使用企業整合套件在 Azure Logic Apps 中建立及管理適用於 B2B 工作流程的整合帳戶
適用於:Azure Logic Apps (使用量 + 標準)
您必須先建立整合帳戶資源,才能使用 Azure Logic Apps 建置企業對企業 (B2B) 和企業整合工作流程。 此帳戶是 Azure 中可調整的雲端式容器,可簡化針對 B2B 案例在工作流程中定義及使用之 B2B 成品的儲存和管理方式,例如:
您也需要使用整合帳戶,以電子方式與其他組織交換 B2B 訊息。 當其他組織使用與您組織不同的通訊協定和訊息格式時,您必須轉換這些格式,以便您組織的系統可以處理這些訊息。 使用 Azure Logic Apps,您可以建置工作流程支援下列業界標準通訊協定:
如果您不熟悉在 Azure Logic Apps 中建立 B2B 企業整合工作流程,請參閱搭配 Azure Logic Apps 和企業整合套件的 B2B 企業整合工作流程。
必要條件
Azure 帳戶和訂用帳戶。 如果您沒有 Azure 訂用帳戶,請先註冊免費的 Azure 帳戶。 請確保您針對整合帳戶和邏輯應用程式資源使用相同的 Azure 訂閱。
無論您是使用取用或標準邏輯應用程式工作流程,若您需要連結企業整合帳戶,都必須已經存在邏輯應用程式資源。
針對取用邏輯應用程式資源,您必須先有此連結,才能使用整合帳戶中的成品與工作流程。 雖然您可以在沒有此連結的情況下建立成品,但當您準備要使用這些成品時,仍需要此連結。 若要建立取用邏輯應用程式工作流程,請參閱快速入門:請參閱在多租用戶 Azure Logic Apps 中建立範例使用量邏輯應用程式工作流程 (英文)。
針對標準邏輯應用程式資源,根據您的案例,此連結可能是必要或選擇性的:
如果您的企業整合帳戶含有需要或想要使用的成品,請將該企業整合帳戶連結至您想要在其中使用成品的每個標準邏輯應用程式資源。
某些 Azure 裝載的企業整合帳戶連接器不需要連結,並可讓您建立與企業整合帳戶的連線。 例如,例如 AS2、EDIFACT 和 X12 不需要連結,但 AS2 (v2) 連接器需要連結。
名為 Liquid 和 Flat File 的內建連接器,可讓您選取先前上傳至邏輯應用程式資源或連結企業整合帳戶的對應和結構描述。
如果您沒有或不需要企業整合帳戶,則可以使用上傳選項。 否則,您可以使用連結選項,這也表示您不需要將對應和架構上傳至每個邏輯應用程式資源。 不論是哪種情況,您都可以在相同邏輯應用程式資源的所有子工作流程中使用這些成品。
若要建立標準邏輯應用程式工作流程範例,請參閱在單一租用戶 Azure Logic Apps 中建立範例標準邏輯應用程式工作流程 (英文)。
進階企業整合帳戶支援使用 Azure 虛擬網路內的私人端點,安全地與相同網路中的其他 Azure 資源進行通訊。 您的企業整合帳戶、虛擬網路和 Azure 資源也必須存在於相同的 Azure 區域中。 如需詳細資訊,請參閱建立虛擬網路 (英文) 和本指南中的步驟,以設定您的進階企業整合帳戶。
例如,如果標準邏輯應用程式存在於相同的虛擬網路中,則可存取私人端點。 不過,取用邏輯應用程式不支援虛擬網路整合,且無法存取私人端點。
若要使用虛擬網路整合建立標準邏輯應用程式,請參閱在單一租用戶 Azure Logic Apps 中建立範例標準邏輯應用程式工作流程 (英文)。
若要使用虛擬網路整合來設定現有的標準邏輯應用程式,請參閱設定虛擬網路整合 (英文)。
刪除整合帳戶
整合帳戶提供價格不一的不同階層。 根據您選擇的階層,建立整合帳戶可能會產生成本。 如需詳細資訊,請參閱 Azure Logic Apps 計價和計費模式和 Azure Logic Apps 定價。
根據您的需求和案例,決定要建立的適當整合帳戶階層。 下表描述可用的階層:
您的整合帳戶會使用自動建立和啟用的系統指派受控識別來驗證存取權。
| 層 | 描述 |
|---|---|
