Uwierzytelnianie dostępu i połączeń z zasobami platformy Azure przy użyciu tożsamości zarządzanych w usłudze Azure Logic Apps

Dotyczy: Azure Logic Apps (Zużycie + Standardowa)

Jeśli chcesz uniknąć udostępniania, przechowywania poświadczeń, wpisów tajnych lub tokenów usługi Microsoft Entra oraz zarządzania nimi, możesz użyć tożsamości zarządzanej do uwierzytelniania dostępu lub połączeń z przepływu pracy aplikacji logiki do chronionych zasobów firmy Microsoft Entra. W usłudze Azure Logic Apps niektóre operacje łącznika obsługują używanie tożsamości zarządzanej, gdy musisz uwierzytelnić dostęp do zasobów chronionych przez identyfikator entra firmy Microsoft. Platforma Azure zarządza tą tożsamością i pomaga zapewnić bezpieczeństwo informacji uwierzytelniania, aby nie trzeba było zarządzać tymi poufnymi informacjami. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

Usługa Azure Logic Apps obsługuje następujące typy tożsamości zarządzanych:

Poniższa lista zawiera opis niektórych różnic między tymi typami tożsamości zarządzanych:

  • Zasób aplikacji logiki może włączać i używać tylko jednej unikatowej tożsamości przypisanej przez system.

  • Zasób aplikacji logiki może współdzielić tę samą tożsamość przypisaną przez użytkownika w grupie innych zasobów aplikacji logiki.

W tym przewodniku pokazano, jak wykonać następujące zadania:

  • Włącz i skonfiguruj tożsamość przypisaną przez system dla zasobu aplikacji logiki. Ten przewodnik zawiera przykład pokazujący, jak używać tożsamości do uwierzytelniania.

  • Utwórz i skonfiguruj tożsamość przypisaną przez użytkownika. W tym przewodniku pokazano, jak utworzyć tę tożsamość przy użyciu witryny Azure Portal lub szablonu usługi Azure Resource Manager (szablonu usługi ARM) oraz jak używać tożsamości do uwierzytelniania. W przypadku programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie Dokumentacja
Azure PowerShell Tworzenie tożsamości przypisanej przez użytkownika
Interfejs wiersza polecenia platformy Azure Tworzenie tożsamości przypisanej przez użytkownika
Interfejs API REST platformy Azure Tworzenie tożsamości przypisanej przez użytkownika

Wymagania wstępne

  • Konto i subskrypcja platformy Azure. Jeśli nie masz subskrypcji, zarejestruj się w celu założenia bezpłatnego konta platformy Azure. Tożsamość zarządzana i docelowy zasób platformy Azure, do którego potrzebujesz dostępu, musi używać tej samej subskrypcji platformy Azure.

  • Docelowy zasób platformy Azure, do którego chcesz uzyskać dostęp. W tym zasobie musisz dodać rolę niezbędną dla tożsamości zarządzanej, aby uzyskać dostęp do tego zasobu w imieniu aplikacji logiki lub połączenia. Aby dodać rolę do tożsamości zarządzanej, potrzebujesz uprawnień administratora firmy Microsoft Entra, które mogą przypisywać role do tożsamości w odpowiedniej dzierżawie firmy Microsoft Entra.

  • Zasób aplikacji logiki i przepływ pracy, w którym chcesz użyć wyzwalacza lub akcji obsługujących tożsamości zarządzane.

Różnice tożsamości zarządzanej między użyciem i standardowymi aplikacjami logiki

Na podstawie typu zasobu aplikacji logiki można włączyć tożsamość przypisaną przez system, tożsamość przypisaną przez użytkownika lub obie te elementy w tym samym czasie:

Aplikacja logiki Środowisko Obsługa tożsamości zarządzanej
Zużycie — Wielodostępna usługa Azure Logic Apps

— Środowisko usługi integracji (ISE)
— Możesz włączyć tożsamość przypisaną przez system lub tożsamość przypisaną przez użytkownika, ale nie obie w aplikacji logiki.

— Tożsamość zarządzana można używać na poziomie zasobu aplikacji logiki i na poziomie połączenia.

— Jeśli tworzysz i włączasz tożsamość przypisaną przez użytkownika, aplikacja logiki może mieć tylko jedną tożsamość przypisaną przez użytkownika naraz.
Standardowa — Usługa Azure Logic Apps z jedną dzierżawą

- App Service Environment v3 (ASEv3)

— Usługa Logic Apps z obsługą usługi Azure Arc
— Można włączyć zarówno tożsamość przypisaną przez system, która jest domyślnie włączona, jak i tożsamość przypisana przez użytkownika w tym samym czasie. Do aplikacji logiki można również dodać wiele tożsamości przypisanych przez użytkownika. Jednak aplikacja logiki może używać tylko jednej tożsamości zarządzanej jednocześnie.

— Tożsamość zarządzana można używać na poziomie zasobu aplikacji logiki i na poziomie połączenia.

Aby uzyskać informacje o limitach tożsamości zarządzanych w usłudze Azure Logic Apps, zobacz Limity tożsamości zarządzanych dla aplikacji logiki. Aby uzyskać więcej informacji o typach zasobów i środowiskach aplikacji logiki Zużycie i Standardowa, zobacz następującą dokumentację:

Gdzie można użyć tożsamości zarządzanej

W usłudze Azure Logic Apps tylko określone wbudowane i zarządzane operacje łącznika, które obsługują uwierzytelnianie OAuth przy użyciu identyfikatora Entra firmy Microsoft, mogą używać tożsamości zarządzanej do uwierzytelniania. Poniższe tabele zawierają tylko przykładowy wybór. Aby uzyskać bardziej pełną listę, zobacz następującą dokumentację:

W przypadku przepływu pracy aplikacji logiki Zużycie w poniższej tabeli wymieniono przykładowe łączniki obsługujące uwierzytelnianie tożsamości zarządzanej:

Typ łącznika Obsługiwane łączniki
Wbudowana — Azure API Management
- aplikacja systemu Azure Services
— Azure Functions
- HTTP
- HTTP + element webhook

Uwaga: Operacje HTTP mogą uwierzytelniać połączenia z kontami usługi Azure Storage za zaporami platformy Azure przy użyciu tożsamości przypisanej przez system. Jednak operacje HTTP nie obsługują tożsamości przypisanej przez użytkownika do uwierzytelniania tych samych połączeń.
Zarządzana - aplikacja systemu Azure Service
— Azure Automation
— Azure Blob Storage
— Wystąpienie kontenera platformy Azure
— Azure Cosmos DB
— Azure Data Explorer
— Azure Data Factory
— Azure Data Lake
— Azure Digital Twins
— Azure Event Grid
— Azure Event Hubs
— Azure IoT Central V2
— Azure Key Vault
-Dzienniki usługi Azure Monitor
— Kolejki platformy Azure
— Azure Resource Manager
— Azure Service Bus
— Azure Sentinel
— Azure Table Storage
— Maszyna wirtualna platformy Azure
- SQL Server

Włączanie tożsamości przypisanej przez system w witrynie Azure Portal

W zasobie aplikacji logiki Zużycie należy ręcznie włączyć tożsamość przypisaną przez system.

