Uwierzytelnianie dostępu do zasobów platformy Azure przy użyciu tożsamości zarządzanych w usłudze Azure Logic Apps

Dotyczy: Azure Logic Apps (Zużycie + Standardowa)

W przepływach pracy aplikacji logiki niektóre wyzwalacze i akcje obsługują uwierzytelnianie dostępu do zasobów chronionych przez usługę Azure Active Directory (Azure AD). Jeśli używasz tożsamości zarządzanej do uwierzytelniania połączenia, nie musisz podawać poświadczeń, wpisów tajnych ani Azure AD tokenów. Platforma Azure zarządza tą tożsamością i pomaga zapewnić bezpieczeństwo informacji uwierzytelniania, ponieważ nie musisz zarządzać tymi poufnymi informacjami. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Usługa Azure Logic Apps obsługuje tożsamość zarządzaną przypisaną przez system i tożsamość zarządzaną przypisaną przez użytkownika. Na poniższej liście opisano niektóre różnice między tymi typami tożsamości:

• Zasób aplikacji logiki może włączać i używać tylko jednej unikatowej tożsamości przypisanej przez system.

• Zasób aplikacji logiki może współużytkować tę samą tożsamość przypisaną przez użytkownika w grupie innych zasobów aplikacji logiki.

W tym artykule przedstawiono sposób włączania i konfigurowania tożsamości zarządzanej dla aplikacji logiki oraz przedstawiono przykład użycia tożsamości do uwierzytelniania. W przeciwieństwie do tożsamości przypisanej przez system, której nie trzeba tworzyć ręcznie , musisz ręcznie utworzyć tożsamość przypisaną przez użytkownika. W tym artykule pokazano, jak utworzyć tożsamość przypisaną przez użytkownika przy użyciu szablonu Azure Portal i usługi Azure Resource Manager (szablon usługi ARM). W przypadku Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie	Dokumentacja
Azure PowerShell	Tworzenie tożsamości przypisanej przez użytkownika
Interfejs wiersza polecenia platformy Azure	Tworzenie tożsamości przypisanej przez użytkownika
Interfejs API REST platformy Azure	Tworzenie tożsamości przypisanej przez użytkownika

Użycie a standardowe aplikacje logiki

Na podstawie typu zasobu aplikacji logiki można włączyć tożsamość przypisaną przez system, tożsamość przypisaną przez użytkownika lub obie te elementy w tym samym czasie:

Aplikacja logiki	Środowisko	Obsługa tożsamości zarządzanej
Zużycie	— Wielodostępna usługa Azure Logic Apps — Środowisko usługi integracji (ISE)	— Aplikacja logiki może włączyć tożsamość przypisaną przez system lub tożsamość przypisaną przez użytkownika. — Tożsamość zarządzana można używać na poziomie zasobów aplikacji logiki i na poziomie połączenia. — Jeśli włączysz tożsamość przypisaną przez użytkownika, aplikacja logiki może mieć jednocześnie tylko jedną tożsamość przypisaną przez użytkownika.
Standardowa (Standard)	— Usługa Azure Logic Apps z jedną dzierżawą - App Service Environment v3 (ASEv3) — Usługa Logic Apps z obsługą usługi Azure Arc	— Można włączyć zarówno tożsamość przypisaną przez system, która jest domyślnie włączona, jak i tożsamość przypisana przez użytkownika w tym samym czasie. — Tożsamość zarządzana można używać na poziomie zasobów aplikacji logiki i na poziomie połączenia. — Jeśli włączysz tożsamość przypisaną przez użytkownika, zasób aplikacji logiki może mieć jednocześnie wiele tożsamości przypisanych przez użytkownika.

Aby uzyskać więcej informacji na temat limitów tożsamości zarządzanych w usłudze Azure Logic Apps, zobacz Limity tożsamości zarządzanych dla aplikacji logiki. Aby uzyskać więcej informacji na temat typów zasobów i środowisk aplikacji logiki Consumption i Standard, zapoznaj się z następującą dokumentacją:

• Co to jest usługa Azure Logic Apps?
• Jednodostępne a wielodostępne i środowisko usługi integracji
• Usługa Logic Apps z obsługą usługi Azure Arc

Gdzie można użyć tożsamości zarządzanej

Tylko określone wbudowane i zarządzane operacje łącznika, które obsługują Azure AD Open Authentication (Azure AD OAuth) mogą używać tożsamości zarządzanej do uwierzytelniania. Poniższa tabela zawiera tylko przykładowy wybór. Aby uzyskać bardziej pełną listę, zapoznaj się z artykułem Typy uwierzytelniania dla wyzwalaczy i akcji, które obsługują uwierzytelnianie i usługi platformy Azure, które obsługują uwierzytelnianie Azure AD za pomocą tożsamości zarządzanych.

Zużycie

W poniższej tabeli wymieniono łączniki, które obsługują używanie tożsamości zarządzanej w przepływie pracy aplikacji logiki Zużycie:

Typ łącznika	Obsługiwane łączniki
Wbudowane	— Azure API Management - aplikacja systemu Azure Services - Azure Functions - HTTP - HTTP + element webhook Uwaga: Operacje HTTP mogą uwierzytelniać połączenia z kontami usługi Azure Storage za zaporami platformy Azure przy użyciu tożsamości przypisanej przez system. Nie obsługują jednak tożsamości zarządzanej przypisanej przez użytkownika do uwierzytelniania tych samych połączeń.
Zarządzanie	- Azure AD Identity Protection - Azure App Service - Azure Automation — Azure Blob Storage — Wystąpienie kontenera platformy Azure — Azure Cosmos DB — Azure Data Explorer - Azure Data Factory — Azure Data Lake - Azure Event Grid - Azure Event Hubs — Azure IoT Central V2 — Azure IoT Central V3 — Azure Key Vault — Azure Log Analytics — Kolejki platformy Azure — Azure Resource Manager - Azure Service Bus — Azure Sentinel — Maszyna wirtualna platformy Azure - HTTP z Azure AD - SQL Server

Standardowa

W poniższej tabeli wymieniono łączniki, które obsługują używanie tożsamości zarządzanej w przepływie pracy standardowej aplikacji logiki:

Typ łącznika	Obsługiwane łączniki
Wbudowane	- Azure Automation — Azure Blob Storage - Azure Event Hubs - Azure Service Bus — Kolejki platformy Azure — Tabele platformy Azure - HTTP - HTTP + element webhook - SQL Server Uwaga: Operacje HTTP mogą uwierzytelniać połączenia z kontami usługi Azure Storage za zaporami platformy Azure przy użyciu tożsamości przypisanej przez system.
Łącznik zarządzany	- Azure AD Identity Protection - Azure App Service - Azure Automation — Azure Blob Storage — Wystąpienie kontenera platformy Azure — Azure Cosmos DB — Azure Data Explorer - Azure Data Factory — Azure Data Lake - Azure Event Grid - Azure Event Hubs — Azure IoT Central V2 — Azure IoT Central V3 — Azure Key Vault — Azure Log Analytics — Kolejki platformy Azure — Azure Resource Manager - Azure Service Bus — Azure Sentinel — Maszyna wirtualna platformy Azure - HTTP z Azure AD - SQL Server

Wymagania wstępne

• Konto i subskrypcja platformy Azure. Jeśli nie masz subskrypcji, zarejestruj się w celu założenia bezpłatnego konta platformy Azure. Zarówno tożsamość zarządzana, jak i docelowy zasób platformy Azure, w którym potrzebujesz dostępu, muszą korzystać z tej samej subskrypcji platformy Azure.

• Docelowy zasób platformy Azure, do którego chcesz uzyskać dostęp. W tym zasobie dodasz rolę niezbędną dla tożsamości zarządzanej, aby uzyskać dostęp do tego zasobu w imieniu aplikacji logiki lub połączenia. Aby dodać rolę do tożsamości zarządzanej, musisz Azure AD uprawnienia administratora, które mogą przypisywać role do tożsamości w odpowiedniej dzierżawie Azure AD.

• Zasób aplikacji logiki i przepływ pracy, w którym chcesz używać wyzwalacza lub akcji obsługujących tożsamości zarządzane.