| 高階 (預覽) | 注意:此功能處於預覽狀態,且受限於 Microsoft Azure 預覽版的補充使用規定。 對於具有下列準則的案例: - 儲存和使用無限制的成品,例如合作夥伴、合約、結構描述、對應、憑證等等。 - 自備儲存體,其中包含特定 B2B 動作和 EDI 標準的相關執行階段狀態。 例如,這些狀態包括 AS2 動作的 MIC 編號,以及 X12 動作的控制編號 (若已在您的合約上設定)。 為了存取此儲存體,您的整合帳戶會使用其系統指派的受控識別,這是自動為您的整合帳戶建立並啟用的識別。 您也可將更多治理和原則套用至資料,例如用於資料加密的客戶管理金鑰 (自備) 金鑰。 若要儲存這些金鑰,您需要金鑰保存庫。 - 設定並使用金鑰保存庫來儲存私人憑證或客戶管理的金鑰。 為了存取這些金鑰,您的進階整合帳戶會使用其系統指派的受控識別,而不是 Azure Logic Apps 共用服務主體。 - 設定私人端點,以在 Azure 虛擬網路中建立進階企業整合帳戶與 Azure 服務之間的安全連線。 定價遵循標準整合帳戶定價。 注意:在預覽期間,您的 Azure 帳單會使用與標準整合帳戶相同的計量名稱和識別碼,但會在進階等級正式推出時變更。 限制與已知問題: - 如果您使用金鑰保存庫來儲存私人憑證,則整合帳戶的受控識別可能無法運作。 現在,請改用連結邏輯應用程式的受控識別。 - 目前不支援適用於 Azure Logic Apps 的 Azure CLI。 |
| 標準 | 適用於擁有更複雜 B2B 關聯性且必須管理更多實體數目的情節。 受到 Azure Logic Apps SLA 支援。 |
| 基本 | 適用於只需要郵件處理或想作為與較大商務實體有交易夥伴關係之小型企業夥伴的情節。 受到 Azure Logic Apps SLA 支援。 |
| 免費 | 適用於探勘情節,而非生產環境情節。 此階層具有區域可用性、輸送量和使用量的限制。 例如,只有 Azure 中的公用區域 (例如美國西部或東南亞,但不含由 21Vianet 營運的 Microsoft Azure 或 Azure Government) 才會提供免費層。 注意:不受 Azure Logic Apps SLA 支援。 |
若要執行這項工作,您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell。
重要
若要成功連結並使用整合帳戶搭配邏輯應用程式,請確定這兩個資源都存在於相同的 Azure 訂用帳戶和 Azure 區域中。
在 Azure 入口網站的搜尋方塊中,輸入整合帳戶,然後選取 [整合帳戶]。
在 [整合帳戶] 下,選取 [建立]。
在 [建立整合帳戶] 窗格上,提供您整合帳戶的下列資訊:
屬性 必填 值 Description 訂用帳戶 Yes <Azure-訂閱-名稱> 您的 Azure 訂閱名稱 資源群組 Yes <Azure-資源-群組-名稱> 用於組織相關資源的 Azure 資源群組名稱。 在此範例中,建立名為 FabrikamIntegration-RG 的新資源群組。 整合帳戶名稱 Yes <integration-account-name> 您的整合帳戶名稱,其中只能包含字母、數字、連字號 ( -)、底線 (_)、括弧(()) 和句點 (.)。 此範例使用 Fabrikam-Integration。定價層 Yes <pricing-level> 整合帳戶的定價層,您可以在稍後變更。 在此範例中,請選取 [免費]。 如需詳細資訊,請參閱下列文件:
- Logic Apps 定價模式
- Logic Apps 限制和設定
- Logic Apps 定價儲存體帳戶 僅適用於進階 (預覽) 整合帳戶 無 現有的 Azure 儲存體帳戶名稱。 本指南中的範例不適用此選項。 區域 Yes <Azure-region> 用來存放整合帳戶中繼資料的 Azure 區域。 請選取與邏輯應用程式資源相同的位置,或在與整合帳戶相同的位置中建立您的邏輯應用程式。 針對此範例,請使用「美國西部」。 啟用記錄分析 No 未選取 在此範例中,請勿選取此選項。 當您完成時,選取 [檢閱 + 建立]。