  1. W witrynie Azure Portal otwórz zasób aplikacji logiki Zużycie.

  2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

  3. Na stronie Tożsamość w obszarze System przypisany wybierz pozycję Przy>zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

    Zrzut ekranu przedstawiający witrynę Azure Portal, aplikację logiki zużycie, stronę tożsamości i kartę Przypisano system z wybranymi opcjami: Włączone i Zapisz.

    Uwaga

    Jeśli wystąpi błąd, że możesz mieć tylko jedną tożsamość zarządzaną, zasób aplikacji logiki jest już skojarzony z tożsamością przypisaną przez użytkownika. Przed dodaniem tożsamości przypisanej przez system należy najpierw usunąć tożsamość przypisaną przez użytkownika z zasobu aplikacji logiki.

    Zasób aplikacji logiki może teraz używać tożsamości przypisanej przez system. Ta tożsamość jest zarejestrowana w identyfikatorze Entra firmy Microsoft i jest reprezentowana przez identyfikator obiektu.

    Zrzut ekranu przedstawiający aplikację logiki zużycie, stronę tożsamości i identyfikator obiektu dla tożsamości przypisanej przez system.

    Właściwości Wartość Opis
    Identyfikator obiektu (podmiotu zabezpieczeń) <identity-resource-ID> Unikatowy identyfikator globalny (GUID), który reprezentuje tożsamość przypisaną przez system dla aplikacji logiki w dzierżawie firmy Microsoft Entra.
  4. Teraz wykonaj kroki, które zapewniają dostęp tożsamości przypisanej przez system do zasobu w dalszej części tego przewodnika.

Włączanie tożsamości przypisanej przez system w szablonie usługi ARM

Aby zautomatyzować tworzenie i wdrażanie zasobów aplikacji logiki, możesz użyć szablonu usługi ARM. Aby włączyć tożsamość przypisaną przez system dla zasobu aplikacji logiki w szablonie, dodaj obiekt tożsamości i właściwość podrzędną typu do definicji zasobu aplikacji logiki w szablonie, na przykład:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Gdy platforma Azure tworzy definicję zasobu aplikacji logiki, obiekt tożsamości pobiera następujące inne właściwości:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}
Właściwość (JSON) Wartość Opis
principalId <identyfikator podmiotu zabezpieczeń> Globalnie unikatowy identyfikator (GUID) obiektu jednostki usługi dla tożsamości zarządzanej, która reprezentuje aplikację logiki w dzierżawie firmy Microsoft Entra. Ten identyfikator GUID czasami jest wyświetlany jako "identyfikator obiektu" lub objectID.
tenantId <Microsoft-Entra-ID-tenant-ID-ID> Globalnie unikatowy identyfikator (GUID), który reprezentuje dzierżawę firmy Microsoft Entra, w której aplikacja logiki jest teraz członkiem. W dzierżawie firmy Microsoft Entra jednostka usługi ma taką samą nazwę jak wystąpienie aplikacji logiki.

Tworzenie tożsamości przypisanej przez użytkownika w witrynie Azure Portal

Aby można było włączyć tożsamość przypisaną przez użytkownika w zasobie aplikacji logiki Zużycie lub standardowym zasobie aplikacji logiki, musisz utworzyć tę tożsamość jako oddzielny zasób platformy Azure.

  1. W polu wyszukiwania witryny Azure Portal wprowadź tożsamości zarządzane. Z listy wyników wybierz pozycję Tożsamości zarządzane.

    Zrzut ekranu przedstawiający witrynę Azure Portal z wybraną opcją o nazwie Tożsamości zarządzane.

  2. Na pasku narzędzi tożsamości zarządzanych wybierz pozycję Utwórz.

  3. Podaj informacje o tożsamości zarządzanej, a następnie wybierz pozycję Przejrzyj i utwórz, na przykład:

    Zrzut ekranu przedstawiający stronę o nazwie Create User Assigned Managed Identity (Tworzenie tożsamości zarządzanej przypisanej przez użytkownika) ze szczegółami tożsamości zarządzanej.

    Właściwości Wymagania Wartość Opis
    Subskrypcja Tak <Azure-subscription-name> Nazwa subskrypcji platformy Azure
    Grupa zasobów: Tak <Azure-resource-group-name> Nazwa grupy zasobów platformy Azure. Utwórz nową grupę lub wybierz istniejącą grupę. W tym przykładzie zostanie utworzona nowa grupa o nazwie fabrikam-managed-identities-RG.
    Region Tak <Region świadczenia usługi Azure> Region świadczenia usługi Azure, w którym mają być przechowywane informacje o zasobie. W tym przykładzie użyto zachodnich stanów USA.
    Nazwa/nazwisko Tak <user-assigned-identity-name> Nazwa, która ma nadać tożsamość przypisaną przez użytkownika. W tym przykładzie użyto tożsamości przypisanej przez użytkownika firmy Fabrikam.

    Po zweryfikowaniu informacji przez platformę Azure platforma Azure utworzy tożsamość zarządzaną. Teraz możesz dodać tożsamość przypisaną przez użytkownika do zasobu aplikacji logiki.

Dodawanie tożsamości przypisanej przez użytkownika do aplikacji logiki w witrynie Azure Portal

  1. W witrynie Azure Portal otwórz zasób aplikacji logiki Zużycie.

  2. W menu aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość.

  3. Na stronie Tożsamość wybierz pozycję Przypisany użytkownik, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający stronę Użycie aplikacji logiki i tożsamości z wybraną opcją Dodaj.

  4. W okienku Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wykonaj następujące kroki:

    1. Z listy Wybierz subskrypcję wybierz subskrypcję platformy Azure.

    2. Z listy zawierającej wszystkie tożsamości zarządzane w ramach subskrypcji wybierz odpowiednią tożsamość przypisaną przez użytkownika. Aby przefiltrować listę, w polu wyszukiwania Tożsamości zarządzane przypisane przez użytkownika wprowadź nazwę tożsamości lub grupy zasobów.

      Zrzut ekranu przedstawiający aplikację logiki Zużycie i wybraną tożsamość przypisaną przez użytkownika.

    3. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj.

