Utlösa Logic Apps med anpassade tillägg i berättigandehantering

Azure Logic Apps kan användas för att automatisera anpassade arbetsflöden och ansluta appar och tjänster på ett och samma ställe. Användare kan integrera Logic Apps med berättigandehantering för att bredda sina styrningsarbetsflöden utöver de viktigaste användningsfallen för berättigandehantering.

Dessa Logic Apps kan sedan utlösas för att köras i enlighet med användningsfall för berättigandehantering, till exempel när ett åtkomstpaket beviljas eller begärs. En administratör kan till exempel skapa och länka en anpassad logikapp till berättigandehantering, så att när en användare begär ett åtkomstpaket utlöses en logikapp som säkerställer att användaren också tilldelas vissa egenskaper i en SAAS-app från tredje part (till exempel Salesforce) eller skickas ett anpassat e-postmeddelande.

Användningsfall för berättigandehantering som kan integreras med Logic Apps omfattar följande steg. Det här är utlösarna som är associerade med ett åtkomstpaket som kan starta det anpassade tillägget Logic App:

• När en begäran om åtkomstpaket skapas

• När en begäran om åtkomstpaket godkänns

• När en tilldelning av åtkomstpaket beviljas

• När en åtkomstpakettilldelning tas bort

• 14 dagar innan en åtkomstpakettilldelning automatiskt upphör att gälla

• En dag innan en automatisk tilldelning av åtkomstpaket upphör att gälla

Dessa utlösare till Logic Apps styrs på en flik i åtkomstpaketprinciper som kallas Regler. Dessutom visar fliken Anpassade tillägg på sidan Katalog alla tillägg som har lagts till för en viss katalog. Den här artikeln beskriver hur du skapar och lägger till logikappar i kataloger och åtkomstpaket i berättigandehantering.

Licenskrav

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrningslicenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Skapa och lägga till ett Logic App-arbetsflöde i en katalog för användning i berättigandehantering

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och resursgruppens ägare.

2. Bläddra till Kataloger för identitetsstyrning>.

3. Välj den katalog som du vill lägga till ett anpassat tillägg för och välj sedan Anpassade tillägg i den vänstra menyn.

4. I navigeringsfältet för sidhuvudet väljer du Lägg till ett anpassat tillägg.

5. På fliken Grundläggande anger du namnet på det anpassade tillägget, som ska vara namnet på logikappen som du länkar och en beskrivning av arbetsflödet. De här fälten visas på fliken Anpassade tillägg i katalogen.

   

6. Fliken Tilläggstyp definierar vilken typ av åtkomstpaketprinciper du kan använda det anpassade tillägget med. Typen "Begärandearbetsflöde" stöder principsteg: det begärda åtkomstpaketet skapas, när begäran godkänns, när tilldelning beviljas och när tilldelningen tas bort. Den här typen stöder även Start och vänta. Kapacitet.

7. Arbetsflödet före förfallodatumet stöder principstegen: 14 dagar tills åtkomstpakettilldelningen upphör att gälla och 1 dag tills åtkomstpakettilldelningen upphör att gälla. Den här tilläggstypen stöder inte Start och Vänta.

   

8. På fliken Tilläggskonfiguration kan du avgöra om tillägget har beteendet "starta och fortsätt" eller "starta och vänta". Med "Starta och fortsätt" utlöser den länkade principåtgärden i åtkomstpaketet, till exempel en begäran, logikappen som är kopplad till det anpassade tillägget. När logikappen har utlösts fortsätter processen för berättigandehantering som är associerad med åtkomstpaketet. För "Starta och vänta" pausar vi den associerade åtkomstpaketåtgärden tills logikappen som är länkad till tillägget har slutfört sin uppgift och en återuppta-åtgärd skickas av administratören för att fortsätta processen. Om inget svar skickas tillbaka under den definierade väntetiden betraktas den här processen som ett fel. Den här processen beskrivs ytterligare nedan i det egna avsnittet Konfigurera anpassade tillägg som pausar processer för berättigandehantering.

