dostępu przez odmowę żądania oczekiwania na wywołanie zwrotne. Nie można odmówić żądania na etapie przypisaniaRequestCreated objaśnienia.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Środowisko użytkownika końcowego rozszerzenia

Środowisko osoby zatwierdzającej

Osoba zatwierdzająca widzi ciąg określony w ładunku żądania wznawiania, customExtensionStageInstanceDetail jak pokazano w ładunku znajdującym się w temacie Konfigurowanie rozszerzeń niestandardowych wstrzymujących procesy zarządzania upoważnieniami. Screenshot of the approver screen.

Środowisko osoby żądającej

Gdy pakiet dostępu ma niestandardowe rozszerzenie z funkcją uruchamiania i oczekiwania, a aplikacja logiki jest wyzwalana po utworzeniu żądania pakietu dostępu, żądania mogą zobaczyć ich stan żądania w historii żądań w usłudze MyAccess.

Następujące aktualizacje stanu są wyświetlane użytkownikom na podstawie niestandardowego etapu rozszerzenia:

Niestandardowy etap rozszerzenia Komunikat wyświetlany do osoby żądającej w historii żądań funkcji MyAccess
Gdy rozszerzenie jest przetwarzane Oczekiwanie na informacje przed kontynuowaniem
Gdy rozszerzenie zakończy się niepowodzeniem Proces wygasł
Po wznowieniu rozszerzenia Proces jest kontynuowany

Jest to przykład historii żądań MyAccess od osoby żądającej po wznowieniu rozszerzenia:

Screenshot of the requestor screen.

Rozwiązywanie problemów i walidacja

W przypadku rozszerzeń niestandardowych skojarzonych z żądaniem można wyświetlić szczegółowe informacje o niestandardowym rozszerzeniu (oraz uruchomić i poczekać, jeśli jest włączona) z linku Szczegóły historii żądania na stronie szczegółów żądania skojarzonego pakietu dostępu.

Screenshot of requesting history for a custom task extension.Screenshot of selection details for custom task extension.

Na przykład w tym miejscu można zobaczyć czas przesłania żądania oraz czas rozpoczęcia procesu uruchamiania i oczekiwania (oczekiwanie na wywołanie zwrotne). Żądanie zostało zatwierdzone, a etap zarządzania upoważnieniami "wznowiony" po wykonaniu aplikacji logiki i zwrócenie żądania wznowienia o godzinie 12:15.

Ponadto nowy link wystąpienia rozszerzenia niestandardowego w ramach szczegółów żądania zawiera informacje o rozszerzeniu niestandardowym skojarzonym z pakietem dostępu dla żądania.
Screenshot of selection details list items.

Spowoduje to wyświetlenie niestandardowego identyfikatora rozszerzenia i stanu. Te informacje zmieniają się w zależności od tego, czy istnieje skojarzone uruchomienie i odczekaj wywołanie zwrotne.

Aby sprawdzić, czy rozszerzenie niestandardowe poprawnie wyzwoliło skojarzą aplikację logiki, możesz również wyświetlić dzienniki aplikacji logiki, które mają sygnaturę czasową ostatniego wykonania aplikacji logiki.

Następne kroki