Ověřování přístupu k prostředkům Azure pomocí spravovaných identit v Azure Logic Apps

  • Článek
  • 25 min ke čtení

Některé triggery aakce v pracovních postupech aplikací logiky podporují ověřování připojení k prostředkům chráněným službou Azure Active Directory (Azure AD) pomocí spravované identity, dříve označované jako identita spravované služby (MSI). Pokud má prostředek aplikace logiky povolenou spravovanou identitu, nemusíte za poskytovat přihlašovací údaje, tajné kódy ani tokeny Azure AD. Azure tuto identitu spravuje a pomáhá zabezpečit ověřovací informace, protože tyto citlivé informace nemusíte spravovat.

Azure Logic Apps podporuje spravovanou identitu přiřazenou systémem,kterou můžete použít pouze s jedním zdrojem aplikace logiky, a spravovanou identitu přiřazenou uživatelem,kterou můžete sdílet napříč skupinou prostředků aplikace logiky podle toho, kde se spustí pracovní postupy vaší aplikace logiky.

Typ prostředku aplikace logiky Prostředí Description
Využití – Více tenantů Azure Logic Apps

– Prostředí integrační služby (ISE)

 Identitu přiřazenou systémem nebo jednu identitu přiřazenou uživatelem můžete povolit a používat na úrovni prostředku a připojení aplikace logiky.
Standard – Jedno tenantské Azure Logic Apps

– App Service Environment v3 (ASEv3)

– Azure Arc povolené Logic Apps

 V současné době můžete použít pouze identitu přiřazenou systémem, která se automaticky povolí. Identita přiřazená uživatelem je momentálně nedostupná.

Další informace o omezeních spravované identity v Azure Logic Apps najdete v části Omezení spravovaných identit pro aplikace logiky. Další informace o typech prostředků a prostředích aplikací logiky Consumption a Standard najdete v následující dokumentaci:

Kde můžete použít spravovanou identitu

Spravovanou identitu mohou k ověřování používat jenom konkrétní operace integrovaného a spravovaného konektoru, které podporují otevřené ověřování Azure AD (Azure AD OAuth). Následující tabulka obsahuje pouze ukázkový výběr. Úplnější seznam najdete v typech ověřování u triggerů a akcí, které podporují ověřování, a služeb Azure, které podporují ověřování Azure AD pomocí spravovaných identit.

Následující tabulka uvádí operace, ve kterých můžete použít spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem v typu prostředku Aplikace logiky (Consumption):

Typ operace Podporované operace
Integrované – Azure API Management
– Azure App Services
– Azure Functions
- HTTP
- HTTP + webhook

Poznámka: Operace HTTP mohou ověřovat připojení Azure Storage účty za branami firewall Azure pomocí identity přiřazené systémem. Nepodporují ale spravovanou identitu přiřazenou uživatelem pro ověřování stejných připojení.
Spravovaný konektor (Preview) Jedno ověření:
– Azure Automation
– Azure Event Grid
– Azure Key Vault
– Azure Resource Manager
– HTTP s Azure AD

Vícenásobné ověřování:
– Azure Blob Storage
– SQL Server

Tento článek ukazuje, jak povolit a nastavit identitu přiřazenou systémem nebo identitu přiřazenou uživatelem podle toho, jestli používáte typ prostředku Aplikace logiky (Consumption) nebo Aplikace logiky (Standard). Na rozdíl od identity přiřazené systémem, kterou nemusíte vytvářet ručně, musíte ručně vytvořit identitu přiřazenou uživatelem pro typ prostředku Aplikace logiky (Consumption). Tento článek obsahuje postup vytvoření identity přiřazené uživatelem pomocí šablony Azure Portal a Azure Resource Manager (šablona ARM). Informace Azure PowerShell, Azure CLI a Azure REST API najdete v následující dokumentaci:

Nástroj Dokumentace
Azure PowerShell Vytvoření identity přiřazené uživatelem
Azure CLI Vytvoření identity přiřazené uživatelem
Azure REST API Vytvoření identity přiřazené uživatelem

Požadavky

  • Účet a předplatné Azure. Pokud předplatné nemáte, zaregistrujte si bezplatný účet Azure. Spravovaná identita i cílový prostředek Azure, ke které potřebujete přístup, musí používat stejné předplatné Azure.