Włączanie tożsamości przypisanej przez system w usłudze Azure Portal

Zużycie

1. W Azure Portal przejdź do zasobu aplikacji logiki.

2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

3. W okienku Tożsamość w obszarze Przypisany system wybierz pozycję Przy>zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

   

   Uwaga

   Jeśli wystąpi błąd, który może mieć tylko jedną tożsamość zarządzaną, zasób aplikacji logiki jest już skojarzony z tożsamością przypisaną przez użytkownika. Przed dodaniem tożsamości przypisanej przez system należy najpierw usunąć tożsamość przypisaną przez użytkownika z zasobu aplikacji logiki.

   Zasób aplikacji logiki może teraz używać tożsamości przypisanej przez system. Ta tożsamość jest zarejestrowana w Azure AD i jest reprezentowana przez identyfikator obiektu.

   

   Właściwość	Wartość	Opis
   Identyfikator obiektu (podmiotu zabezpieczeń)	<identity-resource-ID>	Unikatowy identyfikator globalny (GUID), który reprezentuje tożsamość przypisaną przez system dla aplikacji logiki w dzierżawie Azure AD.

4. Teraz wykonaj kroki, które zapewniają tej tożsamości dostęp do zasobu w dalszej części tego tematu.

Standardowa

W zasobie aplikacji logiki (Standardowa) tożsamość przypisana przez system jest automatycznie włączona.

1. W Azure Portal otwórz przepływ pracy aplikacji logiki w projektancie.

2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

3. W okienku Tożsamość w obszarze Przypisany system wybierz pozycję Przy>zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

   

   Zasób aplikacji logiki może teraz używać tożsamości przypisanej przez system, która jest zarejestrowana w Azure AD i jest reprezentowana przez identyfikator obiektu.

   

   Właściwość	Wartość	Opis
   Identyfikator obiektu (podmiotu zabezpieczeń)	<identity-resource-ID>	Unikatowy identyfikator globalny (GUID), który reprezentuje tożsamość przypisaną przez system dla aplikacji logiki w dzierżawie Azure AD.

4. Teraz wykonaj kroki, które zapewniają tej tożsamości dostęp do zasobu w dalszej części tego tematu.

Włączanie tożsamości przypisanej przez system w szablonie usługi ARM

Aby zautomatyzować tworzenie i wdrażanie zasobów aplikacji logiki, możesz użyć szablonu usługi ARM. Aby włączyć tożsamość przypisaną przez system dla zasobu aplikacji logiki w szablonie, dodaj identity obiekt i type właściwość podrzędną do definicji zasobów aplikacji logiki w szablonie, na przykład:

Zużycie

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Standardowa

{
   "apiVersion": "2021-01-15",
   "type": "Microsoft.Web/sites",
   "name": "[variables('sites_<logic-app-resource-name>_name')]",
   "location": "[resourceGroup().location]",
   "kind": "functionapp,workflowapp",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Gdy platforma Azure utworzy definicję zasobu aplikacji logiki, identity obiekt pobiera następujące inne właściwości:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}

Właściwość (JSON)	Wartość	Opis
principalId	<principal-ID>	Globalnie unikatowy identyfikator (GUID) obiektu jednostki usługi dla tożsamości zarządzanej, która reprezentuje aplikację logiki w dzierżawie Azure AD. Ten identyfikator GUID czasami jest wyświetlany jako "identyfikator obiektu" lub objectID.
tenantId	<Azure-AD-tenant-ID>	Unikatowy identyfikator globalny (GUID), który reprezentuje dzierżawę Azure AD, w której aplikacja logiki jest teraz członkiem. W dzierżawie Azure AD jednostka usługi ma taką samą nazwę jak wystąpienie aplikacji logiki.

Tworzenie tożsamości przypisanej przez użytkownika w Azure Portal

Przed włączeniem tożsamości przypisanej przez użytkownika w zasobie Aplikacji logiki (Zużycie) lub Aplikacji logiki (Standardowa) należy najpierw utworzyć tę tożsamość jako oddzielny zasób platformy Azure.

1. W polu wyszukiwania Azure Portal wprowadź .managed identities Wybierz pozycję Tożsamości zarządzane.

   

2. W okienku Tożsamości zarządzane wybierz pozycję Utwórz.

   

3. Podaj informacje o tożsamości zarządzanej, a następnie wybierz pozycję Przejrzyj i utwórz, na przykład:

   

   Właściwość	Wymagany	Wartość	Opis
   Subskrypcja	Tak	<Nazwa subskrypcji platformy Azure>	Nazwa subskrypcji platformy Azure do użycia
   Grupa zasobów	Tak	<Nazwa grupy zasobów platformy Azure>	Nazwa grupy zasobów platformy Azure do użycia. Utwórz nową grupę lub wybierz istniejącą grupę. W tym przykładzie zostanie utworzona nowa grupa o nazwie fabrikam-managed-identities-RG.
   Region	Tak	<Region świadczenia usługi Azure>	Region świadczenia usługi Azure, w którym mają być przechowywane informacje o zasobie. W tym przykładzie użyto zachodnich stanów USA.
   Nazwa	Tak	<user-assigned-identity-name>	Nazwa, która ma nadać tożsamość przypisaną przez użytkownika. W tym przykładzie użyto wartości Fabrikam-user-assigned-identity.

   Gdy platforma Azure zweryfikuje informacje, platforma Azure utworzy tożsamość zarządzaną. Teraz możesz dodać tożsamość przypisaną przez użytkownika do zasobu aplikacji logiki.

Dodawanie tożsamości przypisanej przez użytkownika do aplikacji logiki w Azure Portal

Zużycie

1. W Azure Portal otwórz zasób aplikacji logiki.

2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

3. W okienku Tożsamość wybierz pozycję Dodaj przypisaną przez> użytkownika.

   

4. W okienku Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wykonaj następujące kroki:

   1. Z listy Subskrypcja wybierz subskrypcję platformy Azure, jeśli nie została jeszcze wybrana.

   2. Z listy ze wszystkimi tożsamościami zarządzanymi w tej subskrypcji wybierz odpowiednią tożsamość przypisaną przez użytkownika. Aby filtrować listę, w polu wyszukiwania Tożsamości zarządzane przypisane przez użytkownika wprowadź nazwę tożsamości lub grupy zasobów.

      

   3. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj.

      Uwaga

      Jeśli wystąpi błąd, który może mieć tylko jedną tożsamość zarządzaną, aplikacja logiki jest już skojarzona z tożsamością przypisaną przez system. Przed dodaniem tożsamości przypisanej przez użytkownika należy najpierw wyłączyć tożsamość przypisaną przez system.

   Aplikacja logiki jest teraz skojarzona z tożsamością zarządzaną przypisaną przez użytkownika.

   

5. Teraz wykonaj kroki, które zapewniają tej tożsamości dostęp do zasobu w dalszej części tego tematu.

Standardowa

1. W Azure Portal przejdź do zasobu aplikacji logiki.

2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

3. W okienku Tożsamość wybierz pozycję Dodaj przypisaną przez> użytkownika.

   

4. W okienku Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wykonaj następujące kroki:

   1. Z listy Subskrypcja wybierz subskrypcję platformy Azure, jeśli nie została jeszcze wybrana.

   2. Z listy ze wszystkimi tożsamościami zarządzanymi w tej subskrypcji wybierz odpowiednią tożsamość przypisaną przez użytkownika. Aby filtrować listę, w polu wyszukiwania Tożsamości zarządzane przypisane przez użytkownika wprowadź nazwę tożsamości lub grupy zasobów.

      

   3. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj.

      Aplikacja logiki jest teraz skojarzona z tożsamością zarządzaną przypisaną przez użytkownika.

      

   4. Aby użyć wielu tożsamości zarządzanych przypisanych przez użytkownika, powtórz te same kroki, aby dodać tożsamość.

5. Teraz wykonaj kroki, które umożliwiają tożsamości dostęp do zasobu w dalszej części tego tematu.

Tworzenie tożsamości przypisanej przez użytkownika w szablonie usługi ARM

Aby zautomatyzować tworzenie i wdrażanie zasobów aplikacji logiki, możesz użyć szablonu usługi ARM. Te szablony obsługują tożsamości przypisane przez użytkownika do uwierzytelniania.

