حظر الاتصالات التي تم إنشاؤها بواسطة الموصلات في تطبيقات Azure Logic

  • مقالة
  • قراءة خلال 10 دقائق

إذا كانت مؤسستك لا تسمح بالاتصال بالموارد المقيدة أو غير المعتمدة باستخدام موصلاتها في Azure Logic Apps، فيمكنك حظر القدرة على إنشاء هذه الاتصالات واستخدامها في مهام سير عمل التطبيقات المنطقية. باستخدام Azure Policy، يمكنك تحديد وفرض النهج التي تمنع إنشاء اتصالات أو استخدامها للموصلات التي تريد حظرها. على سبيل المثال، لأسباب أمنية، قد ترغب في حظر الاتصالات بمنصات وسائط اجتماعية معينة أو خدمات وأنظمة أخرى.

يوضح هذا الموضوع كيفية إعداد نهج يحظر اتصالات معينة باستخدام مدخل Azure، ولكن يمكنك إنشاء تعريفات نهج بطرق أخرى، على سبيل المثال، من خلال قوالب Azure REST API وAzure PowerShell وAzure CLI وAzure Resource Manager. لمزيدٍ من المعلومات، راجع البرنامج التعليمي: إنشاء نُهج فرض التوافق وإدارتها.

المتطلبات الأساسية

البحث عن معرف مرجع الموصل

إذا كان لديك بالفعل تطبيق منطقي مع الاتصال الذي تريد حظره، فاتبع الخطوات الخاصة بمدخل Azure. وإلا، اتبع الخطوات التالية:

  1. تفضل بزيارة قائمة موصلات التطبيقات المنطقية.

  2. ابحث عن الصفحة المرجعية للموصل الذي تريد حظره.

    على سبيل المثال، إذا كنت تريد حظر موصل Instagram، الذي تم إهماله، فانتقل إلى هذه الصفحة:

    https://docs.microsoft.com/connectors/instagram/

  3. من عنوان URL للصفحة، انسخ المعرف المرجعي للموصل واحفظه في النهاية بدون الشرطة المائلة للأمام (/)، على سبيل المثال، instagram.

    في وقت لاحق، عند إنشاء تعريف النهج الخاص بك، يمكنك استخدام هذا المعرف في عبارة شرط التعريف، على سبيل المثال:

    "like": "*managedApis/instagram"

مدخل Azure

  1. في مدخل Azure، ابحث عن تطبيق المنطق وافتحه.

  2. في قائمة التطبيق المنطقي، حدد طريقة عرض رمز تطبيق Logic بحيث يمكنك عرض تعريف JSON الخاص بالتطبيق المنطقي.

    Open

  3. ابحث عن الكائن parameters الذي يحتوي على $connections الكائن، والذي يتضمن {connection-name} كائنا لكل اتصال في تطبيق المنطق ويحدد معلومات حول هذا الاتصال:

    {
   "parameters": {
      "$connections": {
         "value" : {
            "{connection-name}": {
               "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
               "connectionName": "{connection-name}",
               "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"
            }
         }
      }
   }
}

    على سبيل المثال ، بالنسبة لموصل Instagram ، ابحث عن الكائن instagram الذي يحدد اتصال Instagram:

    {
   "parameters": {
      "$connections": {
         "value" : {
            "instagram": {
               "connectionId": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Web/connections/instagram",
               "connectionName": "instagram",
               "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"
            }
         }
      }
   }
}

  4. بالنسبة للاتصال الذي تريد حظره، ابحث عن id الخاصية والقيمة، التي تتبع هذا التنسيق:

    "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

    على سبيل المثال، إليك id الخاصية والقيمة لاتصال Instagram:

    "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

  5. id من قيمة الخاصية، انسخ معرف مرجع الموصل واحفظه في النهاية، على سبيل المثال، instagram.

    في وقت لاحق، عند إنشاء تعريف النهج الخاص بك، يمكنك استخدام هذا المعرف في عبارة شرط التعريف، على سبيل المثال:

    "like": "*managedApis/instagram"

إنشاء نهج لحظر إنشاء اتصالات

لحظر إنشاء اتصال تماما في تطبيق منطقي، اتبع الخطوات التالية:

  1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩. في مربع البحث في البوابة الإلكترونية، أدخل policy، وحدد نهج.

    In Azure portal, find and select

  2. من القائمة نهج، ضمن التأليف، حدد تعريفات>+ تعريف نهج.