9. På fliken Information väljer du om du vill använda en befintlig förbrukningsplanslogikapp. Om du väljer Ja i fältet "Skapa ny logikapp" (standard) skapas en ny tom förbrukningsplanslogikapp som redan är länkad till det här anpassade tillägget. Oavsett måste du ange:

   1. En Azure-prenumeration

   2. En resursgrupp som har behörighet att skapa logic app-resurser om du skapar en ny logikapp.

   3. Välj "Skapa logikapp" om du använder den inställningen.

      

   Kommentar

   När du skapar en ny logikapp i den här modalen får längden på "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" inte överstiga 150 tecken.

10. I Granska och skapa granskar du sammanfattningen av ditt anpassade tillägg och kontrollerar att informationen för logikappens pratbubblan är korrekt. Välj sedan Skapa.

11. Det här anpassade tillägget till den länkade logikappen visas nu på fliken Anpassade tillägg under Kataloger. Du kan anropa detta i principer för åtkomstpaket.

Visa och redigera befintliga anpassade tillägg för en katalog

1. Gå till fliken Anpassade tillägg i en katalog som tidigare nämnts som minst en administratör för identitetsstyrning.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren.

2. Här kan du visa alla anpassade tillägg som du har skapat, tillsammans med den associerade logikappen och information om den anpassade tilläggstypen.

3. Tillsammans med logikappens namn avgör kolumntypen om det anpassade tillägget skapades i den nya V2-autentiseringsmodellen (efter den 17 mars 2023) eller den ursprungliga modellen. Om ett anpassat tillägg har skapats i den nya modellen matchar kolumnen Typ den valda typen från konfigurationsmodalen som antingen är "tilldelningsbegäran" eller "förfallotid". För äldre anpassade tillägg visar typen "anpassat åtkomstpaket".

4. Kolumnen TokenSäkerhet visar det associerade autentiseringssäkerhetsramverket som används när du skapar det anpassade tillägget. Nya anpassade V2-tillägg visar "proof-of-possession" (PoP) som tokensäkerhetstyp. Äldre anpassade tillägg visar "vanlig".

5. Anpassade tillägg i gammalt format kan inte längre skapas från användargränssnittet, men befintliga kan konverteras till nya formatanpassade tillägg från användargränssnittet.

6. Om du väljer de tre punkterna i slutet av raden i ett gammalt anpassat tillägg kan du snabbt uppdatera det anpassade tillägget till en ny typ.

   Kommentar

   Anpassade tillägg kan bara konverteras till den nya typen om de inte används, eller om de endast används för principsteg av en specifik tilläggstyp (tilldelningsbegärandefaser eller förfallofaser).

7. Du kan också redigera alla anpassade tillägg. På så sätt kan du uppdatera namn, beskrivning och andra fältvärden. Detta kan du göra genom att välja Redigera i fönstret med tre punkter för alla anpassade tillägg.

8. Anpassade tillägg i gammalt format kan fortsätta att användas och redigeras även om de inte konverteras, även om de inte längre kan skapas.

9. Om ett gammalt format för anpassat tillägg inte kan uppdateras till den nya typen eftersom det används för principfaser, av BÅDE tilldelningsbegäran och förfallotyper, måste du antingen ta bort det från alla länkade principer eller se till att det endast används för principsteg som är associerade med en typ (tilldelningsbegäran, eller före förfallodatum).  

Lägga till anpassat tillägg till en princip i ett åtkomstpaket

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.

2. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

3. Välj det åtkomstpaket som du vill lägga till ett anpassat tillägg (logikapp) i från listan över åtkomstpaket som redan har skapats.

   Kommentar

   Välj Nytt åtkomstpaket om du vill skapa ett nytt åtkomstpaket. Mer information om hur du skapar ett åtkomstpaket finns i Skapa ett nytt åtkomstpaket i berättigandehantering. Mer information om hur du redigerar ett befintligt åtkomstpaket finns i Ändra inställningar för begäran för ett åtkomstpaket i Microsoft Entra-berättigandehantering.

