Aracılığıyla paylaş

Yetkilendirme yönetiminde özel uzantılarla Logic Apps'i tetikleme

  • Makale

Azure Logic Apps , özel iş akışlarını otomatikleştirmek ve uygulamaları ve hizmetleri tek bir yerde bağlamak için kullanılabilir. Kullanıcılar, idare iş akışlarını temel yetkilendirme yönetimi kullanım örneklerinin ötesine genişletmek için Logic Apps'i yetkilendirme yönetimiyle tümleştirebilir.

Bu Logic Apps daha sonra erişim paketi verildiğinde veya istendiğinde olduğu gibi yetkilendirme yönetimi kullanım örneklerine uygun olarak çalıştırılacak şekilde tetiklenebilir. Örneğin bir yönetici, bir kullanıcı erişim paketi istediğinde kullanıcıya üçüncü taraf SAAS uygulamasında (Salesforce gibi) belirli özellikler atanmasını veya özel bir e-posta gönderilmesini sağlayan bir Mantıksal Uygulama tetiklenmesi için özel bir Mantıksal Uygulama oluşturup yetkilendirme yönetimine bağlayabilir.

Logic Apps ile tümleştirilebilen yetkilendirme yönetimi kullanım örnekleri aşağıdaki aşamaları içerir. Bunlar, özel uzantı Logic App'i başlatabilen bir erişim paketiyle ilişkilendirilmiş tetikleyicilerdir:

  • Erişim paketi isteği oluşturulduğunda

  • Erişim paketi isteği onaylandığında

  • Erişim paketi ataması verildiğinde

  • Erişim paketi ataması kaldırıldığında

  • Erişim paketi ataması otomatik süresinin dolmadan 14 gün önce

  • Erişim paketi ataması otomatik süresinin dolmasına bir gün önce

Logic Apps'e yönelik bu tetikleyiciler, erişim paketi ilkeleri içindeki Kurallar adlı bir sekmede denetlenmektedir. Ayrıca, Katalog sayfasındaki Özel Uzantılar sekmesi belirli bir Katalog için eklenen tüm Logic Apps uzantılarını gösterir. Bu makalede, yetkilendirme yönetiminde kataloglara ve erişim paketlerine mantıksal uygulama oluşturma ve ekleme işlemleri açıklanmaktadır.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra Kimlik Yönetimi veya Microsoft Entra Suite lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz. lisanslamayla ilgili temel bilgileri Microsoft Entra Kimlik Yönetimi.

Yetkilendirme yönetiminde kullanmak üzere mantıksal uygulama iş akışı oluşturma ve kataloğa ekleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Kaynak grubu sahibi yer alır.

  2. Kimlik idaresi>Katalogları'na göz atın.

  3. Özel uzantı eklemek istediğiniz kataloğu seçin ve ardından sol menüden Özel Uzantılar'ı seçin.

  4. Üst bilgi gezinti çubuğunda Özel Uzantı Ekle'yi seçin.

  5. Temel Bilgiler sekmesinde, bağladığınız Mantıksal Uygulamanın adı olması gereken özel uzantının adını ve iş akışının açıklamasını girin. Bu alanlar, Kataloğun Özel Uzantılar sekmesinde gösterilir.

    Özel uzantı oluşturmak için bölme

  6. Uzantı Türü sekmesi, özel uzantıyı hangi tür erişim paketi ilkeleriyle kullanabileceğinizi tanımlar. "İstek iş akışı" türü ilke aşamalarını destekler: İstenen erişim paketi oluşturulur, istek onaylandığında, atama verildiğinde ve atama kaldırıldığında. Bu tür başlatma ve bekleme özelliklerini de destekler.

  7. Ön sona erme iş akışı, ilke aşamalarını destekler: erişim paketi atamasının süresi dolana kadar 14 gün ve erişim paketi atamasının sona ermesi için 1 gün. Bu uzantı türü Başlatma ve Beklemeyi desteklemez.

    Başlatma ve bekleme yapılandırma seçeneklerinin ekran görüntüsü.