W sekcji szablonu resources definicja zasobu aplikacji logiki wymaga następujących elementów:

• Obiekt identity z właściwością ustawioną type na UserAssigned

• Obiekt podrzędny userAssignedIdentities określający zasób przypisany przez użytkownika i nazwę

Zużycie

W tym przykładzie przedstawiono definicję zasobu aplikacji logiki Zużycie dla żądania HTTP PUT i zawiera obiekt niesparametryzowany identity . Odpowiedź na żądanie PUT i kolejna operacja GET również ma następujący identity obiekt:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Jeśli szablon zawiera również definicję zasobu tożsamości zarządzanej, można sparametryzować identity obiekt. W tym przykładzie pokazano, jak obiekt podrzędny userAssignedIdentitiesuserAssignedIdentityName odwołuje się do zmiennej zdefiniowanej w sekcji szablonu variables . Ta zmienna odwołuje się do identyfikatora zasobu tożsamości przypisanej przez użytkownika.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Standardowa

Zasób standardowej aplikacji logiki może włączać i używać tożsamości przypisanej przez system oraz wielu tożsamości przypisanych przez użytkownika. Definicja zasobu standardowej aplikacji logiki jest oparta na definicji zasobów aplikacji funkcji Azure Functions.

W tym przykładzie przedstawiono definicję zasobu standardowej aplikacji logiki, która zawiera obiekt niesparametryzowany identity :

{
   "$schema": "https://schema.management.azure.com/schemas/2019-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2021-02-01",
         "type": "Microsoft.Web/sites/functions",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            },
         },
         "properties": {
            "name": "[variables('appName')]",
            "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "hostingEnvironment": "",
            "clientAffinityEnabled": false,
            "alwaysOn": true
         },
         "parameters": {},
         "dependsOn": []
      }
   ],
   "outputs": {}
}

Jeśli szablon zawiera również definicję zasobu tożsamości zarządzanej, można sparametryzować identity obiekt. W tym przykładzie pokazano, jak obiekt podrzędny userAssignedIdentitiesuserAssignedIdentityName odwołuje się do zmiennej zdefiniowanej w sekcji szablonu variables . Ta zmienna odwołuje się do identyfikatora zasobu tożsamości przypisanej przez użytkownika.

{
   "$schema": "https://schema.management.azure.com/schemas/2019-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2021-02-01",
         "type": "Microsoft.Web/sites/functions",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId(Microsoft.ManagedIdentity/userAssignedIdentities', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "name": "[variables('appName')]",
            "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "hostingEnvironment": "",
            "clientAffinityEnabled": false,
            "alwaysOn": true
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      },
   ],
   "outputs": {}
}

Gdy szablon tworzy zasób aplikacji logiki, identity obiekt zawiera następujące właściwości:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-ID>": {
            "principalId": "<principal-ID>",
            "clientId": "<client-ID>"
        }
    }
}

Wartość principalId właściwości jest unikatowym identyfikatorem tożsamości używanej do Azure AD administracji. Wartość clientId właściwości jest unikatowym identyfikatorem nowej tożsamości aplikacji logiki używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego. Aby uzyskać więcej informacji na temat szablonów usługi Azure Resource Manager i tożsamości zarządzanych dla Azure Functions, zapoznaj się z tematem Szablon usługi ARM — Azure Functions i Dodawanie tożsamości przypisanej przez użytkownika przy użyciu szablonu usługi ARM dla Azure Functions.

Przyznawanie tożsamości dostępu do zasobów

Aby można było użyć tożsamości zarządzanej aplikacji logiki do uwierzytelniania, musisz skonfigurować dostęp dla tożsamości w zasobie platformy Azure, w którym chcesz użyć tożsamości. Sposób konfigurowania dostępu różni się w zależności od zasobu, do którego ma uzyskiwać dostęp tożsamość.

Uwaga

Jeśli tożsamość zarządzana ma dostęp do zasobu platformy Azure w tej samej subskrypcji, tożsamość może uzyskać dostęp tylko do tego zasobu. Jednak w niektórych wyzwalaczach i akcjach obsługujących tożsamości zarządzane należy najpierw wybrać grupę zasobów platformy Azure zawierającą zasób docelowy. Jeśli tożsamość nie ma dostępu na poziomie grupy zasobów, żadne zasoby w tej grupie nie są wyświetlane, mimo że mają dostęp do zasobu docelowego.

Aby obsłużyć to zachowanie, należy również udzielić tożsamości dostępu do grupy zasobów, a nie tylko do zasobu. Podobnie jeśli musisz wybrać subskrypcję przed wybraniem zasobu docelowego, musisz udzielić tożsamości dostępu do subskrypcji.

Aby na przykład uzyskać dostęp do konta usługi Azure Blob Storage przy użyciu tożsamości zarządzanej, musisz skonfigurować dostęp przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure i przypisać odpowiednią rolę dla tej tożsamości do konta magazynu. W krokach w tej sekcji opisano sposób wykonywania tego zadania przy użyciu szablonu usługi Azure Portal i usługi Azure Resource Manager (szablon usługi ARM). W przypadku Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie	Dokumentacja
Azure PowerShell	Dodaj przypisanie roli
Interfejs wiersza polecenia platformy Azure	Dodaj przypisanie roli
Interfejs API REST platformy Azure	Dodaj przypisanie roli

Jednak aby uzyskać dostęp do magazynu kluczy platformy Azure przy użyciu tożsamości zarządzanej, musisz utworzyć zasady dostępu dla tej tożsamości w magazynie kluczy i przypisać odpowiednie uprawnienia dla tej tożsamości w tym magazynie kluczy. W kolejnych krokach w tej sekcji opisano sposób wykonywania tego zadania przy użyciu Azure Portal. W przypadku szablonów Resource Manager programu PowerShell i interfejsu wiersza polecenia platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie	Dokumentacja
Szablon usługi Azure Resource Manager (szablon usługi ARM)	Key Vault definicji zasobów zasad dostępu
Azure PowerShell	Przypisywanie zasad dostępu do usługi Key Vault
Interfejs wiersza polecenia platformy Azure	Przypisywanie zasad dostępu do usługi Key Vault

Przypisywanie dostępu opartego na rolach tożsamości zarządzanej w Azure Portal

Aby użyć tożsamości zarządzanej do uwierzytelniania, niektóre zasoby platformy Azure, takie jak konta usługi Azure Storage, wymagają przypisania tej tożsamości do roli, która ma odpowiednie uprawnienia do zasobu docelowego. Inne zasoby platformy Azure, takie jak magazyny kluczy platformy Azure, wymagają utworzenia zasad dostępu, które mają odpowiednie uprawnienia do zasobu docelowego dla tej tożsamości.

1. W Azure Portal otwórz zasób, w którym chcesz użyć tożsamości.

2. W menu zasobu wybierz pozycję Kontrola dostępu (IAM)>Dodajprzypisanie roli.>

   Uwaga

   Jeśli opcja Dodaj przypisanie roli jest wyłączona, nie masz uprawnień do przypisywania ról. Aby uzyskać więcej informacji, zapoznaj się z Azure AD wbudowanymi rolami.

3. Teraz przypisz niezbędną rolę do tożsamości zarządzanej. Na karcie Rola przypisz rolę, która zapewnia tożsamości wymagany dostęp do bieżącego zasobu.

   W tym przykładzie przypisz rolę o nazwie Współautor danych obiektu blob usługi Storage, która obejmuje dostęp do zapisu dla obiektów blob w kontenerze usługi Azure Storage. Aby uzyskać więcej informacji na temat określonych ról kontenera magazynu, zobacz Role, które mogą uzyskiwać dostęp do obiektów blob w kontenerze usługi Azure Storage.

4. Następnie wybierz tożsamość zarządzaną, w której chcesz przypisać rolę. W obszarze Przypisz dostęp do wybierz pozycję Tożsamość> zarządzanaDodaj członków.