      Uwaga

      Jeśli wystąpi błąd, że możesz mieć tylko jedną tożsamość zarządzaną, aplikacja logiki jest już skojarzona z tożsamością przypisaną przez system. Przed dodaniem tożsamości przypisanej przez użytkownika należy najpierw wyłączyć tożsamość przypisaną przez system.

    Aplikacja logiki jest teraz skojarzona z tożsamością przypisaną przez użytkownika.

    Zrzut ekranu przedstawiający aplikację logiki Zużycie ze skojarzona tożsamością przypisaną przez użytkownika.

  5. Teraz wykonaj kroki, które zapewniają dostęp tożsamości do zasobu w dalszej części tego przewodnika.

Tworzenie tożsamości przypisanej przez użytkownika w szablonie usługi ARM

Aby zautomatyzować tworzenie i wdrażanie zasobów aplikacji logiki, możesz użyć szablonu usługi ARM. Te szablony obsługują tożsamości przypisane przez użytkownika do uwierzytelniania.

W sekcji zasobów szablonu definicja zasobów aplikacji logiki wymaga następujących elementów:

  • Obiekt tożsamości z właściwością type ustawioną na UserAssigned

  • Podrzędny obiekt userAssignedIdentities określający zasób i nazwę przypisaną przez użytkownika

W tym przykładzie przedstawiono definicję zasobu aplikacji logiki zużycie i przepływu pracy dla żądania HTTP PUT z nieparametryzowanym obiektem tożsamości . Odpowiedź na żądanie PUT i kolejna operacja GET obejmuje również ten obiekt tożsamości :

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Jeśli szablon zawiera również definicję zasobu tożsamości zarządzanej, możesz sparametryzować obiekt tożsamości . W poniższym przykładzie pokazano, jak obiekt userAssignedIdentities odwołuje się do zmiennej userAssignedIdentityName zdefiniowanej w sekcji zmiennych szablonu. Ta zmienna odwołuje się do identyfikatora zasobu tożsamości przypisanej przez użytkownika.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Przyznawanie tożsamości dostępu do zasobów

Aby można było użyć tożsamości zarządzanej aplikacji logiki do uwierzytelniania, musisz skonfigurować dostęp do tożsamości w docelowym zasobie platformy Azure, w którym chcesz użyć tożsamości. Sposób konfigurowania dostępu zależy od zasobu docelowego.

Uwaga

Gdy tożsamość zarządzana ma dostęp do zasobu platformy Azure w tej samej subskrypcji, tożsamość może uzyskać dostęp tylko do tego zasobu. Jednak w niektórych wyzwalaczach i akcjach obsługujących tożsamości zarządzane należy najpierw wybrać grupę zasobów platformy Azure zawierającą zasób docelowy. Jeśli tożsamość nie ma dostępu na poziomie grupy zasobów, żadne zasoby w tej grupie nie są wyświetlane, pomimo dostępu do zasobu docelowego.

Aby obsłużyć to zachowanie, należy również udzielić tożsamości dostępu do grupy zasobów, a nie tylko zasobu. Podobnie, jeśli musisz wybrać subskrypcję przed wybraniem zasobu docelowego, musisz udzielić tożsamości dostępu do subskrypcji.

W niektórych przypadkach może być potrzebna tożsamość, aby uzyskać dostęp do skojarzonego zasobu. Załóżmy na przykład, że masz tożsamość zarządzaną dla aplikacji logiki, która wymaga dostępu do aktualizowania ustawień aplikacji dla tej samej aplikacji logiki z przepływu pracy. Musisz przyznać tej tożsamości dostęp do skojarzonej aplikacji logiki.

Aby na przykład uzyskać dostęp do konta usługi Azure Blob Storage przy użyciu tożsamości zarządzanej, musisz skonfigurować dostęp przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC) i przypisać odpowiednią rolę dla tej tożsamości do konta magazynu. W krokach w tej sekcji opisano sposób wykonywania tego zadania przy użyciu witryny Azure Portal i szablonu usługi Azure Resource Manager (szablonu arm). W przypadku programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie Dokumentacja
Azure PowerShell Dodawanie przypisania roli
Interfejs wiersza polecenia platformy Azure Dodawanie przypisania roli
Interfejs API REST platformy Azure Dodawanie przypisania roli

Jednak aby uzyskać dostęp do magazynu kluczy platformy Azure przy użyciu tożsamości zarządzanej, musisz utworzyć zasady dostępu dla tej tożsamości w magazynie kluczy i przypisać odpowiednie uprawnienia dla tej tożsamości w tym magazynie kluczy. W kolejnych krokach w tej sekcji opisano sposób wykonywania tego zadania przy użyciu witryny Azure Portal. W przypadku szablonów usługi Resource Manager, programu PowerShell i interfejsu wiersza polecenia platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie Dokumentacja
Szablon usługi Azure Resource Manager (szablon ARM) Definicja zasobu zasad dostępu usługi Key Vault
Azure PowerShell Przypisywanie zasad dostępu do usługi Key Vault
Interfejs wiersza polecenia platformy Azure Przypisywanie zasad dostępu do usługi Key Vault

Przypisywanie dostępu opartego na rolach do tożsamości zarządzanej przy użyciu witryny Azure Portal

Aby użyć tożsamości zarządzanej do uwierzytelniania, niektóre zasoby platformy Azure, takie jak konta usługi Azure Storage, wymagają przypisania tej tożsamości do roli, która ma odpowiednie uprawnienia do zasobu docelowego. Inne zasoby platformy Azure, takie jak magazyny kluczy platformy Azure, wymagają utworzenia zasad dostępu, które mają odpowiednie uprawnienia do zasobu docelowego dla tej tożsamości.

  1. W witrynie Azure Portal otwórz zasób, w którym chcesz użyć tożsamości.

  2. W menu zasobów wybierz pozycję Kontrola dostępu (IAM)>Dodaj>przypisanie roli.

    Uwaga

    Jeśli opcja Dodaj przypisanie roli jest wyłączona, nie masz uprawnień do przypisywania ról. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.

  3. Przypisz niezbędną rolę do tożsamości zarządzanej. Na karcie Rola przypisz rolę, która daje tożsamości wymagany dostęp do bieżącego zasobu.

    W tym przykładzie przypisz rolę o nazwie Współautor danych obiektu blob usługi Storage, która obejmuje dostęp do zapisu dla obiektów blob w kontenerze usługi Azure Storage. Aby uzyskać więcej informacji na temat określonych ról kontenera magazynu, zobacz Role, które mogą uzyskiwać dostęp do obiektów blob w kontenerze usługi Azure Storage.

  4. Następnie wybierz tożsamość zarządzaną, w której chcesz przypisać rolę. W obszarze Przypisz dostęp do wybierz pozycję Tożsamość>zarządzana Dodaj członków.