  8. Uzantı Yapılandırması sekmesi, uzantınızın "başlat ve devam et" veya "başlat ve bekle" davranışına sahip olup olmadığını belirlemenize olanak tanır. Erişim paketindeki "Başlat ve devam et" ile, istek gibi bağlantılı ilke eylemi, özel uzantıya bağlı Logic App'i tetikler. Mantıksal Uygulama tetiklendiğinde, erişim paketiyle ilişkili yetkilendirme yönetimi işlemi devam eder. "Başlat ve bekle" için, uzantıya bağlı Mantıksal Uygulama görevini tamamlayana ve işleme devam etmek için yönetici tarafından bir özgeçmiş eylemi gönderilene kadar ilişkili erişim paketi eylemini duraklatacağız. Tanımlanan bekleme süresi içinde yanıt gönderilmezse bu işlem bir hata olarak kabul edilir. Bu işlem, yetkilendirme yönetimi işlemlerini duraklatan özel uzantıları yapılandırma bölümünde daha ayrıntılı olarak açıklanmıştır.

  9. Ayrıntılar sekmesinde, mevcut bir tüketim planı Mantıksal Uygulamasını kullanmak isteyip istemediğinizi seçin. "Yeni mantıksal uygulama oluştur" (varsayılan) alanında Evet seçildiğinde, bu özel uzantıya zaten bağlı olan yeni bir boş tüketim planı Mantıksal Uygulaması oluşturulur. Ne olursa olsun şunları sağlamanız gerekir:

    1. Azure aboneliği.

    2. Yeni bir Mantıksal Uygulama oluştururken Logic App kaynak oluşturma izinlerine sahip bir kaynak grubu.

    3. Bu ayarı kullanıyorsanız "Mantıksal Uygulama Oluştur"u seçin.

      Mantıksal uygulama ayrıntı seçimleri oluşturma işleminin ekran görüntüsü.

    Not

    Bu kalıcıda yeni bir Mantıksal Uygulama oluştururken, "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" uzunluğu 150 karakteri aşamaz.

  10. Gözden Geçir ve Oluştur bölümünde özel uzantınızın özetini gözden geçirin ve Mantıksal Uygulama açıklama balonunuzun ayrıntılarının doğru olduğundan emin olun. Daha sonra, Oluştur'u seçin.

  11. Bağlantılı Mantıksal Uygulama'nın bu özel uzantısı artık Özel Uzantılar sekmenizde Kataloglar altında görünür. Erişim paketi ilkelerinde bu özel uzantıyı çağırabilirsiniz.

Katalog için Mevcut Özel Uzantıları Görüntüleme ve Düzenleme

  1. Daha önce belirtildiği gibi bir Katalog içindeki Özel Uzantılar sekmesine en azından Bir Kimlik İdaresi Yöneticisi olarak gidin.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibidir.

  2. Burada, oluşturduğunuz tüm özel uzantıları ve ilişkili Logic App'i ve özel uzantı türü hakkındaki bilgileri görüntüleyebilirsiniz. Özel uzantıların listesinin ekran görüntüsü.

  3. Logic App adıyla birlikte Type sütunu, özel uzantının yeni V2 kimlik doğrulama modelinde mi (17 Mart 2023'den sonra) yoksa özgün modelde mi oluşturulduğunu belirler. Yeni modelde özel bir uzantı oluşturulduysa, Tür sütunu yapılandırma kalıcısından seçilen türle eşleşir ve bu tür "atama isteği" veya "ön süre sonu" olur. Eski özel uzantılar için türünde "özel erişim paketi" gösterilir.

  4. Belirteç Güvenliği sütunu, özel uzantı oluşturulurken kullanılan ilişkili kimlik doğrulama güvenlik çerçevesini gösterir. Yeni V2 özel uzantıları belirteç güvenlik türü olarak "sahiplik kanıtı" (PoP) gösterir. Eski özel uzantılar "normal" olarak gösterilir.

  5. Eski stil özel uzantıları artık kullanıcı arabiriminden oluşturulamaz, ancak mevcut uzantılar kullanıcı arabiriminden yeni stil özel uzantılarına dönüştürülebilir. Eski güvenlik belirtecini yeniye dönüştürme işleminin ekran görüntüsü.