5. Na podstawie typu tożsamości zarządzanej wybierz lub podaj następujące wartości:

   Typ	Wystąpienie usługi platformy Azure	Subskrypcja	Członek
   Przypisane przez system	Aplikacja logiki	<Nazwa subskrypcji platformy Azure>	<nazwa aplikacji logiki>
   Przypisana przez użytkownika	Nie dotyczy	<Nazwa subskrypcji platformy Azure>	<nazwa-tożsamości przypisanej przez użytkownika>

   Aby uzyskać więcej informacji na temat przypisywania ról, zapoznaj się z dokumentacją Przypisywanie ról przy użyciu Azure Portal.

6. Po zakończeniu możesz użyć tożsamości do uwierzytelniania dostępu dla wyzwalaczy i akcji obsługujących tożsamości zarządzane.

Aby uzyskać więcej ogólnych informacji na temat tego zadania, zobacz Przypisywanie dostępu tożsamości zarządzanej do innego zasobu przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Tworzenie zasad dostępu w Azure Portal

Aby użyć tożsamości zarządzanej do uwierzytelniania, niektóre zasoby platformy Azure, takie jak magazyny kluczy platformy Azure, wymagają utworzenia zasad dostępu, które mają odpowiednie uprawnienia do zasobu docelowego dla tej tożsamości. Inne zasoby platformy Azure, takie jak konta usługi Azure Storage, wymagają przypisania tej tożsamości do roli, która ma odpowiednie uprawnienia do zasobu docelowego.

1. W Azure Portal otwórz zasób docelowy, w którym chcesz użyć tożsamości. W tym przykładzie jako zasób docelowy jest używany magazyn kluczy platformy Azure.

2. W menu zasobu wybierz pozycję Zasady> dostępuUtwórz, co spowoduje otwarcie okienka Tworzenie zasad dostępu.

   Uwaga

   Jeśli zasób nie ma opcji Zasady dostępu , spróbuj przypisać przypisanie roli.

   

3. Na karcie Uprawnienia wybierz wymagane uprawnienia, które tożsamość musi uzyskać dostęp do zasobu docelowego.

   Aby na przykład użyć tożsamości z zarządzaną operacją Listy wpisów tajnych łącznika usługi Azure Key Vault, tożsamość wymaga uprawnień lista. W kolumnie Uprawnienia wpisu tajnego wybierz pozycję Lista.

   

4. Gdy wszystko będzie gotowe, wybierz pozycję Dalej. Na karcie Podmiot zabezpieczeń znajdź i wybierz tożsamość zarządzaną, która jest tożsamością przypisaną przez użytkownika w tym przykładzie.

5. Pomiń opcjonalny krok Aplikacja , wybierz pozycję Dalej i zakończ tworzenie zasad dostępu.

W następnej sekcji omówiono używanie tożsamości zarządzanej do uwierzytelniania dostępu dla wyzwalacza lub akcji. W przykładzie przedstawiono kroki z wcześniejszej sekcji, w której skonfigurowaliśmy dostęp do tożsamości zarządzanej przy użyciu kontroli dostępu opartej na rolach i nie używamy usługi Azure Key Vault jako przykładu. Jednak ogólne kroki używania tożsamości zarządzanej do uwierzytelniania są takie same.

Uwierzytelnianie dostępu przy użyciu tożsamości zarządzanej

Po włączeniu tożsamości zarządzanej dla zasobu aplikacji logiki i udzieleniu tej tożsamości dostępu do docelowego zasobu lub jednostki można użyć tej tożsamości w wyzwalaczach i akcjach obsługujących tożsamości zarządzane.

Ważne

Jeśli masz funkcję platformy Azure, w której chcesz użyć tożsamości przypisanej przez system, najpierw włącz uwierzytelnianie dla Azure Functions.

W tych krokach pokazano, jak używać tożsamości zarządzanej z wyzwalaczem lub akcją za pośrednictwem Azure Portal. Aby określić tożsamość zarządzaną w podstawowej definicji kodu JSON wyzwalacza lub akcji, zapoznaj się z artykułem Uwierzytelnianie tożsamości zarządzanej.

Zużycie

1. W Azure Portal otwórz zasób aplikacji logiki.

2. Jeśli jeszcze tego nie zrobiono, dodaj wyzwalacz lub akcję, która obsługuje tożsamości zarządzane.

   Uwaga

   Nie wszystkie wyzwalacze i akcje obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tematem Typy uwierzytelniania dla wyzwalaczy i akcji, które obsługują uwierzytelnianie.

3. Na dodanym wyzwalaczu lub akcji wykonaj następujące kroki:

   • Wbudowane operacje obsługujące uwierzytelnianie tożsamości zarządzanej

     1. Z listy Dodaj nowy parametr dodaj właściwość Authentication , jeśli właściwość jeszcze nie jest wyświetlana.

        

     2. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

        

     Aby uzyskać więcej informacji, zobacz Przykład: Uwierzytelnianie wbudowanego wyzwalacza lub akcji przy użyciu tożsamości zarządzanej.

   • Operacje łącznika zarządzanego obsługujące uwierzytelnianie tożsamości zarządzanej

     1. Na stronie wyboru dzierżawy wybierz pozycję Połącz z tożsamością zarządzaną, na przykład:

        

     2. Na następnej stronie w polu Nazwa połączenia podaj nazwę do użycia dla połączenia.

     3. Dla typu uwierzytelniania wybierz jedną z następujących opcji na podstawie łącznika zarządzanego:

        • Jednouwierzytelnianie: te łączniki obsługują tylko jeden typ uwierzytelniania. Z listy Tożsamość zarządzana wybierz aktualnie włączoną tożsamość zarządzaną, jeśli nie została jeszcze wybrana, a następnie wybierz pozycję Utwórz, na przykład:

          

        • Uwierzytelnianie wieloskładnikowe: te łączniki pokazują wiele typów uwierzytelniania, ale nadal można wybrać tylko jeden typ. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana> usługi Logic AppsUtwórz, na przykład:

          

        Aby uzyskać więcej informacji, zobacz Przykład: Uwierzytelnianie wyzwalacza lub akcji łącznika zarządzanego przy użyciu tożsamości zarządzanej.

Standardowa

1. W Azure Portal otwórz zasób aplikacji logiki.

2. Jeśli jeszcze tego nie zrobiono, dodaj wyzwalacz lub akcję, która obsługuje tożsamości zarządzane.

   Uwaga

   Nie wszystkie wyzwalacze i akcje obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tematem Typy uwierzytelniania dla wyzwalaczy i akcji, które obsługują uwierzytelnianie.

3. Na dodanym wyzwalaczu lub akcji wykonaj następujące kroki:

   • Wbudowane operacje obsługujące uwierzytelnianie tożsamości zarządzanej

     1. Z listy Dodaj nowy parametr dodaj właściwość Authentication , jeśli właściwość jeszcze nie jest wyświetlana.

        

     2. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

        

     3. Z listy z włączonymi tożsamościami wybierz tożsamość, której chcesz użyć, na przykład:

        

     Aby uzyskać więcej informacji, zobacz Przykład: Uwierzytelnianie wbudowanego wyzwalacza lub akcji przy użyciu tożsamości zarządzanej.

   • Operacje łącznika zarządzanego obsługujące uwierzytelnianie tożsamości zarządzanej

     1. Na stronie wyboru dzierżawy wybierz pozycję Połącz z tożsamością zarządzaną, na przykład:

        

     2. Na następnej stronie w polu Nazwa połączenia podaj nazwę do użycia dla połączenia.

     3. Dla typu uwierzytelniania wybierz jedną z następujących opcji na podstawie łącznika zarządzanego:

        • Pojedyncze uwierzytelnianie: te łączniki obsługują tylko jeden typ uwierzytelniania, który w tym przypadku jest tożsamością zarządzaną. Z listy Tożsamość zarządzana wybierz tożsamość, której chcesz użyć. Gdy wszystko będzie gotowe do utworzenia połączenia, wybierz pozycję Utwórz, na przykład:

          

        • Uwierzytelnianie wieloskładnikowe: te łączniki obsługują więcej niż jeden typ uwierzytelniania.