    Select

  3. ضمن تعريف السياسة، قدم المعلومات الخاصة بتعريف النهج الخاص بك، استنادا إلى الخصائص الموضحة تحت المثال:

    Screenshot that shows the

    الخاصية مطلوب القيمة الوصف
    تعريف الموقع نعم <"Azure-subscription-name"> اشتراك Azure المطلوب استخدامه لتعريف النهج

    1. للعثور على اشتراكك، حدد زر علامات الحذف (...).
    2. من قائمة الاشتراك ، ابحث عن اشتراكك وحدده.
    3. عند الانتهاء، حدد تحديد.
    الاسم نعم <السياسة-التعريف-الاسم> الاسم المطلوب استخدامه لتعريف النهج
    الوصف لا <السياسة-التعريف-الاسم> وصف لتعريف السياسة
    الفئة نعم التطبيقات المنطقية اسم فئة موجودة أو فئة جديدة لتعريف النهج
    إنفاذ النُهج نعم ⁩ممكَن⁧ يحدد هذا الإعداد ما إذا كنت تريد تمكين تعريف النهج أو تعطيله عند حفظ عملك.

  4. ضمن قاعدة السياسة، يتم تعبئة مربع تحرير JSON مسبقا بقالب تعريف نهج. استبدل هذا القالب بتعريف النهج استنادا إلى الخصائص الموضحة في الجدول أدناه وباتباع بناء الجملة هذا:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    الخاصية القيمة الوصف
    mode All الوضع الذي يحدد أنواع الموارد التي يقوم النهج بتقييمها.

    يتم تعيين mode هذا السيناريو إلى All، الذي يطبق النهج على مجموعات موارد Azure والاشتراكات وجميع أنواع الموارد.

    لمزيد من المعلومات، راجع بنية تعريف النهج - الوضع.
    if {condition-to-evaluate} الشرط الذي يحدد وقت فرض قاعدة النهج

    في هذا السيناريو، يحدد ما إذا كانت القيمة في Microsoft.Web/connections/api.id التطابقات api.id على *managedApis/{connector-name}، {condition-to-evaluate} والذي يحدد قيمة حرف بدل (*).

    لمزيد من المعلومات، راجع بنية تعريف النهج - قاعدة السياسة.
    field Microsoft.Web/connections/api.id القيمة التي يجب field مقارنتها بالشرط

    في هذا السيناريو، يستخدم الاسم المستعار، ، للوصول إلى القيمة في الخاصية الموصل، Microsoft.Web/connections/api.idfieldapi.id.
    like *managedApis/{connector-name} عامل التشغيل المنطقي والقيمة التي يجب استخدامها لمقارنة field القيمة

    في هذا السيناريو، like يتأكد كل من عامل التشغيل وحرف البدل (*) من أن القاعدة تعمل بغض النظر عن المنطقة، والسلسلة، *managedApis/{connector-name}هي القيمة التي يجب مطابقتها حيث {connector-name} يوجد معرف الموصل الذي تريد حظره.

    على سبيل المثال، افترض أنك تريد حظر إنشاء اتصالات بمنصات التواصل الاجتماعي أو قواعد البيانات:

    - تويتر: twitter
    - انستغرام: instagram
    - فيسبوك: facebook
    - Pinterest:pinterest
    - SQL Server أو SQL Azure:sql

    للعثور على معرفات الموصل هذه، راجع البحث عن معرف مرجع الموصل في وقت سابق من هذا الموضوع.
    then {effect-to-apply} التأثير الواجب تطبيقه عند استيفاء الشرط if

    في هذا السيناريو، {effect-to-apply} هو حظر وفشل طلب أو عملية لا تتوافق مع السياسة.

    لمزيد من المعلومات، راجع بنية تعريف النهج - قاعدة السياسة.
    effect deny هو effect حظر الطلب ، وهو إنشاء الاتصال المحدد

    لمزيد من المعلومات، راجع فهم تأثيرات نهج Azure - رفض.

    على سبيل المثال، افترض أنك تريد حظر إنشاء اتصالات مع موصل Instagram. فيما يلي تعريف السياسة الذي يمكنك استخدامه:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    فيما يلي الطريقة التي يظهر بها مربع قاعدة السياسة:

    Screenshot that shows the

    بالنسبة إلى الموصلات المتعددة، يمكنك إضافة المزيد من الشروط، على سبيل المثال:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/instagram"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/twitter"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. عند الانتهاء، حدد حفظ. بعد حفظ تعريف النهج، يقوم Azure Policy بإنشاء وإضافة المزيد من قيم الخصائص إلى تعريف النهج.

  6. بعد ذلك، لتعيين تعريف النهج حيث تريد فرض السياسة، قم بإنشاء تعيين نهج.