  • Pokud chcete spravované identitě poskytnout přístup k prostředku Azure, musíte k cílovému prostředku této identity přidat roli. Pokud chcete přidat role, potřebujete oprávnění správce Azure AD, která mohou přiřazovat role identitám v odpovídajícím tenantovi Azure AD.

  • Cílový prostředek Azure, ke který chcete získat přístup. V tomto prostředku přidáte roli pro spravovanou identitu, která pomůže prostředku aplikace logiky nebo připojení ověřovat přístup k cílovému prostředku.

  • Prostředek aplikace logiky, ve kterém chcete použít trigger nebo akce, které podporují spravované identity.

    Typ prostředku aplikace logiky Podpora spravované identity
    Využití Identita přiřazená systémem nebo přiřazená uživatelem
    Standard Identita přiřazená systémem (automaticky povolená)

Povolení identity přiřazené systémem v Azure Portal

  1. V Azure Portalotevřete prostředek aplikace logiky.

  2. V nabídce aplikace logiky v části Nastavení vyberte Identita.

  3. V podokně Identita v části Přiřazený systémem vyberte Při > uložení. Když vás Azure vyzve k potvrzení, vyberte Ano.

    Snímek obrazovky Azure Portal s podoknem Identita aplikace logiky Consumption a kartami Přiřazený systémem a vybranou možnost On (On) a Save (Uložit).

    Poznámka

    Pokud se zobrazí chyba, že můžete mít jenom jednu spravovanou identitu, je prostředek aplikace logiky už přidružený k identitě přiřazené uživatelem. Než budete moci přidat identitu přiřazenou systémem, musíte nejprve odebrat identitu přiřazenou uživatelem z prostředku aplikace logiky.

    Prostředek aplikace logiky teď může používat identitu přiřazenou systémem, která je zaregistrovaná ve službě Azure AD a je reprezentována ID objektu.

    Snímek obrazovky znázorňující podokno Identita aplikace logiky Consumption s ID objektu pro identitu přiřazenou systémem

    Vlastnost Hodnota Popis
    ID objektu (objektu zabezpečení) <identita – ID prostředku> Globálně jedinečný identifikátor (GUID), který představuje identitu přiřazenou systémem pro vaši aplikaci logiky v tenantovi Azure AD.

  4. Teď postupujte podle kroků, které této identitě umožní přístup k prostředku dále v tomto tématu.

Povolení identity přiřazené systémem v šabloně ARM

K automatizaci vytváření a nasazování prostředků Azure, jako jsou aplikace logiky, můžete použít šablonu ARM. Pokud chcete v šabloně povolit spravovanou identitu přiřazenou systémem pro prostředek aplikace logiky, přidejte objekt a vlastnost child do definice prostředku aplikace logiky identity type v šabloně, například:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Když Azure vytvoří definici prostředku aplikace logiky, identity získá objekt tyto další vlastnosti:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Vlastnost (JSON) Hodnota Popis
principalId <ID objektu zabezpečení> Globálně jedinečný identifikátor (GUID) instančního objektu pro spravovanou identitu, která představuje vaši aplikaci logiky v tenantovi Azure AD. Tento identifikátor GUID se někdy zobrazuje jako ID objektu nebo objectID .
tenantId <AZURE-AD-tenant-ID> Globálně jedinečný identifikátor (GUID), který představuje tenanta Azure AD, ve kterém je teď aplikace logiky členem. V tenantovi Azure AD má objekt služby stejný název jako instance aplikace logiky.

Vytvoření identity přiřazené uživatelem v Azure Portal (pouze Consumption)

Před povolením identity přiřazené uživatelem v prostředku aplikace logiky (Consumption) musíte tuto identitu nejprve vytvořit jako samostatný prostředek Azure.