          1. Z listy Typ uwierzytelniania wybierz pozycję Tworzenie tożsamości> zarządzanej usługi Logic Apps, na przykład:

             

          2. Z listy Tożsamość zarządzana wybierz tożsamość, której chcesz użyć.

             

        Aby uzyskać więcej informacji, zobacz Przykład: Uwierzytelnianie wyzwalacza lub akcji łącznika zarządzanego przy użyciu tożsamości zarządzanej.

Przykład: Uwierzytelnianie wbudowanego wyzwalacza lub akcji przy użyciu tożsamości zarządzanej

Wbudowany wyzwalacz HTTP lub akcja może używać tożsamości przypisanej przez system włączonej w zasobie aplikacji logiki. Ogólnie rzecz biorąc, wyzwalacz HTTP lub akcja używa następujących właściwości do określenia zasobu lub jednostki, do której chcesz uzyskać dostęp:

Właściwość	Wymagane	Opis
Metoda	Tak	Metoda HTTP używana przez operację, którą chcesz uruchomić
URI	Tak	Adres URL punktu końcowego na potrzeby uzyskiwania dostępu do docelowego zasobu lub jednostki platformy Azure. Składnia identyfikatora URI zwykle zawiera identyfikator zasobu dla zasobu lub usługi platformy Azure.
Nagłówki	Nie	Wszelkie wartości nagłówka, które są potrzebne lub które chcesz uwzględnić w żądaniu wychodzącym, takie jak typ zawartości
Zapytania	Nie	Wszystkie wymagane parametry zapytania lub które chcesz uwzględnić w żądaniu. Na przykład parametry zapytania dla określonej operacji lub dla wersji interfejsu API operacji, którą chcesz uruchomić.
Authentication	Tak	Typ uwierzytelniania używany do uwierzytelniania dostępu do zasobu docelowego lub jednostki

Załóżmy na przykład, że chcesz uruchomić operację migawki obiektu blob na obiekcie blob na koncie usługi Azure Storage, na którym wcześniej skonfigurowaliśmy dostęp dla tożsamości. Jednak łącznik Azure Blob Storage nie oferuje obecnie tej operacji. Zamiast tego możesz uruchomić tę operację przy użyciu akcji HTTP lub innej operacji interfejsu API REST usługi Blob Service.

Ważne

Aby uzyskać dostęp do kont usługi Azure Storage za zaporami przy użyciu łącznika obiektów blob platformy Azure i tożsamości zarządzanych, upewnij się, że również skonfigurowaliśmy konto magazynu z wyjątkiem umożliwiającym dostęp do zaufanych usług Microsoft.

Aby uruchomić operację migawki obiektu blob, akcja HTTP określa następujące właściwości:

Właściwość	Wymagany	Przykładowa wartość	Opis
Metoda	Tak	PUT	Metoda HTTP używana przez operację migawki obiektu blob
URI	Tak	https://<storage-account-name>/<folder-name>/{name}	Identyfikator zasobu dla pliku Azure Blob Storage w środowisku globalnym platformy Azure (publicznym), który używa tej składni
Nagłówki	Dla usługi Azure Storage	x-ms-blob-type = BlockBlob x-ms-version = 2019-02-02 x-ms-date = @{formatDateTime(utcNow(),'r')}	Wartości nagłówków x-ms-blob-type, x-ms-versioni i x-ms-date są wymagane dla operacji usługi Azure Storage. Ważne: W wychodzącym wyzwalaczu HTTP i żądaniach akcji dla usługi Azure Storage nagłówek wymaga x-ms-version właściwości i wersji interfejsu API dla operacji, którą chcesz uruchomić. Wartość x-ms-date musi być bieżącą datą. W przeciwnym razie przepływ pracy kończy się niepowodzeniem z powodu błędu 403 FORBIDDEN . Aby uzyskać bieżącą datę w wymaganym formacie, możesz użyć wyrażenia w przykładowej wartości. Aby uzyskać więcej informacji, zapoznaj się z następującymi tematami: - Nagłówki żądań — migawka obiektu blob - Przechowywanie wersji usług Azure Storage
Zapytania	Tylko dla operacji migawki obiektu blob	comp = snapshot	Nazwa i wartość parametru zapytania dla operacji.

Zużycie

W poniższym przykładzie pokazano przykładową akcję HTTP z wszystkimi wcześniej opisanymi wartościami właściwości do użycia dla operacji migawki obiektu blob:

1. Po dodaniu akcji HTTP dodaj właściwość Uwierzytelnianie do akcji HTTP. Z listy Dodaj nowy parametr wybierz pozycję Uwierzytelnianie.

   

   Uwaga

   Nie wszystkie wyzwalacze i akcje obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tematem Typy uwierzytelniania dla wyzwalaczy i akcji, które obsługują uwierzytelnianie.

2. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

   

3. Z listy tożsamości zarządzanej wybierz z dostępnych opcji na podstawie danego scenariusza.

   • Jeśli skonfigurujesz tożsamość przypisaną przez system, wybierz opcję Tożsamość zarządzana przypisana przez system , jeśli nie została jeszcze wybrana.

     

   • Jeśli skonfigurujesz tożsamość przypisaną przez użytkownika, wybierz tę tożsamość, jeśli nie została jeszcze wybrana.

     

   W tym przykładzie jest kontynuowana tożsamość zarządzana przypisana przez system.

4. W niektórych wyzwalaczach i akcjach właściwość Odbiorcy jest również wyświetlana, aby ustawić identyfikator zasobu docelowego. Ustaw właściwość Audience na identyfikator zasobu dla zasobu docelowego lub usługi. W przeciwnym razie właściwość Audience domyślnie używa identyfikatora https://management.azure.com/ zasobu, który jest identyfikatorem zasobu dla usługi Azure Resource Manager.

   Jeśli na przykład chcesz uwierzytelnić dostęp do zasobu Key Vault w globalnej chmurze platformy Azure, musisz ustawić właściwość Audience na dokładnie następujący identyfikator zasobu: https://vault.azure.net. Ten konkretny identyfikator zasobu nie ma żadnych końcowych ukośników. W rzeczywistości dołączenie końcowego ukośnika może spowodować wystąpienie 400 Bad Request błędu lub błędu 401 Unauthorized .

   Ważne

   Upewnij się, że identyfikator zasobu docelowego dokładnie odpowiada wartości oczekiwanej przez usługę Azure Active Directory (AD), w tym wszelkich wymaganych ukośników końcowych. Na przykład identyfikator zasobu dla wszystkich kont Azure Blob Storage wymaga końcowego ukośnika. Jednak identyfikator zasobu dla określonego konta magazynu nie wymaga końcowego ukośnika. Sprawdź identyfikatory zasobów dla usług platformy Azure, które obsługują Azure AD.

   W tym przykładzie właściwość Audience ustawia wartość , https://storage.azure.com/ aby tokeny dostępu używane do uwierzytelniania były prawidłowe dla wszystkich kont magazynu. Można jednak również określić adres URL usługi głównej , https://<your-storage-account>.blob.core.windows.netdla określonego konta magazynu.

   

   Aby uzyskać więcej informacji na temat autoryzowania dostępu za pomocą Azure AD dla usługi Azure Storage, zapoznaj się z następującą dokumentacją:

   • Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu usługi Azure Active Directory

   • Autoryzowanie dostępu do usługi Azure Storage za pomocą usługi Azure Active Directory

5. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Standardowa

W poniższym przykładzie pokazano przykładową akcję HTTP z wszystkimi wcześniej opisanymi wartościami właściwości do użycia dla operacji migawki obiektu blob:

1. Po dodaniu akcji HTTP dodaj właściwość Uwierzytelnianie do akcji HTTP. Z listy Dodaj nowy parametr wybierz pozycję Uwierzytelnianie.

   

   Uwaga

   Nie wszystkie wyzwalacze i akcje obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tematem Typy uwierzytelniania dla wyzwalaczy i akcji, które obsługują uwierzytelnianie.

2. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

   

3. Z listy tożsamości zarządzanej wybierz pozycję Tożsamość zarządzana przypisana przez system , jeśli nie została jeszcze wybrana.