لمزيد من المعلومات حول تعريفات نهج Azure، راجع هذه المواضيع:

إنشاء سياسة لحظر استخدام الاتصالات

عند إنشاء اتصال داخل تطبيق منطقي، يكون هذا الاتصال موجودا كمورد Azure منفصل. إذا قمت بحذف تطبيق المنطق فقط، فلن يتم حذف الاتصال تلقائيا ويستمر وجوده حتى يتم حذفه. قد يكون لديك سيناريو حيث الاتصال موجود بالفعل أو حيث يجب عليك إنشاء الاتصال للاستخدام خارج تطبيق منطقي. لا يزال بإمكانك حظر القدرة على استخدام اتصال موجود في تطبيق منطقي عن طريق إنشاء نهج يمنع حفظ التطبيقات المنطقية التي تحتوي على اتصال مقيد أو غير معتمد.

  1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩. في مربع البحث في البوابة الإلكترونية، أدخل policy، وحدد نهج.

    In Azure portal, find and select

  2. من القائمة نهج، ضمن التأليف، حدد تعريفات>+ تعريف نهج.

    Select

  3. ضمن تعريف السياسة، قدم المعلومات الخاصة بتعريف السياسة، استنادا إلى الخصائص الموضحة في المثال ويستمر باستخدام Instagram كمثال:

    Policy definition properties

    الخاصية مطلوب القيمة الوصف
    تعريف الموقع نعم <"Azure-subscription-name"> اشتراك Azure المطلوب استخدامه لتعريف النهج

    1. للعثور على اشتراكك، حدد زر علامات الحذف (...).
    2. من قائمة الاشتراك ، ابحث عن اشتراكك وحدده.
    3. عند الانتهاء، حدد تحديد.
    الاسم نعم <السياسة-التعريف-الاسم> الاسم المطلوب استخدامه لتعريف النهج
    الوصف لا <السياسة-التعريف-الاسم> وصف لتعريف السياسة
    الفئة نعم التطبيقات المنطقية اسم فئة موجودة أو فئة جديدة لتعريف النهج
    إنفاذ النُهج نعم ⁩ممكَن⁧ يحدد هذا الإعداد ما إذا كنت تريد تمكين تعريف النهج أو تعطيله عند حفظ عملك.

  4. ضمن قاعدة السياسة، يتم تعبئة مربع تحرير JSON مسبقا بقالب تعريف نهج. استبدل هذا القالب بتعريف النهج استنادا إلى الخصائص الموضحة في الجدول أدناه وباتباع بناء الجملة هذا:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    الخاصية القيمة الوصف
    mode All الوضع الذي يحدد أنواع الموارد التي يقوم النهج بتقييمها.

    يتم تعيين mode هذا السيناريو إلى All، الذي يطبق النهج على مجموعات موارد Azure والاشتراكات وجميع أنواع الموارد.

    لمزيد من المعلومات، راجع بنية تعريف النهج - الوضع.
    if {condition-to-evaluate} الشرط الذي يحدد وقت فرض قاعدة النهج

    في هذا السيناريو، يحدد ما إذا كان إخراج السلسلة من [string(field('Microsoft.Logic/workflows/parameters'))]، يحتوي على السلسلة، {condition-to-evaluate}{connector-name}.

    لمزيد من المعلومات، راجع بنية تعريف النهج - قاعدة السياسة.
    value [string(field('Microsoft.Logic/workflows/parameters'))] القيمة التي يجب مقارنتها بالشرط

    في هذا السيناريو، هو إخراج سلسلة من [string(field('Microsoft.Logic/workflows/parameters'))]، value الذي يحول الكائن داخل الكائن $connectorsMicrosoft.Logic/workflows/parameters إلى سلسلة.
    contains {connector-name} عامل التشغيل المنطقي والقيمة التي يجب استخدامها للمقارنة مع الخاصية value

    في هذا السيناريو، يتأكد عامل التشغيل من أن القاعدة تعمل بغض النظر عن مكان {connector-name} ظهورها، contains حيث السلسلة، {connector-name}هي معرف الموصل الذي تريد تقييده أو حظره.

    على سبيل المثال، افترض أنك تريد الحظر باستخدام الاتصالات بمنصات التواصل الاجتماعي أو قواعد البيانات:

    - تويتر: twitter
    - انستغرام: instagram
    - فيسبوك: facebook
    - Pinterest:pinterest
    - SQL Server أو SQL Azure:sql

    للعثور على معرفات الموصل هذه، راجع البحث عن معرف مرجع الموصل في وقت سابق من هذا الموضوع.
    then {effect-to-apply} التأثير الواجب تطبيقه عند استيفاء الشرط if

    في هذا السيناريو، {effect-to-apply} هو حظر وفشل طلب أو عملية لا يتوافق مع النهج.

    لمزيد من المعلومات، راجع بنية تعريف النهج - قاعدة السياسة.
    effect deny هو effect أو deny حظر طلب حفظ تطبيق منطقي يستخدم الاتصال المحدد

    لمزيد من المعلومات، راجع فهم تأثيرات نهج Azure - رفض.