  1. Do vyhledávacího Azure Portal zadejte managed identities . Vyberte Spravované identity.

    Snímek obrazovky Azure Portal s vybranou vybranou možnost Spravované identity

  2. V podokně Spravované identity vyberte Vytvořit.

    Snímek obrazovky znázorňující podokno Spravované identity a vybranou možnost Vytvořit

  3. Zadejte informace o spravované identitě a pak vyberte Zkontrolovat a vytvořit, například:

    Snímek obrazovky s podoknem Vytvořit spravovanou identitu přiřazenou uživatelem s podrobnostmi o spravované identitě

    Vlastnost Požaduje se Hodnota Popis
    Předplatné Yes <Název předplatného Azure> Název předplatného Azure, které se má použít
    Skupina prostředků Yes <Azure-resource-group-name> Název skupiny prostředků Azure, která se má použít. Vytvořte novou skupinu nebo vyberte existující skupinu. Tento příklad vytvoří novou skupinu s názvem fabrikam-managed-identities-RG .
    Oblast Yes <Oblast Azure> Oblast Azure, do které se ukládají informace o vašem prostředku. Tento příklad používá USA – západ.
    Název Yes <user-assigned-identity-name> Název pro vaši identitu přiřazenou uživatelem. Tento příklad používá Fabrikam-user-assigned-identity.

    Po ověření informací Azure vytvoří spravovanou identitu. Teď můžete do prostředku aplikace logiky přidat identitu přiřazenou uživatelem, která může mít pouze jednu identitu přiřazenou uživatelem.

  4. V Azure Portal otevřete prostředek aplikace logiky.

  5. V nabídce aplikace logiky v části Nastavení vyberte Identita.

  6. V podokně Identita vyberte Přiřazený uživatelem > Přidat.

    Snímek obrazovky s podoknem Identita a vybranou možnost Přidat

  7. V podokně Přidat spravovanou identitu přiřazenou uživatelem postupujte takto:

    1. V seznamu Předplatné vyberte své předplatné Azure, pokud ještě není vybrané.

    2. V seznamu se všemi spravovanými identitami v tomto předplatném vyberte požadovanou identitu přiřazenou uživatelem. Pokud chcete seznam filtrovat, zadejte do vyhledávacího pole Spravované identity přiřazené uživatelem název identity nebo skupiny prostředků.

      Snímek obrazovky znázorňující vybranou identitu přiřazenou uživatelem

    3. Až budete hotovi, vyberte Přidat.

      Poznámka

      Pokud se zobrazí chyba, že můžete mít jenom jednu spravovanou identitu, vaše aplikace logiky je už přidružená k identitě přiřazené systémem. Před přidáním identity přiřazené uživatelem musíte nejprve zakázat identitu přiřazenou systémem.

    Vaše aplikace logiky je teď přidružená ke spravované identitě přiřazené uživatelem.

    Snímek obrazovky znázorňující přidružení mezi uživatelem přiřazenou identitou a prostředekem aplikace logiky

  8. Teď postupujte podle kroků, které této identitě umožní přístup k prostředku dále v tomto tématu.

Vytvoření identity přiřazené uživatelem v šabloně ARM (jenom Consumption)

K automatizaci vytváření a nasazování prostředků Azure, jako jsou aplikace logiky, můžete použít šablonu ARM,která podporuje ověřování identit přiřazených uživatelem. V oddílu šablony definice prostředku aplikace logiky vyžaduje resources tyto položky:

  • Objekt identity s type vlastností nastavenou na UserAssigned

  • Podřízený userAssignedIdentities objekt, který určuje prostředek a název přiřazený uživatelem

Tento příklad ukazuje definici prostředku aplikace logiky pro požadavek HTTP PUT a zahrnuje neparametrizovaný identity objekt. Odpověď na požadavek PUT a následná operace GET mají také tento identity objekt:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Pokud šablona obsahuje také definici prostředku spravované identity, můžete parametrizovat identity objekt . Tento příklad ukazuje, jak podřízený userAssignedIdentities objekt odkazuje na userAssignedIdentity proměnnou, kterou definujete v oddílu variables šablony. Tato proměnná odkazuje na ID prostředku pro vaši identitu přiřazenou uživatelem.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Poskytnout identitě přístup k prostředkům