   

4. W niektórych wyzwalaczach i akcjach właściwość Odbiorcy jest również wyświetlana, aby ustawić identyfikator zasobu docelowego. Ustaw właściwość Audience na identyfikator zasobu dla zasobu docelowego lub usługi. W przeciwnym razie właściwość Audience domyślnie używa identyfikatora https://management.azure.com/ zasobu, który jest identyfikatorem zasobu dla usługi Azure Resource Manager.

   Jeśli na przykład chcesz uwierzytelnić dostęp do zasobu Key Vault w globalnej chmurze platformy Azure, musisz ustawić właściwość Audience na dokładnie następujący identyfikator zasobu: https://vault.azure.net. Ten konkretny identyfikator zasobu nie ma żadnych końcowych ukośników. W rzeczywistości dołączenie końcowego ukośnika może spowodować wystąpienie 400 Bad Request błędu lub błędu 401 Unauthorized .

   Ważne

   Upewnij się, że identyfikator zasobu docelowego dokładnie odpowiada wartości oczekiwanej przez usługę Azure Active Directory (AD), w tym wszelkich wymaganych ukośników końcowych. Na przykład identyfikator zasobu dla wszystkich kont Azure Blob Storage wymaga końcowego ukośnika. Jednak identyfikator zasobu dla określonego konta magazynu nie wymaga końcowego ukośnika. Sprawdź identyfikatory zasobów dla usług platformy Azure, które obsługują Azure AD.

   W tym przykładzie właściwość Audience ustawia wartość , https://storage.azure.com/ aby tokeny dostępu używane do uwierzytelniania były prawidłowe dla wszystkich kont magazynu. Można jednak również określić adres URL usługi głównej , https://<your-storage-account>.blob.core.windows.netdla określonego konta magazynu.

   

   Aby uzyskać więcej informacji na temat autoryzowania dostępu za pomocą Azure AD dla usługi Azure Storage, zapoznaj się z następującą dokumentacją:

   • Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu usługi Azure Active Directory
   • Autoryzowanie dostępu do usługi Azure Storage za pomocą usługi Azure Active Directory

5. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Przykład: Uwierzytelnianie wyzwalacza lub akcji łącznika zarządzanego przy użyciu tożsamości zarządzanej

Łącznik zarządzany usługi Azure Resource Manager ma akcję o nazwie Odczyt zasobu, która może używać tożsamości zarządzanej włączonej w zasobie aplikacji logiki. W tym przykładzie pokazano, jak używać przypisanej przez system tożsamości zarządzanej.

Zużycie

1. Po dodaniu akcji do przepływu pracy i wybraniu dzierżawy Azure AD wybierz pozycję Połącz z tożsamością zarządzaną.

   

2. Na stronie nazwa połączenia podaj nazwę połączenia i wybierz tożsamość zarządzaną, której chcesz użyć.

   Akcja azure Resource Manager jest akcją pojedynczego uwierzytelniania, więc w okienku informacji o połączeniu jest wyświetlana lista Tożsamości zarządzanej, która automatycznie wybiera tożsamość zarządzaną, która jest obecnie włączona w zasobie aplikacji logiki. Jeśli włączono tożsamość zarządzaną przypisaną przez system, lista Tożsamość zarządzana wybierze tożsamość zarządzaną przypisaną przez system. Jeśli zamiast tego włączono tożsamość zarządzaną przypisaną przez użytkownika, lista wybiera tę tożsamość.

   Jeśli używasz wyzwalacza lub akcji z wieloma uwierzytelnianiem, takiego jak Azure Blob Storage, w okienku informacji o połączeniu jest wyświetlana lista Typ uwierzytelniania zawierająca opcję Tożsamość zarządzana usługi Logic Apps wśród innych typów uwierzytelniania.

   W tym przykładzie tożsamość zarządzana przypisana przez system jest jedynym dostępnym wyborem.

   

   Uwaga

   Jeśli tożsamość zarządzana nie jest włączona podczas próby utworzenia połączenia, zmień połączenie lub została usunięta, gdy połączenie z włączoną tożsamością zarządzaną nadal istnieje, zostanie wyświetlony komunikat o błędzie, który musi włączyć tożsamość i udzielić dostępu do zasobu docelowego.

3. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz.

4. Po pomyślnym utworzeniu połączenia przez projektanta projektant może pobrać dowolne wartości dynamiczne, zawartość lub schemat przy użyciu uwierzytelniania tożsamości zarządzanej.

5. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Standardowa

1. Po dodaniu akcji do przepływu pracy w okienku Tworzenie połączenia wybierz dzierżawę Azure AD, a następnie wybierz pozycję Połącz z tożsamością zarządzaną.

   

2. Na stronie nazwa połączenia podaj nazwę połączenia.

   Akcja azure Resource Manager jest akcją pojedynczego uwierzytelniania, więc w okienku informacji o połączeniu jest wyświetlana lista Tożsamości zarządzanej, która automatycznie wybiera tożsamość zarządzaną, która jest obecnie włączona w zasobie aplikacji logiki. Domyślnie standardowe aplikacje logiki automatycznie mają włączoną tożsamość zarządzaną przypisaną przez system. Lista Tożsamości zarządzanej zawiera wszystkie aktualnie włączone tożsamości, na przykład:

   

   Jeśli używasz wyzwalacza lub akcji wielokrotnego uwierzytelniania, takiego jak Azure Blob Storage, w okienku informacji o połączeniu zostanie wyświetlona lista Typ uwierzytelniania zawierająca opcję Tożsamość zarządzana usługi Logic Apps wśród innych typów uwierzytelniania. Po wybraniu tej opcji w następnym okienku możesz wybrać tożsamość z listy Tożsamość zarządzana .

   Uwaga

   Jeśli tożsamość zarządzana nie jest włączona podczas próby utworzenia połączenia, zmień połączenie lub została usunięta, gdy połączenie z włączoną tożsamością zarządzaną nadal istnieje, zostanie wyświetlony komunikat o błędzie, który musi włączyć tożsamość i udzielić dostępu do zasobu docelowego.

3. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz.

4. Po pomyślnym utworzeniu połączenia przez projektanta projektant może pobrać dowolne wartości dynamiczne, zawartość lub schemat przy użyciu uwierzytelniania tożsamości zarządzanej.

5. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Definicja zasobu aplikacji logiki i połączenia korzystające z tożsamości zarządzanej

Połączenie, które włącza tożsamość zarządzaną i używa jej, to specjalny typ połączenia, który działa tylko z tożsamością zarządzaną. W czasie wykonywania połączenie korzysta z tożsamości zarządzanej włączonej w zasobie aplikacji logiki. W czasie wykonywania usługa Azure Logic Apps sprawdza, czy dowolny wyzwalacz i akcje łącznika zarządzanego w przepływie pracy aplikacji logiki są skonfigurowane do używania tożsamości zarządzanej oraz czy wszystkie wymagane uprawnienia są skonfigurowane do używania tożsamości zarządzanej na potrzeby uzyskiwania dostępu do zasobów docelowych określonych przez wyzwalacz i akcje. W przypadku powodzenia usługa Azure Logic Apps pobiera token Azure AD skojarzony z tożsamością zarządzaną i używa tej tożsamości do uwierzytelniania dostępu do zasobu docelowego i wykonywania skonfigurowanej operacji w wyzwalaczu i akcjach.

Zużycie

W zasobie aplikacji logiki (Zużycie) konfiguracja połączenia jest zapisywana w obiekcie definicji parameters zasobu aplikacji logiki, który zawiera $connections obiekt zawierający wskaźniki do identyfikatora zasobu połączenia wraz z identyfikatorem zasobu tożsamości, jeśli tożsamość przypisana przez użytkownika jest włączona.