  5. Na podstawie typu tożsamości zarządzanej wybierz lub podaj następujące wartości:

    Typ Wystąpienie usługi platformy Azure Subskrypcja Element członkowski
    Przypisana przez system Aplikacja logiki <Azure-subscription-name> <Twoja nazwa aplikacji logiki>
    Przypisana przez użytkownika Nie dotyczy <Azure-subscription-name> <nazwa-tożsamości przypisanej przez użytkownika>

    Aby uzyskać więcej informacji na temat przypisywania ról, zobacz Przypisywanie ról przy użyciu witryny Azure Portal.

Po zakończeniu możesz użyć tożsamości do uwierzytelniania dostępu dla wyzwalaczy i akcji obsługujących tożsamości zarządzane.

Aby uzyskać więcej ogólnych informacji na temat tego zadania, zobacz Przypisywanie dostępu tożsamości zarządzanej do innego zasobu przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Tworzenie zasad dostępu przy użyciu witryny Azure Portal

Aby użyć tożsamości zarządzanej do uwierzytelniania, niektóre zasoby platformy Azure, takie jak magazyny kluczy platformy Azure, wymagają utworzenia zasad dostępu, które mają odpowiednie uprawnienia do zasobu docelowego dla tej tożsamości. Inne zasoby platformy Azure, takie jak konta usługi Azure Storage, wymagają przypisania tej tożsamości do roli, która ma odpowiednie uprawnienia do zasobu docelowego.

  1. W witrynie Azure Portal otwórz zasób docelowy, w którym chcesz użyć tożsamości. W tym przykładzie jako zasób docelowy jest używany magazyn kluczy platformy Azure.

  2. W menu zasobów wybierz pozycję Zasady>dostępu Utwórz, co spowoduje otwarcie okienka Tworzenie zasad dostępu.

    Uwaga

    Jeśli zasób nie ma opcji Zasady dostępu, spróbuj przypisać przypisanie roli.

    Zrzut ekranu przedstawia przykład witryny Azure Portal i magazynu kluczy z otwartym okienkiem o nazwie Zasady dostępu.

  3. Na karcie Uprawnienia wybierz wymagane uprawnienia, które tożsamość musi uzyskać dostęp do zasobu docelowego.

    Aby na przykład użyć tożsamości z operacją Listy wpisów tajnych łącznika zarządzanego usługi Azure Key Vault, tożsamość musi mieć uprawnienia Lista. W kolumnie Uprawnienia wpisu tajnego wybierz pozycję Lista.

    Zrzut ekranu przedstawiający kartę Uprawnienia z wybranymi uprawnieniami listy.

  4. Gdy wszystko będzie gotowe, wybierz pozycję Dalej. Na karcie Podmiot zabezpieczeń znajdź i wybierz tożsamość zarządzaną, która jest tożsamością przypisaną przez użytkownika w tym przykładzie.

  5. Pomiń opcjonalny krok Aplikacja , wybierz pozycję Dalej i zakończ tworzenie zasad dostępu.

W następnej sekcji pokazano, jak używać tożsamości zarządzanej z wyzwalaczem lub akcją w celu uwierzytelnienia dostępu. W przykładzie przedstawiono kroki z wcześniejszej sekcji, w której skonfigurowaliśmy dostęp dla tożsamości zarządzanej przy użyciu kontroli dostępu opartej na rolach i nie używamy usługi Azure Key Vault jako przykładu. Jednak ogólne kroki używania tożsamości zarządzanej do uwierzytelniania są takie same.

Uwierzytelnianie dostępu za pomocą tożsamości zarządzanej

Po włączeniu tożsamości zarządzanej dla zasobu aplikacji logiki i udzieleniu tej tożsamości dostępu do docelowego zasobu lub usługi platformy Azure można użyć tej tożsamości w wyzwalaczach i akcjach obsługujących tożsamości zarządzane.

Ważne

Jeśli masz funkcję platformy Azure, w której chcesz użyć tożsamości przypisanej przez system, najpierw włącz uwierzytelnianie dla usługi Azure Functions.

W poniższych krokach pokazano, jak używać tożsamości zarządzanej z wyzwalaczem lub akcją przy użyciu witryny Azure Portal. Aby określić tożsamość zarządzaną w podstawowej definicji JSON wyzwalacza lub akcji, zobacz Uwierzytelnianie tożsamości zarządzanej.

  1. W witrynie Azure Portal otwórz zasób aplikacji logiki Zużycie.

  2. Jeśli jeszcze tego nie zrobiono, dodaj wyzwalacz lub akcję, która obsługuje tożsamości zarządzane.

    Uwaga

    Nie wszystkie operacje łącznika obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zobacz Typy uwierzytelniania dla wyzwalaczy i akcji obsługujących uwierzytelnianie.

  3. W dodanym wyzwalaczu lub akcji wykonaj następujące kroki:

    • Wbudowane operacje łącznika obsługujące uwierzytelnianie tożsamości zarządzanej

      Te kroki są kontynuowane przy użyciu akcji HTTP jako przykładu.

      1. Na liście Parametry zaawansowane dodaj właściwość Authentication, jeśli właściwość nie jest jeszcze wyświetlana.

        Zrzut ekranu przedstawiający przepływ pracy Zużycie z wbudowaną akcją i otwartą listą o nazwie Parametry zaawansowane z wybraną opcją Uwierzytelniania.

        Teraz zarówno właściwość Authentication , jak i lista Typ uwierzytelniania są wyświetlane w akcji.

        Zrzut ekranu przedstawiający sekcję zaawansowanych parametrów z dodaną właściwością uwierzytelniania i listą Typów uwierzytelniania.

      2. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

        Zrzut ekranu przedstawiający przepływ pracy Zużycie z wbudowaną akcją, otwartą listą Typ uwierzytelniania i wybraną opcją tożsamości zarządzanej.

        Sekcja Uwierzytelnianie zawiera teraz następujące opcje:

        • Lista tożsamości zarządzanych, z której można wybrać określoną tożsamość zarządzaną

        • Właściwość Odbiorcy jest wyświetlana na określonych wyzwalaczach i akcjach, aby można było ustawić identyfikator zasobu dla zasobu docelowego lub usługi platformy Azure. W przeciwnym razie właściwość Audience domyślnie używa identyfikatora https://management.azure.com/ zasobu, który jest identyfikatorem zasobu dla usługi Azure Resource Manager.

      3. Z listy Tożsamość zarządzana wybierz tożsamość, której chcesz użyć, na przykład:

        Zrzut ekranu przedstawiający sekcję Uwierzytelnianie z listą Typów uwierzytelniania i właściwością Odbiorców.