4. Ändra till fliken Princip, välj principen och välj Redigera.

5. I principinställningarna går du till fliken Anpassade tillägg .

6. Välj den åtkomstpakethändelse som du vill använda som utlösare för det här anpassade tillägget (Logikapp) på menyn nedan. Om du till exempel bara vill utlösa arbetsflödet för det anpassade tillägget Logic App när en användare begär åtkomstpaketet väljer du Begäran skapas.

7. Välj det anpassade tillägg (logikapp) som du vill lägga till i åtkomstpaketet på menyn nedan. Den åtgärd som du väljer körs när händelsen som valts i fältet when inträffar.

8. Välj Uppdatera för att lägga till den i ett befintligt åtkomstpakets princip.

   

Redigera en länkad logikapps arbetsflödesdefinition

För nyligen skapade Logic Apps som är länkade till anpassade tillägg börjar dessa Logic Apps vara tomma. Om du vill skapa arbetsflöden i Logic Apps som utlöses av tillägget när det länkade åtkomstpaketets principvillkor utlöses måste du redigera definitionen av Logic App-arbetsflödet i Logic App Designer. För att göra detta följer du dessa steg:

1. Gå till fliken Anpassade tillägg i en katalog som nämnts tidigare som minst en administratör för identitetsstyrning.

   Dricks

   Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren.

2. Välj det anpassade tillägget som du vill redigera logikappen för.

3. Välj logikappen under kolumnen Logikapp för den associerade anpassade tilläggsraden. På så sätt kan du redigera eller skapa arbetsflödet i Logic App Designer.

Mer information om hur du skapar arbetsflöden för logikappar finns i Snabbstart: Skapa ett exempel på förbrukningsarbetsflöde i Azure Logic Apps med flera klientorganisationer.

Konfigurera anpassade tillägg som pausar processer för berättigandehantering

En ny uppdatering av funktionen för anpassade tillägg är möjligheten att pausa den principprocess för åtkomstpaket som är associerad med ett anpassat tillägg tills logikappen har slutförts och en nyttolast för återupptad begäran skickas tillbaka till berättigandehantering. Om till exempel ett anpassat tillägg för en logikapp utlöses från en beviljandeprincip för åtkomstpaket och "starta och vänta" aktiveras, när logikappen har utlösts återupptas inte beviljandeprocessen förrän logikappen har slutförts och en begäran om återupptagning skickas tillbaka till berättigandehantering.

Den här pausprocessen gör det möjligt för administratörer att ha kontroll över arbetsflöden som de vill köra innan de fortsätter med åtkomstlivscykeluppgifter i berättigandehantering. Det enda undantaget är om en tidsgräns inträffar. Start- och vänteprocesser kräver en tidsgräns på upp till 14 dagar som anges i minuter, timmar eller dagar. Om ett cv-svar inte skickas tillbaka till berättigandehantering när tidsgränsen överskrids pausas arbetsflödesprocessen för rättighetshanteringsbegäran.

Administratören ansvarar för att konfigurera en automatiserad process som kan skicka tillbaka nyttolasten för API-återuppta-begäran till berättigandehantering när logikappens arbetsflöde har slutförts. Om du vill skicka tillbaka nyttolasten för cv-begäran följer du anvisningarna här i diagram-API-dokumenten. Se information här om cv-begäran.

När en princip för åtkomstpaket har aktiverats för att anropa ett anpassat tillägg och bearbetningen av begäranden väntar på återanrop från kunden, kan kunden initiera en återuppta-åtgärd. Det utförs på ett accessPackageAssignmentRequest-objekt vars requestStatus är i ett WaitingForCallback-tillstånd .