W tym przykładzie pokazano, jak wygląda konfiguracja, gdy aplikacja logiki włączy tożsamość zarządzaną przypisaną przez system :

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

W tym przykładzie pokazano, jak wygląda konfiguracja, gdy aplikacja logiki włączy tożsamość zarządzaną przypisaną przez użytkownika :

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Standardowa

W zasobie aplikacji logiki (Standardowa) konfiguracja połączenia jest zapisywana w pliku aplikacji logiki lub projektu connections.json , który zawiera managedApiConnections obiekt JSON zawierający informacje o konfiguracji połączenia dla każdego łącznika zarządzanego używanego w przepływie pracy. Na przykład te informacje o połączeniu zawierają wskaźniki do identyfikatora zasobu połączenia wraz z właściwościami tożsamości zarządzanej, takimi jak identyfikator zasobu, jeśli tożsamość przypisana przez użytkownika jest włączona.

W tym przykładzie pokazano, jak wygląda konfiguracja, gdy aplikacja logiki włączy tożsamość zarządzaną przypisaną przez system :

{
    "managedApiConnections": {
        "<connector-name>": {
            "api": {
                "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/<connector-name>"
            },
            "authentication": { // Authentication for the internal token store
                "type": "ManagedServiceIdentity"
            },
            "connection": {
                "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
            },
            "connectionProperties": {
                "authentication": { // Authentication for the target resource
                    "audience": "<resource-URL>",
                    "type": "ManagedServiceIdentity"
                }
            },
            "connectionRuntimeUrl": "<connection-runtime-URL>"
        }
    }
}

W tym przykładzie pokazano, jak wygląda konfiguracja, gdy aplikacja logiki włączy tożsamość zarządzaną przypisaną przez użytkownika :

{
    "managedApiConnections": {
        "<connector-name>": {
            "api": {
                "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/<connector-name>"
            },
            "authentication": { // Authentication for the internal token store
                "type": "ManagedServiceIdentity"
            },
            "connection": {
                "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
            },
            "connectionProperties": {
                "authentication": { // Authentication for the target resource
                    "audience": "<resource-URL>",     
                    "type": "ManagedServiceIdentity",
                    "identity": "<user-assigned-identity>" // Optional
                }
            },
            "connectionRuntimeUrl": "<connection-runtime-URL>"
        }
    }
}

Szablon usługi ARM dla połączeń interfejsu API i tożsamości zarządzanych

Jeśli używasz szablonu usługi ARM do automatyzacji wdrażania, a przepływ pracy zawiera połączenie interfejsu API, które jest tworzone przez łącznik zarządzany, taki jak Office 365 Outlook, Azure Key Vault i tak dalej, aby używać tożsamości zarządzanej, musisz wykonać dodatkowy krok.

W szablonie usługi ARM podstawowa definicja zasobu łącznika różni się w zależności od tego, czy masz aplikację logiki Zużycie, czy Standardowa oraz czy łącznik wyświetla opcje pojedynczego uwierzytelniania lub wielu uwierzytelniania.

Zużycie

Poniższe przykłady dotyczą aplikacji logiki Zużycie i pokazują, jak podstawowa definicja zasobu łącznika różni się między łącznikiem pojedynczego uwierzytelniania, takim jak Azure Automation, i łącznikiem z wieloma uwierzytelnianiem, takimi jak Azure Blob Storage.

Pojedyncze uwierzytelnianie

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji Azure Automation w aplikacji logiki Zużycie, która używa tożsamości zarządzanej, w której definicja zawiera atrybuty:

• Właściwość apiVersion ma ustawioną wartość 2016-06-01.
• Właściwość jest ustawiona kindV1 na wartość dla aplikacji logiki Zużycie.
• Właściwość parameterValueType ma ustawioną wartość Alternative.

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('connections_azureautomation_name')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueType": "Alternative"
    }
},

Uwierzytelnianie wieloskładnikowe

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji Azure Blob Storage w aplikacji logiki Zużycie, która używa tożsamości zarządzanej, w której definicja zawiera następujące atrybuty:

• Właściwość apiVersion ma ustawioną wartość 2018-07-01-preview.
• Właściwość jest ustawiona kindV1 na wartość dla aplikacji logiki Zużycie.
• Obiekt parameterValueSet zawiera właściwość ustawioną name na managedIdentityAuth i właściwość ustawioną values na pusty obiekt.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "2018-07-01-preview",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Standardowa

Poniższe przykłady dotyczą standardowych aplikacji logiki i pokazują, jak podstawowa definicja zasobu łącznika różni się między łącznikiem pojedynczego uwierzytelniania, takim jak Azure Automation, i łącznikiem z wieloma uwierzytelnianiem, takimi jak Azure Blob Storage.

Pojedyncze uwierzytelnianie

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji Azure Automation w standardowej aplikacji logiki, która używa tożsamości zarządzanej, w której definicja zawiera następujące atrybuty:

• Właściwość apiVersion ma ustawioną wartość 2016-06-01.
• Właściwość jest ustawiona kindV2 na wartość dla standardowej aplikacji logiki.
• Właściwość parameterValueType ma ustawioną wartość Alternative.

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('connections_azureautomation_name')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V2",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueType": "Alternative"
    }
},

Uwierzytelnianie wieloskładnikowe

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji Azure Blob Storage w standardowej aplikacji logiki korzystającej z tożsamości zarządzanej, w której definicja zawiera następujące atrybuty:

• Właściwość apiVersion ma ustawioną wartość 2018-07-01-preview.
• Właściwość jest ustawiona kindV2 na wartość dla standardowej aplikacji logiki.
• Obiekt parameterValueSet zawiera właściwość ustawioną name na managedIdentityAuth i właściwość ustawioną values na pusty obiekt.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "2018-07-01-preview",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V2",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

Zgodnie z tą Microsoft.Web/connections definicją zasobu upewnij się, że dodano zasady dostępu określające definicję zasobu dla każdego połączenia interfejsu API i podaj następujące informacje:

Parametr	Opis
<nazwa połączenia>	Nazwa połączenia interfejsu API, na przykład azureblob
<identyfikator obiektu>	Identyfikator obiektu tożsamości Azure AD, wcześniej zapisany z rejestracji aplikacji
<identyfikator dzierżawy>	Identyfikator dzierżawy tożsamości Azure AD, wcześniej zapisany z rejestracji aplikacji

{
   "type": "Microsoft.Web/connections/accessPolicies",
   "apiVersion": "2016-06-01",
   "name": "[concat('<connection-name>','/','<object-ID>')]",
   "location": "<location>",
   "dependsOn": [
      "[resourceId('Microsoft.Web/connections', parameters('connection_name'))]"
   ],
   "properties": {
      "principal": {
         "type": "ActiveDirectory",
         "identity": {
            "objectId": "<object-ID>",
            "tenantId": "<tenant-ID>"
         }
      }
   }
}

Aby uzyskać więcej informacji, zapoznaj się z Microsoft. Dokumentacja aplikacji Web/connections/accesspolicies (szablon usługi ARM).

Konfigurowanie zaawansowanej kontroli nad uwierzytelnianiem połączenia interfejsu API

Gdy przepływ pracy używa połączenia interfejsu API utworzonego przez łącznik zarządzany, taki jak Office 365 Outlook, Azure Key Vault itd., usługa Azure Logic Apps komunikuje się z zasobem docelowym, takim jak konto e-mail, magazyn kluczy itd., używając dwóch połączeń:

• Połączenie nr 1 jest konfigurowane przy użyciu uwierzytelniania dla wewnętrznego magazynu tokenów.

• Połączenie #2 jest konfigurowane z uwierzytelnianiem dla zasobu docelowego.

W zasobie aplikacji logiki Zużycie połączenie #1 jest abstrahowane od Ciebie bez żadnych opcji konfiguracji. W standardowym typie zasobu aplikacji logiki masz większą kontrolę nad aplikacją logiki. Domyślnie połączenie #1 jest konfigurowane automatycznie do korzystania z tożsamości przypisanej przez system.

Jeśli jednak scenariusz wymaga bardziej precyzyjnej kontroli nad uwierzytelnianiem połączeń interfejsu API, możesz opcjonalnie zmienić uwierzytelnianie dla połączenia #1 z domyślnej tożsamości przypisanej przez system do dowolnej tożsamości przypisanej przez użytkownika, która została dodana do aplikacji logiki. To uwierzytelnianie ma zastosowanie do każdego połączenia interfejsu API, dzięki czemu można mieszać tożsamości przypisane przez system i przypisane przez użytkownika między różnymi połączeniami z tym samym zasobem docelowym.