        Uwaga

        Wybrana opcja domyślna to tożsamość zarządzana przypisana przez system, nawet jeśli nie masz włączonej żadnej tożsamości zarządzanej.

        Aby pomyślnie użyć tożsamości zarządzanej, musisz najpierw włączyć tę tożsamość w aplikacji logiki. W aplikacji logiki Zużycie można mieć tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika, ale nie obie.

      Aby uzyskać więcej informacji, zobacz Przykład: Uwierzytelnianie wbudowanego wyzwalacza lub akcji przy użyciu tożsamości zarządzanej.

    • Operacje łącznika zarządzanego obsługujące uwierzytelnianie tożsamości zarządzanej

      1. W okienku Tworzenie Połączenie ion z listy Uwierzytelnianie wybierz pozycję Tożsamość zarządzana, na przykład:

        Zrzut ekranu przedstawiający przepływ pracy Zużycie z akcją usługi Azure Resource Manager i wybraną opcją tożsamości zarządzanej.

      2. W następnym okienku w polu Nazwa Połączenie ion podaj nazwę do użycia dla połączenia.

      3. Dla typu uwierzytelniania wybierz jedną z następujących opcji na podstawie łącznika zarządzanego:

        • Jednouwierzytelnianie: te łączniki obsługują tylko jeden typ uwierzytelniania, który jest tożsamością zarządzaną w tym przypadku.

          1. Z listy Tożsamość zarządzana wybierz obecnie włączoną tożsamość zarządzaną.

          2. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz nowy.

        • Uwierzytelnianie wieloskładnikowe: te łączniki obsługują wiele typów uwierzytelniania, ale można wybrać i użyć tylko jednego typu jednocześnie.

          Te kroki są kontynuowane przy użyciu akcji usługi Azure Blob Storage jako przykładu.

          1. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana usługi Logic Apps.

            Zrzut ekranu przedstawiający przepływ pracy zużycie, pole tworzenia połączenia i wybraną opcję tożsamości zarządzanej usługi Logic Apps.

          2. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz nowy.

        Aby uzyskać więcej informacji, zobacz Przykład: Wyzwalacz lub akcja uwierzytelnienia łącznika zarządzanego przy użyciu tożsamości zarządzanej.

Przykład: Uwierzytelnianie wbudowanego wyzwalacza lub akcji przy użyciu tożsamości zarządzanej

Wbudowany wyzwalacz HTTP lub akcja mogą używać tożsamości przypisanej przez system, która jest włączona w zasobie aplikacji logiki. Ogólnie rzecz biorąc, wyzwalacz HTTP lub akcja używa następujących właściwości, aby określić zasób lub jednostkę, do której chcesz uzyskać dostęp:

Właściwości Wymagania opis
Metoda Tak Metoda HTTP używana przez operację, którą chcesz uruchomić
Identyfikator URI Tak Adres URL punktu końcowego umożliwiający uzyskanie dostępu do docelowego zasobu lub jednostki platformy Azure. Składnia identyfikatora URI zwykle zawiera identyfikator zasobu dla docelowego zasobu lub usługi platformy Azure.
Nagłówki Nie. Wszelkie potrzebne wartości nagłówka lub które mają zostać uwzględnione w żądaniu wychodzącym, takie jak typ zawartości
Zapytania Nie. Wszystkie wymagane parametry zapytania lub chcesz je uwzględnić w żądaniu. Na przykład parametry zapytania dla określonej operacji lub dla wersji interfejsu API operacji, którą chcesz uruchomić.
Authentication Tak Typ uwierzytelniania używany do uwierzytelniania dostępu do docelowego zasobu lub usługi platformy Azure

W konkretnym przykładzie załóżmy, że chcesz uruchomić operację migawki obiektu blob na obiekcie blob na koncie usługi Azure Storage, na którym wcześniej skonfigurowaliśmy dostęp dla tożsamości. Jednak łącznik usługi Azure Blob Storage nie oferuje obecnie tej operacji. Zamiast tego można uruchomić tę operację przy użyciu akcji HTTP lub innej operacji interfejsu API REST usługi Blob Service.

Ważne

Aby uzyskać dostęp do kont usługi Azure Storage za zaporami przy użyciu łącznika usługi Azure Blob Storage i tożsamości zarządzanych, upewnij się, że skonfigurowaliśmy również konto magazynu z wyjątkiem umożliwiającym dostęp do zaufanych usługi firmy Microsoft.

Aby uruchomić operację migawki obiektu blob, akcja HTTP określa następujące właściwości:

Właściwości Wymagania Przykładowa wartość opis
Identyfikator URI Tak https://<storage-account-name>/<folder-name>/{name} Identyfikator zasobu dla pliku usługi Azure Blob Storage w środowisku globalnym (publicznym) platformy Azure, który używa tej składni
Metoda Tak PUT Metoda HTTP używana przez operację migawki obiektu blob
Nagłówki Dla usługi Azure Storage x-ms-blob-type = BlockBlob

x-ms-version = 2024-05-05

x-ms-date = formatDateTime(utcNow(),'r')
Wartości nagłówków x-ms-blob-type, x-ms-versioni i x-ms-date są wymagane dla operacji usługi Azure Storage.

Ważne: W wychodzących żądaniach wyzwalacza HTTP i akcji dla usługi Azure Storage nagłówek wymaga x-ms-version właściwości i wersji interfejsu API dla operacji, którą chcesz uruchomić. Musi x-ms-date być bieżącą datą. W przeciwnym razie przepływ pracy kończy się niepowodzeniem z powodu błędu 403 FORBIDDEN . Aby uzyskać bieżącą datę w wymaganym formacie, możesz użyć wyrażenia w przykładowej wartości.

Aby uzyskać więcej informacji, zobacz następującą dokumentację:

- Nagłówki żądań — migawka obiektu blob
- Przechowywanie wersji dla usług Azure Storage
Zapytania Tylko dla operacji migawki obiektu blob comp = snapshot Nazwa parametru zapytania i wartość operacji.
  1. W projektancie przepływu pracy dodaj dowolny wyzwalacz, a następnie dodaj akcję HTTP .

    W poniższym przykładzie pokazano przykładową akcję HTTP ze wszystkimi wcześniej opisanymi wartościami właściwości do użycia dla operacji migawki obiektu blob:

    Zrzut ekranu przedstawiający witrynę Azure Portal, przepływ pracy użycia i akcję HTTP skonfigurowaną do uzyskiwania dostępu do zasobów.

  2. W akcji HTTP dodaj właściwość Authentication. Z listy Parametry zaawansowane wybierz pozycję Uwierzytelnianie.

    Zrzut ekranu przedstawiający przepływ pracy Zużycie z akcją HTTP i otwartą listą Parametrów zaawansowanych z wybraną właściwością o nazwie Uwierzytelnianie.