Než budete moci použít spravovanou identitu vaší aplikace logiky k ověřování, musíte v prostředku Azure, kde chcete identitu použít, nastavit přístup ke své identitě pomocí řízení přístupu na základě role v Azure (Azure RBAC). Kroky v této části popisují, jak této identitě přiřadit odpovídající roli k prostředku Azure pomocí šablony Azure Portal a Azure Resource Manager (šablona ARM). Informace Azure PowerShell, Azure CLI a Azure REST API najdete v následující dokumentaci:

Nástroj Dokumentace
Azure PowerShell Přidat přiřazení role
Azure CLI Přidat přiřazení role
Azure REST API Přidat přiřazení role

Přiřazení přístupu na základě role spravované identity v Azure Portal

V prostředku Azure, kde chcete použít spravovanou identitu pro ověřování, musíte tuto identitu přiřadit k roli, která má přístup k cílovému prostředku. Další obecné informace o této úkolu najdete v přehledu přiřazení přístupu spravované identity k jinému prostředku pomocí Azure RBAC.

Poznámka

Pokud má spravovaná identita přístup k prostředku Azure ve stejném předplatném, má identita přístup pouze k příslušnému prostředku. V některých triggerech a akcích, které podporují spravované identity, ale musíte nejprve vybrat skupinu prostředků Azure, která obsahuje cílový prostředek. Pokud identita nemá přístup na úrovni skupiny prostředků, nejsou uvedené žádné prostředky v této skupině, přestože mají přístup k cílovému prostředku.

Abyste toto chování zvládli, musíte identitě také poskytnout přístup ke skupině prostředků, ne jenom k prostředku. Podobně platí, že pokud před výběrem cílového prostředku musíte vybrat předplatné, musíte identitě poskytnout přístup k předplatnému.

  1. V Azure Portalotevřete prostředek, ve kterém chcete identitu použít.

  2. V nabídce prostředku vyberte Řízení přístupu (IAM) > Přidat Přidat přiřazení > role.

    Poznámka

    Pokud je možnost Přidat přiřazení role zakázaná, nemáte oprávnění k přiřazení rolí. Další informace najdete v předdefinované roli Azure AD.

  3. Teď spravované identitě přiřaďte potřebnou roli. Na kartě Role přiřaďte roli, která vaší identitě poskytne požadovaný přístup k aktuálnímu prostředku.

    V tomto příkladu přiřaďte roli s názvem přispěvatel dat Storage objektů blob, která zahrnuje oprávnění k zápisu pro objekty blob v kontejneru Azure Storage objektů blob. Další informace o konkrétních rolích kontejnerů úložiště najdete v části Role, které mají přístup k objektům blob v Azure Storage kontejneru.

  4. Dále vyberte spravovanou identitu, ke které chcete roli přiřadit. V části Přiřadit přístup k vyberte Spravovaná > identita Přidat členy.

  5. Na základě typu spravované identity vyberte nebo zadejte následující hodnoty:

    Typ Instance služby Azure Předplatné Člen
    Přiřazený systémem Aplikace logiky <Název předplatného Azure> <your-logic-app-name>
    Přiřazený uživatelem (jenom Consumption) Neuvedeno <Název předplatného Azure> <your-user-assigned-identity-name>

    Další informace o přiřazování rolí najdete v dokumentaci k přiřazení rolí pomocí Azure Portal.

  6. Po dokončení nastavení přístupu pro identitu pak můžete pomocí identity ověřit přístup k aktivačním událostem a akcím, které podporují spravované identity.

Ověřování přístupu pomocí spravované identity

Jakmile pro prostředek aplikace logiky povolíte spravovanou identitu a dáte této identitě přístup k cílovému prostředku nebo entitě, můžete tuto identitu použít v triggerech a akcích, které podporují spravované identity.

Důležité

Pokud máte funkci Azure, ve které chcete použít identitu přiřazenou systémem, nejprve povolteověřování pro Azure Functions .

Tyto kroky ukazují, jak používat spravovanou identitu s triggerem nebo akcí prostřednictvím Azure Portal. Pokud chcete zadat spravovanou identitu v podkladové definici JSON triggeru nebo akce, prohlédněte si ověřování spravované identity.