部署完成後,Azure 會開啟您的整合帳戶。
如果您已建立進階整合帳戶,務必設定相關聯 Azure 儲存體帳戶的存取權。 您也可以為企業整合帳戶設定私人端點 (英文),以在進階企業整合帳戶與 Azure 服務之間建立私人連線。
設定進階整合帳戶的儲存體存取
若要讀取成品並寫入任何狀態資訊,您的進階整合帳戶需要存取所選和相關聯的 Azure 儲存體帳戶。 您的整合帳戶會使用其自動建立和啟用的系統指派受控識別來驗證存取權。
在 Azure 入口網站中,開啟您的進階整合帳戶。
在 [企業整合帳戶] 功能表上的 [設定] 底下,選取 [身分識別]。
在 [系統指派] 索引標籤 (其中顯示已啟用的系統指派受控識別) 上,選取 [權限] 之下的 [Azure 角色指派]。
在 [Azure 角色指派] 工具列上,選取 [新增角色指派 (預覽)],提供下列資訊、選取 [儲存],然後針對每個必要角色重複執行:
參數 數值 Description 範圍 Storage 如需詳細資訊,請參閱了解 Azure RBAC 的範圍。 訂用帳戶 <Azure-subscription> 要存取資源的 Azure 訂用帳戶。 資源 <Azure-storage-account-name> 要存取的 Azure 儲存體帳戶名稱。
注意:如果您收到錯誤,指出您沒有在此範圍新增角色指派的權限,您就需要取得這些權限。 如需詳細資訊,請參閱 Microsoft Entra 內建角色。Role - 儲存體帳戶參與者
- 儲存體 Blob 資料參與者
- 儲存體資料表資料參與者進階整合帳戶需要這些角色,才能存取您的儲存體帳戶。 如需詳細資訊,請參閱將 Azure 角色指派給系統指派的受控識別
設定進階企業整合帳戶的私人端點 (預覽)
注意
此功能處於預覽狀態,且受限於 Microsoft Azure 預覽版的補充使用規定。
若要在進階企業整合帳戶與 Azure 服務之間建立安全連線,您可以為企業整合帳戶設定私人端點 (英文)。 此端點是使用 Azure 虛擬網路之私人 IP 位址的網路介面。 如此一來,虛擬網路與 Azure 服務之間的流量會保留在 Azure 骨幹網路上,且永遠不會周遊公用網際網路。 私人端點可提供下列優點,確保資源與 Azure 服務之間的安全私人通訊通道:
排除曝光網際網路的風險,並降低攻擊的風險。
將資料保留在受控制且安全的環境中,藉此協助貴組織符合資料隱私權及合規性需求。
將流量保留在 Azure 骨幹網路內,以減少延遲並改善工作流程效能。
移除複雜網路設定的需求,例如虛擬私人網路或 ExpressRoute。
減少額外的網路基礎結構並避免透過公用端點的資料輸出費用來節省成本。
私人端點的最佳做法
請仔細規劃虛擬網路和子網路架構,以容納私人端點。 請務必正確區隔並保護您的子網路。
請確定您的網域名稱系統設定是最新的,且已正確設定可處理私人端點的名稱解析。
控制私人端點的流量,並使用網路安全性群組強制執行嚴格的安全策略。
徹底測試企業整合帳戶的連線能力和效能,以確保在部署至生產環境之前,所有項目都如預期般運作。
定期監視流入和流出私人端點的網路流量。 使用 Azure 監視器和 Azure 資訊安全中心等工具稽核及分析流量模式。
建立私人端點
開始之前,請確定您已使用適當的子網路和網路安全性群組定義 Azure 虛擬網路 (英文),以管理及保護流量。
在 Azure 入口網站的搜尋方塊中,輸入私人端點,然後選取 [私人端點]。
在 [私人端點] 頁面上,選取 [建立]。
在 [基本概念] 索引標籤中提供下列資訊:
屬性 值 訂用帳戶 <Azure-subscription> 資源群組 <Azure-resource-group> 名稱 <private-endpoint> 網路介面名稱 <private-endpoint>-nic 區域 <Azure-region> 在 [資源] 索引標籤中提供下列資訊:
屬性 值 連線方法 - 連線到 Azure 資源的我的目錄中:建立自動核准且可供立即使用的私人端點。 端點的 [連線狀態] 屬性在建立後會設定為 [已核准]。
- 依資源識別碼或別名連線到 Azure 資源:建立手動核准的私人端點,並要求資料管理員核准後,才能使用。 端點的 [連線狀態] 屬性在建立後會設定為 [擱置中]。
注意:如果端點已手動核准,[DNS] 索引標籤將無法使用。訂用帳戶 <Azure-subscription> 資源類型 Microsoft.Logic/integrationAccounts 資源 <Premium-integration-account> 目標子資源 integrationAccount 在 [虛擬網路] 索引標籤上,指定您要在其中建立端點的虛擬網路和子網路:
屬性 值 虛擬網路 <virtual-network> 子網路 <subnet-for-endpoint> 您的虛擬網路會使用連結至私人端點的網路介面。
在 [DNS] 索引標籤上,請提供下列資訊,以確保您的 APS 可以解析企業整合帳戶的私人 IP 位址。 您可能必須設定私人 DNS 區域,並連結至您的虛擬網路。
屬性 值 訂用帳戶 <Azure-subscription> 資源群組 <Azure-resource-group-for-private-DNS-zone> 完成時,請確認所有提供的資訊,然後選取 [建立]。
確認 Azure 已建立私人端點之後,請檢查您的連線能力,並測試您的設定,以確定虛擬網路中的資源可以透過私人端點安全地連線到您的企業整合帳戶。
檢視擱置中的端點連線
針對需要核准的私人端點,請遵循下列步驟:
在 Azure 入口網站中,移至 [Private Link] 頁面。
在左側功能表上,選取 [擱置中的連線]。
核准擱置中的私人端點
針對需要核准的私人端點,請遵循下列步驟:
在 Azure 入口網站中,移至 [Private Link] 頁面。
在左側功能表上,選取 [擱置中的連線]。
選取擱置中的連線。 在工具列上,選取 [核准]。 請等候作業完成。
端點的 [連線狀態] 屬性會變更為 [已核准]。
透過進階企業整合帳戶上的私人端點啟用標準邏輯應用程式通話
- 選擇下列其中一個選項:
若要使用虛擬網路整合建立標準邏輯應用程式,請參閱在單一租用戶 Azure Logic Apps 中建立範例標準邏輯應用程式工作流程 (英文)。
若要使用虛擬網路整合來設定現有的標準邏輯應用程式,請參閱設定虛擬網路整合 (英文)。
若要透過私人端點進行通話,請在您要撥打企業整合帳戶的標準邏輯應用程式工作流程中包含 [HTTP] 動作。
在 Azure 入口網站中,前往您的進階企業整合帳戶。 在企業整合帳戶功能表上,在 [設定] 底下選取 [回撥 URL],然後複製 URL。
在工作流程的 [HTTP] 動作中,於 [參數] 索引標籤的 [URI] 屬性中,使用下列格式輸入回撥 URL:
https://{domain-name}-{integration-account-ID}.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/{integration-account-ID}?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}下列範例顯示範例值:
https://prod-02-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}針對 [HTTP] 動作的 [方法] 屬性,選取 [GET]。
視需要完成 [HTTP] 動作的設定,並測試您的工作流程。