  6. Eski bir özel uzantının satırının sonundaki üç noktayı seçmek, özel uzantıyı hızlı bir şekilde yeni bir türe güncelleştirmenizi sağlar.

    Not

    Özel uzantılar yalnızca kullanımda değilse veya yalnızca belirli bir uzantı türünün ilke aşamaları (atama isteği aşamaları veya sona erme öncesi aşamaları) için kullanılıyorsa yeni türe dönüştürülebilir.

  7. Ayrıca herhangi bir özel uzantıyı düzenleyebilirsiniz. Bu, ad, açıklama ve diğer alan değerlerini güncelleştirmenizi sağlar. Bu, herhangi bir özel uzantı için üç noktalı bölmede Düzenle'yi seçerek gerçekleştirilebilir.

  8. Eski stil özel uzantıları artık oluşturulamasa da dönüştürülmese bile kullanılmaya ve düzenlenmeye devam edebilir.

  9. İlke aşamaları, HEM atama isteği hem de son kullanma öncesi türleri için kullanıldığından eski stil özel uzantısı yeni türe güncelleştirilemiyorsa, güncelleştirmek için tüm bağlı ilkelerden kaldırmanız veya yalnızca ONE türüyle ilişkili ilke aşamaları için kullanıldığından emin olmanız gerekir (atama isteği, veya ön süre sonu).  

Erişim paketindeki bir ilkeye özel uzantı ekleme

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Access paket yöneticisi yer alır.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Önceden oluşturulmuş erişim paketleri listesinden özel uzantı (mantıksal uygulama) eklemek istediğiniz erişim paketini seçin.

    Not

    Yeni bir erişim paketi oluşturmak istiyorsanız Yeni erişim paketi'ni seçin. Erişim paketi oluşturma hakkında daha fazla bilgi için bkz . Yetkilendirme yönetiminde yeni erişim paketi oluşturma. Mevcut bir erişim paketini düzenleme hakkında daha fazla bilgi için bkz . Microsoft Entra yetkilendirme yönetiminde erişim paketi için istek ayarlarını değiştirme.

  4. İlke sekmesine geçin, ilkeyi seçin ve Düzenle'yi seçin.

  5. İlke ayarlarında Özel Uzantılar sekmesine gidin.

  6. Aşama'nın altındaki menüde, bu özel uzantı (Logic App) için tetikleyici olarak kullanmak istediğiniz erişim paketi olayını seçin. Örneğin, yalnızca bir kullanıcı erişim paketini istediğinde özel uzantı Mantıksal Uygulama iş akışını tetiklemek istiyorsanız İstek oluşturuldu'ya tıklayın.

  7. Özel Uzantı'nın altındaki menüden erişim paketine eklemek istediğiniz özel uzantıyı (Mantıksal Uygulama) seçin. Seçtiğiniz eylem, ne zaman alanında seçilen olay gerçekleştiğinde yürütülür.

  8. Mevcut bir erişim paketinin ilkesine eklemek için Güncelleştir'i seçin.

    Pakete erişmek için Mantıksal Uygulama ekleme

Bağlı Mantıksal Uygulamanın iş akışı tanımını düzenleme

Özel uzantılara bağlı yeni oluşturulan Logic Apps için bu Logic Apps boş başlar. Logic Apps'te bağlı erişim paketi ilkesi koşulu tetiklendiğinde uzantı tarafından tetiklenecek iş akışlarını oluşturmak için Logic App tasarımcısında Logic App iş akışının tanımını düzenlemeniz gerekir. Bunu başarmak için şu adımları izlemeniz gerekir:

  1. Daha önce belirtildiği gibi bir Katalog içindeki Özel Uzantılar sekmesine en azından Bir Kimlik İdaresi Yöneticisi olarak gidin.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibidir.

  2. Mantıksal Uygulamayı düzenlemek istediğiniz özel uzantıyı seçin.

  3. İlişkili özel uzantı satırı için Mantıksal uygulama sütununun altındaki Mantıksal Uygulamayı seçin. Bu, Logic App tasarımcısında iş akışını düzenlemenize veya oluşturmanıza olanak tanır.