    Sekcja Uwierzytelnianie jest teraz wyświetlana w akcji HTTP .

    Uwaga

    Nie wszystkie wyzwalacze i akcje obsługują dodawanie typu uwierzytelniania. Aby uzyskać więcej informacji, zobacz Typy uwierzytelniania dla wyzwalaczy i akcji obsługujących uwierzytelnianie.

  3. Z listy Typ uwierzytelniania wybierz pozycję Tożsamość zarządzana.

    Zrzut ekranu przedstawiający przepływ pracy zużycie, akcję HTTP i właściwość Typ uwierzytelniania z wybraną opcją dla tożsamości zarządzanej.

  4. Z listy Tożsamość zarządzana wybierz z dostępnych opcji na podstawie danego scenariusza.

    • Jeśli skonfigurujesz tożsamość przypisaną przez system, wybierz pozycję Tożsamość zarządzana przypisana przez system.

      Zrzut ekranu przedstawiający przepływ pracy użycia, akcję HTTP i właściwość tożsamości zarządzanej z wybraną opcją dla tożsamości zarządzanej przypisanej przez system.

    • Jeśli skonfigurujesz tożsamość przypisaną przez użytkownika, wybierz tę tożsamość.

      Zrzut ekranu przedstawiający przepływ pracy użycia, akcję HTTP i właściwość Tożsamości zarządzanej z wybraną tożsamością przypisaną przez użytkownika.

    W tym przykładzie jest kontynuowana tożsamość zarządzana przypisana przez system.

  5. W niektórych wyzwalaczach i akcjach zostanie wyświetlona właściwość Odbiorcy, aby można było ustawić identyfikator zasobu dla docelowego zasobu lub usługi platformy Azure.

    Na przykład aby uwierzytelnić dostęp do zasobu usługi Key Vault w globalnej chmurze platformy Azure, należy ustawić właściwość Audience na dokładnie następujący identyfikator zasobu: https://vault.azure.net

    Jeśli właściwość Audience nie zostanie ustawiona, domyślnie właściwość Audience używa https://management.azure.com/ identyfikatora zasobu, który jest identyfikatorem zasobu dla usługi Azure Resource Manager.

    Ważne

    Upewnij się, że identyfikator zasobu docelowego dokładnie odpowiada wartości oczekiwanej przez identyfikator Entra firmy Microsoft. W przeciwnym razie może zostać wyświetlony 400 Bad Request błąd lub 401 Unauthorized błąd. Jeśli więc identyfikator zasobu zawiera jakiekolwiek ukośniki końcowe, pamiętaj, aby je uwzględnić. W przeciwnym razie nie uwzględnij ich.

    Na przykład identyfikator zasobu dla wszystkich kont usługi Azure Blob Storage wymaga końcowego ukośnika. Jednak identyfikator zasobu dla określonego konta magazynu nie wymaga końcowego ukośnika. Sprawdź identyfikatory zasobów dla usług platformy Azure, które obsługują identyfikator Entra firmy Microsoft.

    W tym przykładzie właściwość Audience ustawia wartość tak https://storage.azure.com/ , aby tokeny dostępu używane do uwierzytelniania były prawidłowe dla wszystkich kont magazynu. Można jednak również określić adres URL usługi głównej , https://<your-storage-account>.blob.core.windows.netdla określonego konta magazynu.

    Zrzut ekranu przedstawia przepływ pracy Zużycie i akcję HTTP z właściwością Odbiorcy ustawioną na identyfikator zasobu docelowego.

    Aby uzyskać więcej informacji na temat autoryzowania dostępu za pomocą identyfikatora Entra firmy Microsoft dla usługi Azure Storage, zobacz następującą dokumentację:

  6. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Przykład: Uwierzytelnianie wyzwalacza lub akcji łącznika zarządzanego przy użyciu tożsamości zarządzanej

Łącznik zarządzany usługi Azure Resource Manager ma akcję o nazwie Odczyt zasobu, która może używać tożsamości zarządzanej włączonej w zasobie aplikacji logiki. W tym przykładzie pokazano, jak używać tożsamości zarządzanej przypisanej przez system z łącznikiem zarządzanym.

  1. W projektancie przepływu pracy dodaj akcję usługi Azure Resource Manager o nazwie Odczyt zasobu.

  2. W okienku Tworzenie Połączenie ion z listy Uwierzytelnianie wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Zaloguj.

    Uwaga

    W innych łącznikach na liście Typ uwierzytelniania jest wyświetlana tożsamość zarządzana usługi Logic Apps, więc wybierz tę opcję.

    Zrzut ekranu przedstawiający przepływ pracy Zużycie, akcję usługi Azure Resource Manager, otwartą listę uwierzytelniania i wybraną opcję tożsamości zarządzanej.

  3. Podaj nazwę połączenia i wybierz tożsamość zarządzaną, której chcesz użyć.

    Jeśli włączono tożsamość przypisaną przez system, lista Tożsamość zarządzana automatycznie wybierze tożsamość zarządzaną przypisaną przez system. Jeśli zamiast tego włączono tożsamość przypisaną przez użytkownika, lista automatycznie wybiera tożsamość przypisaną przez użytkownika.

    W tym przykładzie tożsamość zarządzana przypisana przez system jest jedynym dostępnym wyborem.

    Zrzut ekranu przedstawiający przepływ pracy Zużycie i akcję usługi Azure Resource Manager z wprowadzoną nazwą połączenia i wybraną opcją tożsamości zarządzanej przypisanej przez system.

    Uwaga

    Jeśli tożsamość zarządzana nie jest włączona podczas próby utworzenia lub zmiany połączenia albo jeśli tożsamość zarządzana została usunięta, gdy połączenie z włączoną tożsamością zarządzaną nadal istnieje, zostanie wyświetlony błąd informujący, że musisz włączyć tożsamość i udzielić dostępu do zasobu docelowego.

  4. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz nowy.

  5. Po pomyślnym utworzeniu połączenia projektant może pobrać dowolne wartości dynamiczne, zawartość lub schemat przy użyciu uwierzytelniania tożsamości zarządzanej.

  6. Kontynuuj tworzenie przepływu pracy w żądany sposób.

Definicja zasobu aplikacji logiki i połączenia korzystające z tożsamości zarządzanej

Połączenie, które włącza tożsamość zarządzaną i używa jej, to specjalny typ połączenia, który działa tylko z tożsamością zarządzaną. W czasie wykonywania połączenie korzysta z tożsamości zarządzanej włączonej w zasobie aplikacji logiki. Usługa Azure Logic Apps sprawdza, czy jakiekolwiek operacje łącznika zarządzanego w przepływie pracy są skonfigurowane do korzystania z tożsamości zarządzanej i czy istnieją wszystkie wymagane uprawnienia do uzyskiwania dostępu do zasobów docelowych określonych przez operacje łącznika. Jeśli to sprawdzenie powiedzie się, usługa Azure Logic Apps pobiera token firmy Microsoft Entra skojarzony z tożsamością zarządzaną, używa tej tożsamości do uwierzytelniania dostępu do docelowego zasobu platformy Azure i wykonuje skonfigurowane operacje w przepływie pracy.