  1. V Azure Portalotevřete prostředek aplikace logiky.

  2. Pokud jste to ještě neudělali, přidejte trigger nebo akci, která podporuje spravované identity.

    Poznámka

    Ne všechny triggery a akce podporují přidání typu ověřování. Další informace najdete v typech ověřování u triggerů a akcí, které podporují ověřování.

  3. U triggeru nebo akce, kterou jste přidali, postupujte takto:

    • Integrované operace, které podporují ověřování spravovaných identit

      1. Ze seznamu Přidat nový parametr přidejte vlastnost Authentication (Ověřování), pokud se vlastnost ještě nezobrazuje.

        Snímek obrazovky s ukázkou integrované akce s otevřeným seznamem Přidat nový parametr a vybranou možností Ověřování v consumption

      2. V seznamu Typ ověřování vyberte Spravovaná identita.

        Snímek obrazovky s ukázkou integrované akce s otevřeným seznamem Typ ověřování a vybranou možností Spravovaná identita v consumption

      Další informace najdete v části Příklad: Ověření integrované aktivační událostinebo akce pomocí spravované identity.

    • Operace spravovaného konektoru, které podporují ověřování spravovaných identit (Preview)

      1. Na stránce výběru tenanta vyberte Připojení spravovanou identitou (Preview), například:

        Snímek obrazovky Azure Resource Manager akcí a vybranou Připojení spravovanou identitou v consumption

      2. Na další stránce jako Název připojení zadejte název, který se má pro připojení použít.

      3. Jako typ ověřování vyberte v závislosti na spravovaném konektoru jednu z následujících možností:

        • Jedno ověření: Tyto konektory podporují pouze jeden typ ověřování. V seznamu Spravovaná identita vyberte aktuálně povolenou spravovanou identitu, pokud ještě není vybraná, a pak vyberte Vytvořit, například:

          Snímek obrazovky zobrazující stránku názvu připojení a jednu spravovanou identitu vybranou v consumption

        • Více ověřování: Tyto konektory podporují více než jeden typ ověřování. V seznamu Typ ověřování vyberte Logic Apps vytvořit spravovanou > identitu, například:

          Snímek obrazovky zobrazující stránku s názvem připojení Logic Apps spravovanou identitu vybranou ve spotřebě

        Další informace najdete v příkladu: Ověření triggeru spravovaného konektoru nebo akce pomocí spravované identity.

Příklad: ověření integrované aktivační události nebo akce se spravovanou identitou

Integrovaná aktivační událost HTTP nebo akce může používat identitu přiřazenou systémem, kterou jste povolili v prostředku aplikace logiky. V obecném případě Trigger nebo Action protokolu HTTP pomocí následujících vlastností určí prostředek nebo entitu, ke kterým chcete získat přístup:

Vlastnost Povinné Popis
Metoda Yes Metoda HTTP, kterou používá operace, kterou chcete spustit
Identifikátor URI Yes Adresa URL koncového bodu pro přístup k cílovému prostředku Azure nebo entitě. Syntaxe identifikátoru URI obvykle zahrnuje ID prostředku pro prostředek nebo službu Azure.
Hlavičky No Všechny hodnoty hlaviček, které potřebujete nebo chcete zahrnout do odchozího požadavku, jako je typ obsahu
Dotazy No Všechny parametry dotazů, které potřebujete nebo chcete zahrnout do žádosti, jako je například parametr konkrétní operace nebo verze rozhraní API pro operaci, kterou chcete spustit
Authentication Yes Typ ověřování, který se má použít pro ověřování přístupu k cílovému prostředku nebo entitě

jako konkrétní příklad předpokládejme, že chcete spustit operaci Snapshot Blob u objektu blob v účtu Azure Storage, kde jste předtím nastavili přístup k vaší identitě. ale konektor Azure Blob Storage v současnosti tuto operaci nenabízí. Místo toho můžete tuto operaci spustit pomocí akce http nebo jiné operace REST API služby BLOB Service.

Důležité

pokud chcete získat přístup k účtům Azure storage za brány firewall pomocí požadavků HTTP a spravovaných identit, ujistěte se, že jste také nastavili účet úložiště s výjimkou, která umožňuje přístup podle důvěryhodných služby Microsoft.