Mantıksal uygulama iş akışları oluşturma hakkında daha fazla bilgi için bkz . Hızlı Başlangıç: Çok kiracılı Azure Logic Apps'te örnek tüketim iş akışı oluşturma.

Yetkilendirme yönetimi işlemlerini duraklatan özel uzantıları yapılandırma

Özel uzantılar özelliğine yönelik yeni bir güncelleştirme, mantıksal uygulama tamamlanana ve yetkilendirme yönetimine bir özgeçmiş isteği yükü gönderilene kadar özel bir uzantıyla ilişkili erişim paketi ilkesi işlemini duraklatma özelliğidir. Örneğin, erişim paketi verme ilkesinden Mantıksal Uygulama için özel bir uzantı tetikleniyorsa ve "başlatma ve bekleme" etkinleştirildiyse, Mantıksal Uygulama tetiklendiğinde, Mantıksal Uygulama tamamlanana ve yetkilendirme yönetimine bir özgeçmiş isteği geri gönderilene kadar verme işlemi devam etmez.

Bu duraklatma işlemi, yöneticilerin yetkilendirme yönetiminde erişim yaşam döngüsü görevlerine devam etmeden önce çalıştırmak istedikleri iş akışlarını denetlemesini sağlar. Bunun tek istisnası, zaman aşımı oluşmasıdır. Başlatma ve bekleme işlemleri için dakika, saat veya gün cinsinden 14 güne kadar bir zaman aşımı gerekir. "Zaman aşımı" süresi dolana kadar yetkilendirme yönetimine bir özgeçmiş yanıtı geri gönderilmezse yetkilendirme yönetimi isteği iş akışı işlemi duraklatılır.

Yönetici, Logic App iş akışı tamamlandıktan sonra API özgeçmiş isteği yükünü yetkilendirme yönetimine geri gönderebilen otomatik bir işlem yapılandırmakla sorumludur. Özgeçmiş isteği yükünü geri göndermek için graf API'sinin belgelerindeki yönergeleri izleyin. Özgeçmiş isteğiyle ilgili bilgilere buradan bakın.

Özel olarak, özel bir uzantıyı çağırmak için bir erişim paketi ilkesi etkinleştirildiğinde ve istek işleme müşteriden geri çağırmayı beklediğinde, müşteri bir sürdürme eylemi başlatabilir. requestStatus değeri WaitingForCallback durumunda olan accessPackageAssignmentRequest nesnesinde gerçekleştirilir.

Özgeçmiş isteği aşağıdaki aşamalar için geri gönderilebilir:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted
microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Aşağıdaki akış diyagramında Logic Apps iş akışı için yetkilendirme yönetimi açıklama balonu gösterilmektedir: Mantıksal uygulamalar iş akışına yetkilendirme yönetimi çağrısının diyagramı.

Diyagram akışı diyagramı şunları gösterir:

  1. Kullanıcı, Kimlik Hizmeti'nden çağrıyı alabilen özel bir uç nokta oluşturur
  2. Kimlik hizmeti, uç noktanın Kimlik Hizmeti tarafından çağrılabildiğini onaylamak için bir test çağrısı yapar
  3. Kullanıcı, erişim paketine kullanıcı ekleme isteğinde bulunmak için Graph API'sini çağırır
  4. Kimlik Hizmeti arka uç iş akışını tetikleyen kuyruğa eklenir
  5. Yetkilendirme Yönetimi Hizmeti istek işleme, istek yüküyle mantıksal uygulamayı çağırır
  6. İş akışı kabul edilen kodu bekler
  7. Yetkilendirme Yönetimi Hizmeti, engelleyici özel eylemin sürdürülmesini bekler
  8. Müşteri sistemi, isteği işlemeye devam etmek için istek sürdürme API'sini kimlik hizmetine çağırır
  9. Kimlik hizmeti, özgeçmiş isteği iletisini arka uç iş akışını sürdüren Yetkilendirme Yönetim Hizmeti kuyruğuna ekler
  10. Yetkilendirme Yönetimi Hizmeti engellenen durumdan sürdürülür

Özgeçmiş isteği yüküne örnek olarak aşağıdakiler gösteriliyor:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Başlatma ve bekleme ile, uzantı "istek oluşturuldu" veya "istek onaylandı" erişim paketi aşamalarına bağlıysa yöneticiler de isteği reddeder. Bu durumlarda, Mantıksal Uygulama yetkilendirme yönetimine bir "reddet" iletisi gönderebilir ve bu da son kullanıcı erişim paketini almadan önce işlemi sonlandırabilir.