    على سبيل المثال، افترض أنك تريد حظر حفظ التطبيقات المنطقية التي تستخدم اتصالات Instagram. فيما يلي تعريف السياسة الذي يمكنك استخدامه:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    فيما يلي الطريقة التي يظهر بها مربع قاعدة السياسة:

    Rule for policy definition

  5. عند الانتهاء، حدد حفظ. بعد حفظ تعريف النهج، يقوم Azure Policy بإنشاء وإضافة المزيد من قيم الخصائص إلى تعريف النهج.

  6. بعد ذلك، لتعيين تعريف النهج حيث تريد فرض السياسة، قم بإنشاء تعيين نهج.

لمزيد من المعلومات حول تعريفات نهج Azure، راجع هذه المواضيع:

إنشاء تعيين نهج

بعد ذلك، تحتاج إلى تعيين تعريف النهج حيث تريد فرض السياسة، على سبيل المثال، إلى مجموعة موارد واحدة أو مجموعات موارد متعددة أو مستأجر Azure Active Directory (Azure AD) أو اشتراك Azure. لهذه المهمة، اتبع الخطوات التالية لإنشاء تعيين نهج:

  1. إذا قمت بتسجيل الخروج، فقم بتسجيل الدخول مرة أخرى إلى مدخل Azure. في مربع البحث في البوابة الإلكترونية، أدخل policy، وحدد نهج.

    In Azure portal, find and select

  2. من القائمة نهج، ضمن التأليف، حدد نهج تعيينات>المهام.

    Select

  3. ضمن الأساسيات، قم بتوفير هذه المعلومات لتعيين النهج:

    الخاصية مطلوب الوصف
    النطاق نعم الموارد التي تريد فرض تعيين النهج فيها.

    1. بجانب مربع النطاق ، حدد زر علامات الحذف (...).
    2. من قائمة الاشتراك ، حدد اشتراك Azure.
    3. اختياريا، من قائمة مجموعة الموارد، حدد مجموعة الموارد .
    4. عند الانتهاء، حدد تحديد.
    الاستثناءات لا أي موارد Azure لاستبعادها من تعيين النهج.

    1. بجوار مربع الاستثناءات ، حدد زر علامات الحذف (...).
    2. من قائمة الموارد ، حدد المورد >إضافة إلى النطاق المحدد.
    3. عند الانتهاء، حدد حفظ.
    تعريف النهج نعم اسم تعريف النهج الذي تريد تعيينه وفرضه. يستمر هذا المثال مع مثال سياسة Instagram ، "حظر اتصالات Instagram".

    1. بجوار مربع تعريف السياسة ، حدد زر علامات الحذف (...).
    2. ابحث عن تعريف السياسة وحدده باستخدام عامل تصفية النوع أو مربع البحث .
    3. عند الانتهاء، حدد تحديد.
    اسم التعيين نعم الاسم المطلوب استخدامه لتعيين النهج، إذا كان مختلفا عن تعريف النهج
    معرف المهمة نعم المعرف الذي يتم إنشاؤه تلقائيا لتعيين النهج
    الوصف لا وصف لتعيين النهج
    إنفاذ النُهج نعم الإعداد الذي يمكن تعيين النهج أو يعطله
    التعيين بواسطة لا اسم الشخص الذي أنشأ تعيين النهج وطبقه

    على سبيل المثال، لتعيين النهج إلى مجموعة موارد Azure باستخدام مثال Instagram:

    Policy assignment properties

  4. عندما تنتهي، حدد "Review + create".

    بعد إنشاء سياسة، قد تضطر إلى الانتظار لمدة تصل إلى 15 دقيقة قبل أن تصبح السياسة سارية المفعول. قد يكون للتغييرات أيضا آثار تأخير مماثلة.

  5. بعد سريان مفعول السياسة، يمكنك اختبار سياستك.

لمزيد من المعلومات، راجع التشغيل السريع: إنشاء تعيين نهج لتحديد الموارد غير المتوافقة.

اختبار النهج

لتجربة سياستك، ابدأ في إنشاء اتصال باستخدام الموصل المقيد الآن في مصمم تطبيقات المنطق. متابعة لمثال Instagram ، عند تسجيل الدخول إلى Instagram ، تظهر لك هذا الخطأ المتمثل في فشل تطبيقك المنطقي في إنشاء الاتصال:

Connection failure due to applied policy

تتضمن الرسالة هذه المعلومات:

الوصف المحتوى
سبب الفشل "Resource 'instagram' was disallowed by policy."
اسم التعيين "Block Instagram connections"
معرف المهمة "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
معرف تعريف السياسة "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/b5ddcfec-1b24-4cac-a353-360846a59f24"

الخطوات التالية