W zasobie aplikacji logiki Zużycie konfiguracja połączenia jest zapisywana w obiekcie definicji parameters zasobu, który zawiera $connections obiekt zawierający wskaźniki do identyfikatora zasobu połączenia wraz z identyfikatorem zasobu tożsamości zarządzanej po włączeniu tożsamości przypisanej przez użytkownika.

W tym przykładzie pokazano konfigurację parameters obiektu, gdy aplikacja logiki włącza tożsamość przypisaną przez system:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

W tym przykładzie pokazano konfigurację parameters obiektu, gdy aplikacja logiki włącza tożsamość zarządzaną przypisaną przez użytkownika:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Szablon usługi ARM dla połączeń interfejsu API i tożsamości zarządzanych

Jeśli używasz szablonu usługi ARM do automatyzacji wdrażania, a przepływ pracy zawiera połączenie interfejsu API, które jest tworzone przez łącznik zarządzany korzystający z tożsamości zarządzanej, musisz wykonać dodatkowy krok.

W szablonie usługi ARM podstawowa definicja zasobu łącznika różni się w zależności od tego, czy masz zasób aplikacji logiki Zużycie, czy Standardowa oraz czy łącznik zawiera opcje pojedynczego uwierzytelniania lub wielouwierzytelniania.

Poniższe przykłady dotyczą zasobów aplikacji logiki Zużycie i pokazują, jak podstawowa definicja zasobu łącznika różni się między łącznikiem pojedynczego uwierzytelniania a łącznikiem z wieloma uwierzytelnianiem.

Jednouwierzytelnianie

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji łącznika, która obsługuje tylko jeden typ uwierzytelniania i używa tożsamości zarządzanej w przepływie pracy aplikacji logiki Zużycie, w którym definicja zawiera następujące atrybuty:

  • Właściwość jest ustawiona kind na V1 wartość dla aplikacji logiki Zużycie.

  • Właściwość parameterValueType ma ustawioną wartość Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Uwierzytelnianie wieloskładnikowe

W tym przykładzie przedstawiono podstawową definicję zasobu połączenia dla akcji łącznika, która obsługuje wiele typów uwierzytelniania i używa tożsamości zarządzanej w przepływie pracy aplikacji logiki Zużycie, gdzie definicja zawiera następujące atrybuty:

  • Właściwość jest ustawiona kind na V1 wartość dla aplikacji logiki Zużycie.

  • Obiekt parameterValueSet zawiera właściwość ustawioną name na managedIdentityAuth i values właściwość ustawioną na pusty obiekt.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Konfigurowanie zaawansowanej kontroli nad uwierzytelnianiem połączenia interfejsu API

Gdy przepływ pracy aplikacji logiki w warstwie Standardowa używa połączenia interfejsu API utworzonego przez łącznik zarządzany, usługa Azure Logic Apps komunikuje się z zasobem docelowym, takim jak konto e-mail, magazyn kluczy itd., używając dwóch połączeń:

Diagram koncepcyjny przedstawia pierwsze połączenie z uwierzytelnianiem między aplikacją logiki a magazynem tokenów oraz drugim połączeniem między magazynem tokenów a zasobem docelowym.

  • Połączenie ion #1 jest konfigurowany przy użyciu uwierzytelniania dla wewnętrznego magazynu tokenów.

  • Połączenie ion #2 jest skonfigurowany z uwierzytelnianiem dla zasobu docelowego.

Jednak gdy przepływ pracy aplikacji logiki Zużycie używa połączenia interfejsu API, połączenie #1 jest abstrakcyjne od Ciebie bez żadnych opcji konfiguracji. Zasób aplikacji logiki w warstwie Standardowa zapewnia większą kontrolę nad aplikacją logiki i przepływami pracy. Domyślnie połączenie #1 jest automatycznie konfigurowane do korzystania z tożsamości przypisanej przez system.

Jeśli twój scenariusz wymaga bardziej precyzyjnej kontroli nad uwierzytelnianiem połączeń interfejsu API, opcjonalnie możesz zmienić uwierzytelnianie dla połączenia #1 z domyślnej tożsamości przypisanej przez system do dowolnej tożsamości przypisanej przez użytkownika dodanej do aplikacji logiki. To uwierzytelnianie dotyczy każdego połączenia interfejsu API, dzięki czemu można mieszać tożsamości przypisane przez system i przypisane przez użytkownika między różnymi połączeniami z tym samym zasobem docelowym.

W pliku connections.json aplikacji logiki w warstwie Standardowa, który przechowuje informacje o każdym połączeniu interfejsu API, każda definicja połączenia ma dwie authentication sekcje, na przykład:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}
  • authentication Pierwsza sekcja mapuje na połączenie nr 1.

    W tej sekcji opisano uwierzytelnianie używane do komunikowania się z wewnętrznym magazynem tokenów. W przeszłości ta sekcja była zawsze ustawiona na ManagedServiceIdentity wartość dla aplikacji wdrażanej na platformie Azure i nie miała konfigurowalnych opcji.

  • Druga authentication sekcja mapuje na połączenie nr 2.

    W tej sekcji opisano uwierzytelnianie używane do komunikowania się z zasobem docelowym może się różnić w zależności od typu uwierzytelniania wybranego dla tego połączenia.

Dlaczego warto zmienić uwierzytelnianie magazynu tokenów?

W niektórych scenariuszach można współużytkować i używać tego samego połączenia interfejsu API w wielu zasobach aplikacji logiki, ale nie dodawać tożsamości przypisanej przez system dla każdego zasobu logiki do zasad dostępu zasobu docelowego.

W innych scenariuszach możesz nie chcieć całkowicie skonfigurować tożsamości przypisanej przez system w aplikacji logiki, aby można było całkowicie zmienić uwierzytelnianie na tożsamość przypisaną przez użytkownika i całkowicie wyłączyć tożsamość przypisaną przez system.

Zmienianie uwierzytelniania magazynu tokenów

  1. W witrynie Azure Portal otwórz zasób standardowej aplikacji logiki.

  2. W menu zasobów w obszarze Przepływy pracy wybierz pozycję Połączenie ions.

  3. W okienku Połączenie ions wybierz pozycję Widok JSON.

    Zrzut ekranu przedstawiający witrynę Azure Portal, zasób standardowej aplikacji logiki, okienko Połączenie ions z wybranym widokiem JSON.