連結至邏輯應用程式
若要讓整合帳戶成功連結至邏輯應用程式資源,請確定這兩個資源都使用相同的 Azure 訂用帳戶和 Azure 區域。
本節將說明如何使用 Azure 入口網站完成此工作。 如果您使用 Visual Studio 且邏輯應用程式位於 Azure 資源群組專案中,您可以使用 Visual Studio 將邏輯應用程式連結至整合帳戶。
在 Azure 入口網站中,開啟您的邏輯應用程式資源。
在邏輯應用程式導覽功能表的 [設定] 底下,選取 [工作流程設定]。 在 [整合帳戶] 下,開啟 [請選取整合帳戶] 清單,然後選取您想要的整合帳戶。
若要完成連結,請選取 [儲存]。
![螢幕擷取畫面顯示名為「工作流程設定」的頁面,並選取的 [儲存] 選項。](media/create-integration-account/save-link.png)
成功連結您的整合帳戶之後,Azure 會顯示確認訊息。
現在,您的邏輯應用程式工作流程可以使用整合帳戶中的成品以及 B2B 連接器,例如 XML 驗證和一般檔案編碼或解碼。
變更定價層
若要提高整合帳戶的限制,您可以升級至較高的定價層 (如果有的話)。 例如,您可以從免費層升級至基本層、標準層或進階層。 您也可以降級為較低階層 (如果有的話)。 如需詳細定價資訊,請參閱下列文件:
升級定價層
若要進行這項變更,您可以使用 Azure 入口網站或 Azure CLI。
在 Azure 入口網站的搜尋方塊中,輸入整合帳戶,然後選取 [整合帳戶]。
Azure 會顯示 Azure 訂閱中的所有整合帳戶。
在 [整合帳戶] 底下,選取您想要移動的整合帳戶。 在整合帳戶資源功能表上,選取 [概觀]。
![螢幕擷取畫面顯示具有企業整合帳戶功能表和已選取 [概觀] 選項的 Azure 入口網站。](media/create-integration-account/integration-account-overview.png)
在 [概觀] 頁面上,選取 [升級定價層],這會列出任何可用的更高階層。 當您選取一個階層時,變更會立即生效。
降級定價層
若要進行這項變更,請使用 Azure CLI。
如果您尚未安裝 Azure CLI 必要條件,請予以安裝。
在 Azure 入口網站中,開啟 Azure Cloud Shell 環境。
在命令提示字元中,輸入 az resource 命令,並將
skuName設定為您想要的較低階層。az resource update --resource-group <resourceGroupName> --resource-type Microsoft.Logic/integrationAccounts --name <integrationAccountName> --subscription <AzureSubscriptionID> --set sku.name=<skuName>例如,如果您有標準層,可以將
skuName設定為Basic:az resource update --resource-group FabrikamIntegration-RG --resource-type Microsoft.Logic/integrationAccounts --name Fabrikam-Integration --subscription XXXXXXXXXXXXXXXXX --set sku.name=Basic
從邏輯應用程式取消連結
如果您想要將邏輯應用程式連結至另一個整合帳戶,或者不想再搭配您的邏輯應用程式使用整合帳戶,請使用 Azure 資源總管刪除連結。
開啟您的瀏覽器視窗,然後前往 Azure 資源總管https://resources.azure.com)。 使用相同的 Azure 帳戶認證進行登入。
在搜尋方塊中,輸入您的邏輯應用程式名稱以尋找並開啟該邏輯應用程式。
在總管標題列上,選取 [讀取/寫入]。