W pliku connections.json aplikacji logiki w warstwie Standardowa, w którym są przechowywane informacje o każdym połączeniu interfejsu API, każda definicja połączenia ma dwie authentication sekcje, na przykład:

"keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

• Pierwsza authentication sekcja mapuje na połączenie nr 1. W tej sekcji opisano uwierzytelnianie używane do komunikowania się z wewnętrznym magazynem tokenów. W przeszłości ta sekcja była zawsze ustawiona na ManagedServiceIdentity wartość dla aplikacji wdrażanej na platformie Azure i nie miała konfigurowalnych opcji.

• Druga authentication sekcja mapuje na połączenie nr 2. W tej sekcji opisano uwierzytelnianie używane do komunikowania się z zasobem docelowym może się różnić w zależności od typu uwierzytelniania wybranego dla tego połączenia.

Dlaczego warto zmienić uwierzytelnianie magazynu tokenów?

W niektórych scenariuszach można współużytkować i używać tego samego połączenia interfejsu API w wielu aplikacjach logiki, ale nie dodawać tożsamości przypisanej przez system dla każdej aplikacji logiki do zasad dostępu zasobu docelowego.

W innych scenariuszach możesz nie chcieć całkowicie skonfigurować tożsamości przypisanej przez system w aplikacji logiki, aby można było całkowicie zmienić uwierzytelnianie na tożsamość przypisaną przez użytkownika i całkowicie wyłączyć tożsamość przypisaną przez system.

Zmienianie uwierzytelniania magazynu tokenów

1. W Azure Portal otwórz zasób standardowej aplikacji logiki.

2. W menu zasobów w obszarze Przepływy pracy wybierz pozycję Połączenia.

3. W okienku Połączenia wybierz pozycję Widok JSON.

   

4. W edytorze JSON znajdź sekcję managedApiConnections zawierającą połączenia interfejsu API we wszystkich przepływach pracy w zasobie aplikacji logiki.

5. Znajdź połączenie, w którym chcesz dodać tożsamość zarządzaną przypisaną przez użytkownika. Załóżmy na przykład, że przepływ pracy ma połączenie usługi Azure Key Vault:

   "keyvault": {
      "api": {
         "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
      },
      "authentication": {
         "type": "ManagedServiceIdentity"
      },
      "connection": {
         "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
      },
      "connectionProperties": {
         "authentication": {
            "audience": "https://vault.azure.net",
            "type": "ManagedServiceIdentity"
         }
      },
      "connectionRuntimeUrl": "<connection-runtime-URL>"
   }
   

6. W definicji połączenia wykonaj następujące kroki:

   1. Znajdź pierwszą authentication sekcję. Jeśli żadna właściwość nie identity istnieje już w tej authentication sekcji, aplikacja logiki niejawnie używa tożsamości przypisanej przez system.

   2. identity Dodaj właściwość przy użyciu przykładu w tym kroku.

   3. Ustaw wartość właściwości na identyfikator zasobu dla tożsamości przypisanej przez użytkownika.

   "keyvault": {
      "api": {
         "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
      },
      "authentication": {
         "type": "ManagedServiceIdentity",
         // Add "identity" property here
         "identity": "/subscriptions/{Azure-subscription-ID}/resourcegroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-resource-ID}" 
      },
      "connection": {
         "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
      },
      "connectionProperties": {
         "authentication": {
            "audience": "https://vault.azure.net",
            "type": "ManagedServiceIdentity"
         }
      },
      "connectionRuntimeUrl": "<connection-runtime-URL>"
   }
   

7. W Azure Portal przejdź do zasobu docelowego i nadaj dostęp do tożsamości zarządzanej przypisanej przez użytkownika na podstawie potrzeb zasobu docelowego.

   Na przykład w przypadku usługi Azure Key Vault dodaj tożsamość do zasad dostępu magazynu kluczy. W przypadku Azure Blob Storage przypisz niezbędną rolę dla tożsamości do konta magazynu.

Wyłączanie tożsamości zarządzanej

Aby przestać używać tożsamości zarządzanej do uwierzytelniania, najpierw usuń dostęp tożsamości do zasobu docelowego. Następnie w zasobie aplikacji logiki wyłącz tożsamość przypisaną przez system lub usuń tożsamość przypisaną przez użytkownika.

Po wyłączeniu tożsamości zarządzanej w zasobie aplikacji logiki można usunąć możliwość tej tożsamości w celu żądania dostępu do zasobów platformy Azure, do których tożsamość miała dostęp.

Uwaga

Jeśli wyłączysz tożsamość przypisaną przez system, wszystkie połączenia używane przez przepływy pracy tej aplikacji logiki nie będą działać w czasie wykonywania, nawet jeśli tożsamość zostanie natychmiast włączona. Takie zachowanie występuje, ponieważ wyłączenie tożsamości powoduje usunięcie identyfikatora obiektu. Za każdym razem, gdy włączysz tożsamość, platforma Azure generuje tożsamość z innym i unikatowym identyfikatorem obiektu. Aby rozwiązać ten problem, należy ponownie utworzyć połączenia, aby używały bieżącego identyfikatora obiektu dla bieżącej tożsamości przypisanej przez system.

Staraj się unikać wyłączania tożsamości przypisanej przez system, jak najwięcej. Jeśli chcesz usunąć dostęp tożsamości do zasobów platformy Azure, usuń przypisanie roli tożsamości z zasobu docelowego. Jeśli usuniesz zasób aplikacji logiki, platforma Azure automatycznie usunie tożsamość zarządzaną z Azure AD.

Kroki opisane w tej sekcji dotyczą używania szablonu Azure Portal i usługi Azure Resource Manager (szablonu usługi ARM). W przypadku Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie	Dokumentacja
Azure PowerShell	1. Usuń przypisanie roli. 2. Usuń tożsamość przypisaną przez użytkownika.
Interfejs wiersza polecenia platformy Azure	1. Usuń przypisanie roli. 2. Usuń tożsamość przypisaną przez użytkownika.
Interfejs API REST platformy Azure	1. Usuń przypisanie roli. 2. Usuń tożsamość przypisaną przez użytkownika.

Wyłączanie tożsamości zarządzanej w Azure Portal

Aby usunąć dostęp do tożsamości zarządzanej, usuń przypisanie roli tożsamości z zasobu docelowego, a następnie wyłącz tożsamość zarządzaną.

Usuwanie przypisania roli

Następujące kroki powodują usunięcie dostępu do zasobu docelowego z tożsamości zarządzanej:

1. W Azure Portal przejdź do docelowego zasobu platformy Azure, w którym chcesz usunąć dostęp dla tożsamości zarządzanej.

2. Z menu zasobu docelowego wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami). Na pasku narzędzi wybierz pozycję Przypisania ról.

3. Na liście ról wybierz tożsamości zarządzane, które chcesz usunąć. Na pasku narzędzi wybierz pozycję Usuń.

   Porada

   Jeśli opcja Usuń jest wyłączona, najprawdopodobniej nie masz uprawnień. Aby uzyskać więcej informacji na temat uprawnień umożliwiających zarządzanie rolami dla zasobów, zapoznaj się z tematem Uprawnienia roli administratora w usłudze Azure Active Directory.

Wyłączanie tożsamości zarządzanej w zasobie aplikacji logiki

1. W Azure Portal otwórz zasób aplikacji logiki.

2. W menu nawigacji aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość, a następnie wykonaj kroki dotyczące tożsamości:

   • Wybierz pozycję System przypisany>przy>zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

   • Wybierz pozycję Przypisane przez użytkownika i tożsamość zarządzaną, a następnie wybierz pozycję Usuń. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

Wyłączanie tożsamości zarządzanej w szablonie usługi ARM

Jeśli tożsamość zarządzana aplikacji logiki została utworzona przy użyciu szablonu usługi ARM, ustaw identity właściwość podrzędną type obiektu na None.

"identity": {
   "type": "None"
}

Następne kroki

• Bezpieczny dostęp i dane w usłudze Azure Logic Apps