Belirtildiği gibi, ilişkili dört ilke aşaması içeren istek iş akışı türüyle oluşturulan özel uzantılar isterseniz "Başlat ve bekle" ile etkinleştirilebilir.

Aşağıda, geri çağırma bekleyen isteği reddederek erişim paketi atama isteğini işlemeye devam etmeye yönelik bir örnek verilmiştir. Bir istek, belirtme çizgisinin assignmentRequestCreated aşamasında reddedilemez.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Uzantı son kullanıcı deneyimi

Onaylayan deneyimi

Onaylayan, yetkilendirme yönetimi işlemlerini duraklatan özel uzantıları yapılandırma bölümünde yer alan yükte gösterildiği gibi altındaki özgeçmiş isteği yükünde customExtensionStageInstanceDetail belirtilen dizeyi görür. Onaylayan ekranının ekran görüntüsü.

İstek sahibi deneyimi

Erişim paketi başlatma ve bekleme işlevselliğine sahip özel bir uzantıya sahip olduğunda ve erişim paketi isteği oluşturulduğunda Logic App tetiklendiğinde, istek sahipleri MyAccess'teki istek geçmişinde istek durumlarını görebilir.

Kullanıcılara özel uzantı aşamalarına göre aşağıdaki durum güncelleştirmeleri görüntülenir:

Özel Uzantı aşaması MyAccess istek geçmişinde istek sahibine görüntülenen ileti
Uzantı işlenirken Devam etmeden önce bilgi bekleniyor
Uzantı başarısız olduğunda İşlemin süresi doldu
Uzantı devam ettiğinde İşlem devam ediyor

Bu, uzantı devam ettirildikten sonra bir istek sahibinden myAccess istek geçmişi örneğidir:

İstek sahibi ekranının ekran görüntüsü.

Sorun Giderme ve Doğrulama

İstekle ilişkili özel uzantılar için, özel uzantı (ve etkinleştirildiyse başlatma ve bekleme) işlemiyle ilgili ayrıntıları, ilişkili erişim paketinin istek ayrıntıları sayfasındaki İstek geçmişi ayrıntıları bağlantısından görüntüleyebilirsiniz.

Özel görev uzantısı için geçmiş isteme işleminin ekran görüntüsü.Özel görev uzantısı için seçim ayrıntılarının ekran görüntüsü.

Örneğin, burada isteğin gönderildiği saati ve başlatma ve bekleme işleminin (geri çağırma bekleniyor) başladığı zamanı görebilirsiniz. mantıksal uygulama yürütüldükten ve özgeçmiş isteği 12:15'te döndürüldükten sonra istek onaylandı ve yetkilendirme yönetimi aşaması "sürdürüldü".

Ayrıca, istek ayrıntılarındaki yeni bir Özel uzantı örnekleri bağlantısı , istek için erişim paketiyle ilişkili özel uzantı hakkındaki bilgileri gösterir.
Seçim ayrıntıları liste öğelerinin ekran görüntüsü.

Bu, özel uzantı kimliğini ve durumunu gösterir. Bu bilgiler, ilişkili bir başlatma ve bekleme geri araması olup olmadığına bağlı olarak değişir.

Özel uzantınızın ilişkili Mantıksal Uygulamayı doğru şekilde tetiklediğini doğrulamak için Logic App günlüklerini de görüntüleyebilirsiniz. Bu günlükler, Logic App'in en son ne zaman yürütüldüğünü gösteren bir zaman damgasına sahiptir.

Sonraki adımlar