![顯示標題列的螢幕擷取畫面,其中包含 [讀取/寫入] 的選定選項。](media/create-integration-account/resource-explorer-select-read-write.png)
在 [資料] 索引標籤上,選取 [編輯]。
![螢幕擷取畫面顯示 [資料] 索引標籤,其中包含 [編輯] 的選定選項。](media/create-integration-account/resource-explorer-select-edit.png)
在編輯器中,尋找 integrationAccount 物件 (其格式如下),並刪除物件:
{ // <other-attributes> "integrationAccount": { "name": "<integration-account-name>", "id": "<integration-account-resource-ID>", "type": "Microsoft.Logic/integrationAccounts" }, }例如:
在 [資料] 索引標籤上,選取 [PUT] 以儲存您的變更。
![螢幕擷取畫面顯示已選取 [放置] 的 [資料] 索引標籤。](media/create-integration-account/resource-explorer-save-changes.png)
在 Azure 入口網站中,開啟邏輯應用程式。 在您邏輯應用程式功能表的 [工作流程設定] 下,確認 [整合帳戶] 屬性現在顯示為空白。
移動整合帳戶
您可以將整合帳戶移至另一個 Azure 資源群組或 Azure 訂閱。 當您移動資源時,Azure 會建立新的資源識別碼,因此請確定改用新的識別碼,並更新與移動資源相關聯的任何指令碼或工具。 如果您想要變更訂閱,您也必須指定現有的或新的資源群組。
若要執行這項工作,您可以遵循本節中的步驟使用 Azure 入口網站,或者使用 Azure CLI。
在 Azure 入口網站的搜尋方塊中,輸入整合帳戶,然後選取 [整合帳戶]。
Azure 會顯示 Azure 訂閱中的所有整合帳戶。
在 [整合帳戶] 底下,選取您想要移動的整合帳戶。 在整合帳戶功能表上,選取 [概觀]。
在 [概觀] 頁面上,選取 [資源群組] 或 [訂用帳戶名稱] 旁的 [變更]。
選取您也想要移動的任何相關資源。
根據您的選擇,遵循下列步驟來變更資源群組或訂閱:
資源群組:從 [資源群組] 清單中,選取目的地資源群組。 或者,若要建立不同的資源群組,請選取 [建立新的資源群組]。
訂閱:從 [訂閱] 清單中,選取目的地訂閱。 從 [資源群組] 清單中,選取目的地資源群組。 或者,若要建立不同的資源群組,請選取 [建立新的資源群組]。
若要確認已了解與移動資源相關聯的任何指令碼或工具在您使用新的資源識別碼更新之前將無法運作,請選取確認方塊,然後選取 [確定]。
完成後,請確定您使用移動資源的新資源識別碼來更新所有指令碼。
刪除整合帳戶
若要執行這項工作,您可以遵循本節中的步驟使用 Azure 入口網站,或者使用 Azure CLI 或 Azure PowerShell。
在 Azure 入口網站的搜尋方塊中輸入整合帳戶,然後選取 [整合帳戶]。
Azure 會顯示 Azure 訂閱中的所有整合帳戶。
在 [整合帳戶] 底下,選取您想要刪除的整合帳戶。 在整合帳戶功能表上,選取 [概觀]。
在 [概觀] 頁面上,按一下 [刪除]。
![螢幕擷取畫面顯示 [概觀] 窗格,其中已選取 [刪除]。](media/create-integration-account/delete-integration-account.png)
若要確認您想要刪除整合帳戶,請選取 [是]。
![螢幕擷取畫面顯示確認方塊,其中 [是] 已選取。](media/create-integration-account/confirm-delete.png)