  4. W edytorze JSON znajdź sekcję managedApiConnections zawierającą połączenia interfejsu API we wszystkich przepływach pracy w zasobie aplikacji logiki.

  5. Znajdź połączenie, w którym chcesz dodać tożsamość zarządzaną przypisaną przez użytkownika.

    Załóżmy na przykład, że przepływ pracy ma połączenie usługi Azure Key Vault:

    "keyvault": {
       "api": {
          "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
       },
       "authentication": {
          "type": "ManagedServiceIdentity"
       },
       "connection": {
          "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
       },
       "connectionProperties": {
          "authentication": {
             "audience": "https://vault.azure.net",
             "type": "ManagedServiceIdentity"
          }
       },
       "connectionRuntimeUrl": "<connection-runtime-URL>"
    }
    
  6. W definicji połączenia wykonaj następujące kroki:

    1. Znajdź pierwszą authentication sekcję. Jeśli w tej authentication sekcji nie istnieje żadna identity właściwość, aplikacja logiki niejawnie używa tożsamości przypisanej przez system.

    2. identity Dodaj właściwość przy użyciu przykładu w tym kroku.

    3. Ustaw wartość właściwości na identyfikator zasobu dla tożsamości przypisanej przez użytkownika.

    "keyvault": {
       "api": {
          "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
       },
       "authentication": {
          "type": "ManagedServiceIdentity",
          // Add "identity" property here
          "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
       },
       "connection": {
          "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
       },
       "connectionProperties": {
          "authentication": {
             "audience": "https://vault.azure.net",
             "type": "ManagedServiceIdentity"
          }
       },
       "connectionRuntimeUrl": "<connection-runtime-URL>"
    }
    
  7. W witrynie Azure Portal przejdź do zasobu docelowego i przyznaj dostęp do tożsamości zarządzanej przypisanej przez użytkownika na podstawie potrzeb zasobu docelowego.

    Na przykład w przypadku usługi Azure Key Vault dodaj tożsamość do zasad dostępu magazynu kluczy. W przypadku usługi Azure Blob Storage przypisz niezbędną rolę dla tożsamości na koncie magazynu.

Wyłączanie tożsamości zarządzanej

Aby przestać używać tożsamości zarządzanej do uwierzytelniania, najpierw usuń dostęp tożsamości do zasobu docelowego. Następnie w zasobie aplikacji logiki wyłącz tożsamość przypisaną przez system lub usuń tożsamość przypisaną przez użytkownika.

Po wyłączeniu tożsamości zarządzanej w zasobie aplikacji logiki usuniesz możliwość żądania dostępu do zasobów platformy Azure, do których tożsamość miała dostęp.

Uwaga

Jeśli wyłączysz tożsamość przypisaną przez system, wszystkie połączenia używane przez przepływy pracy w przepływie pracy tej aplikacji logiki nie będą działać w czasie wykonywania, nawet jeśli tożsamość zostanie natychmiast włączona. Dzieje się tak, ponieważ wyłączenie tożsamości powoduje usunięcie identyfikatora obiektu. Za każdym razem, gdy włączysz tożsamość, platforma Azure generuje tożsamość z innym i unikatowym identyfikatorem obiektu. Aby rozwiązać ten problem, należy ponownie utworzyć połączenia, aby używały bieżącego identyfikatora obiektu dla bieżącej tożsamości przypisanej przez system.

Spróbuj uniknąć jak największego wyłączenia tożsamości przypisanej przez system. Jeśli chcesz usunąć dostęp tożsamości do zasobów platformy Azure, usuń przypisanie roli tożsamości z zasobu docelowego. Jeśli usuniesz zasób aplikacji logiki, platforma Azure automatycznie usunie tożsamość zarządzaną z identyfikatora Entra firmy Microsoft.

Kroki opisane w tej sekcji dotyczą witryny Azure Portal i szablonu usługi Azure Resource Manager (szablonu usługi ARM). W przypadku programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST platformy Azure zapoznaj się z następującą dokumentacją:

Narzędzie Dokumentacja
Azure PowerShell 1. Usuń przypisanie roli.
2. Usuń tożsamość przypisaną przez użytkownika.
Interfejs wiersza polecenia platformy Azure 1. Usuń przypisanie roli.
2. Usuń tożsamość przypisaną przez użytkownika.
Interfejs API REST platformy Azure 1. Usuń przypisanie roli.
2. Usuń tożsamość przypisaną przez użytkownika.

Aby uzyskać więcej informacji, zobacz Usuwanie przypisań ról platformy Azure.

Wyłączanie tożsamości zarządzanej w witrynie Azure Portal

Aby usunąć dostęp dla tożsamości zarządzanej, usuń przypisanie roli tożsamości z zasobu docelowego, a następnie wyłącz tożsamość zarządzaną.

Usuwanie przypisania roli

Następujące kroki powodują usunięcie dostępu do zasobu docelowego z tożsamości zarządzanej:

  1. W witrynie Azure Portal przejdź do docelowego zasobu platformy Azure, w którym chcesz usunąć dostęp dla tożsamości zarządzanej.

  2. Z menu zasobu docelowego wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Na pasku narzędzi wybierz pozycję Przypisania ról.

  3. Na liście ról wybierz tożsamości zarządzane, które chcesz usunąć. Na pasku narzędzi wybierz pozycję Usuń.

    Napiwek

    Jeśli opcja Usuń jest wyłączona, najprawdopodobniej nie masz uprawnień. Aby uzyskać więcej informacji na temat uprawnień umożliwiających zarządzanie rolami dla zasobów, zobacz Administracja istrator role permissions in Microsoft Entra ID (Uprawnienia roli Administracja istratora w identyfikatorze Entra firmy Microsoft).

Wyłączanie tożsamości zarządzanej w zasobie aplikacji logiki

  1. W witrynie Azure Portal otwórz zasób aplikacji logiki.

  2. W menu zasobów aplikacji logiki w obszarze Ustawienia wybierz pozycję Tożsamość, a następnie wykonaj kroki dotyczące tożsamości:

    • Wybierz pozycję System przypisany>przy>zapisywaniu. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

    • Wybierz pozycję Przypisane przez użytkownika i tożsamość zarządzaną, a następnie wybierz pozycję Usuń. Gdy platforma Azure wyświetli monit o potwierdzenie, wybierz pozycję Tak.

Wyłączanie tożsamości zarządzanej w szablonie usługi ARM

Jeśli tożsamość zarządzana aplikacji logiki została utworzona przy użyciu szablonu usługi ARM, ustaw identity właściwość podrzędną type obiektu na None.

"identity": {
   "type": "None"
}