Cv-begäran kan skickas tillbaka för följande steg:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Följande flödesdiagram visar bildtexten för berättigandehantering till Logic Apps-arbetsflödet:

Diagramflödesdiagrammet visar:

1. Användaren skapar en anpassad slutpunkt som kan ta emot anropet från identitetstjänsten
2. Identitetstjänsten gör ett testanrop för att bekräfta att slutpunkten kan anropas av identitetstjänsten
3. Användaren anropar Graph API för att begära att lägga till en användare i ett åtkomstpaket
4. Identitetstjänsten läggs till i kön som utlöser serverdelsarbetsflödet
5. Bearbetning av berättigandehanteringstjänsten anropar logikappen med nyttolasten för begäran
6. Arbetsflödet förväntar sig den godkända koden
7. Tjänsten Berättigandehantering väntar på att den blockerande anpassade åtgärden ska återupptas
8. Kundsystemet anropar begärans cv-API:et till identitetstjänsten för att återuppta bearbetningen av begäran
9. Identitetstjänsten lägger till meddelandet för begäran om återupptad begäran i kön berättigandehanteringstjänst som återupptar serverdelsarbetsflödet
10. Rättighetshanteringstjänsten återupptas från blockerat tillstånd

Ett exempel på nyttolasten för återupptad begäran är:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Med Starta och vänta kan administratörer också neka en begäran om tillägget är länkat till åtkomstpaketstegen "begäran skapas" eller "begäran godkänns". I dessa fall kan logikappen skicka tillbaka ett "neka" -meddelande till rättighetshantering, vilket skulle avsluta processen innan slutanvändaren tar emot åtkomstpaketet.

Som nämnts kan anpassade tillägg som skapats med arbetsflödestypen för begäran, som innehåller fyra associerade principsteg, aktiveras med "Starta och vänta" om du vill.

Följande är ett exempel för att återuppta bearbetningen av en begäran om tilldelning av åtkomstpaket genom att neka begäran som väntar på ett återanrop. En begäran kan inte nekas i tilldelningenRequestCreated-fasen i pratbubblan.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Slutanvändarupplevelse för tillägg

Godkännarupplevelse

En godkännare ser strängen som anges i nyttolasten för cv-begäran enligt customExtensionStageInstanceDetail nyttolasten som finns i Konfigurera anpassade tillägg som pausar processer för rättighetshantering.

Begärandeupplevelse

När ett åtkomstpaket har ett anpassat tillägg med start- och väntefunktioner, och logikappen utlöses när begäran om åtkomstpaket skapas, kan beställare se sin begärandestatus i begäranshistoriken i MyAccess.

Följande statusuppdateringar visas för användare baserat på deras anpassade tilläggssteg:

Fas för anpassat tillägg	Meddelande som visas för beställaren i historiken för MyAccess-begäran
När tillägget bearbetas	Väntar på information innan du fortsätter
När tillägget misslyckas	Processen har upphört att gälla
När tillägget återupptas	Processen fortsätter

Det här är ett exempel på en MyAccess-begärandehistorik från en begärande efter att tillägget har återupptas:

Felsökning och validering

För anpassade tillägg som är associerade med en begäran kan du visa information om det anpassade tillägget (och starta och vänta om det är aktiverat) från länken Information om begärandehistorik på sidan med information om begäran i det associerade åtkomstpaketet.

Här kan du till exempel se den tid då begäran skickades och när start- och vänteprocessen (väntar på återanrop) började. Begäran godkändes och berättigandehanteringssteget "återupptogs" när logikappen kördes och begäran om återupptagning returnerades klockan 12:15.

Dessutom visar en ny länk för anpassade tilläggsinstanser i begärandeinformation information om det anpassade tillägget som är associerat med åtkomstpaketet för begäran.

Detta visar det anpassade tilläggs-ID:t och statusen. Den här informationen ändras baserat på om det finns en associerad start och vänteåteranrop.

För att kontrollera att ditt anpassade tillägg har utlöst den associerade logikappen korrekt kan du även visa logikapploggarna, som har en tidsstämpel för när logikappen senast kördes.

Nästa steg

• Delegering och roller i berättigandehantering
• Skapa och hantera en katalog med resurser i berättigandehantering