Pokud chcete spustit operaci objektu BLOB snímku, akce http určuje tyto vlastnosti:

Vlastnost Požaduje se Příklad hodnoty Description
Metoda Yes PUT Metoda HTTP, kterou používá operace objektu BLOB snímku
Identifikátor URI Yes https://<storage-account-name>/<folder-name>/{name} ID prostředku pro soubor Azure Blob Storage v globálním (veřejném) prostředí azure, které používá tuto syntaxi
Hlavičky Pro Azure Storage x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 x-ms-blob-type x-ms-version hodnoty hlaviček, a x-ms-date jsou požadovány pro operace Azure Storage.

důležité: v odchozích triggerech HTTP a požadavcích akcí pro Azure Storage hlavička vyžaduje x-ms-version vlastnost a verzi rozhraní API pro operaci, kterou chcete spustit. x-ms-dateMusí být aktuální datum. V opačném případě váš pracovní postup selže s 403 FORBIDDEN chybou. Chcete-li získat aktuální datum v požadovaném formátu, můžete použít výraz v příkladu hodnoty.

Další informace najdete v těchto tématech:

- Hlavičky žádosti – objekt BLOB snímku
- správa verzí pro služby Azure Storage services
Dotazy Pouze pro operaci objektu BLOB snímku comp = snapshot Název a hodnota parametru dotazu pro operaci.

Následující příklad ukazuje ukázkovou akci HTTP se všemi dříve popsanými hodnotami vlastností, které se mají použít pro operaci objektu BLOB snímku:

Snímek obrazovky zobrazující Azure Portal s využitím pracovního postupu aplikace logiky a akce HTTP nastavenou pro přístup k prostředku

  1. Po přidání akce HTTP přidejte do akce HTTP vlastnost ověřování . V seznamu Přidat nový parametr vyberte možnost ověřování.

    Snímek obrazovky znázorňující pracovní postup spotřeby s akcí HTTP a otevřený seznam přidat nový parametr s vybranou vlastností ověřování

    Poznámka

    Ne všechny triggery a akce podporují přidání typu ověřování. Další informace najdete v přehledu typů ověřování pro aktivační události a akce, které podporují ověřování.

  2. V seznamu typ ověřování vyberte spravovaná identita.

    Snímek obrazovky znázorňující pracovní postup spotřeby s akcí HTTP a vlastností Authentication se zvolenou hodnotou spravovaná identita

  3. Ze seznamu spravovaných identit vyberte z dostupných možností v závislosti na vašem scénáři.

    • Pokud jste nastavili identitu přiřazenou systémem, vyberte spravovanou identitu přiřazenou systémem , pokud ještě není vybraná.

      Snímek obrazovky znázorňující pracovní postup spotřeby s akcí HTTP a "spravovanou identitou" se zvolenou hodnotou "systémová přiřazená identita".

    • Pokud jste nastavili identitu přiřazenou uživatelem, vyberte tuto identitu, pokud ještě není vybraná.

      Snímek obrazovky znázorňující pracovní postup spotřeby s akcí HTTP a spravovanou identitou, která je vybrána uživatelem přiřazenou identitou.

    Tento příklad pokračuje u spravované identity přiřazené systémem.

  4. U některých triggerů a akcí se také zobrazí vlastnost cílová skupina , ve které můžete nastavit ID cílového prostředku. Nastavte vlastnost cílová skupina na ID prostředku pro cílový prostředek nebo službu. Jinak ve výchozím nastavení vlastnost cílová skupina používá https://management.azure.com/ ID prostředku, což je id prostředku pro Azure Resource Manager.

    Například pokud chcete ověřit přístup k prostředku Key Vault v globálním cloudu Azure, musíte nastavit vlastnost cílové skupiny přesně na následující ID prostředku: https://vault.azure.net . Všimněte si, že Toto ID konkrétního prostředku nemá žádná koncová lomítka. Ve skutečnosti, včetně koncového lomítka, může způsobit buď 400 Bad Request chybu, nebo 401 Unauthorized chybu.

    Důležité

    ujistěte se, že ID cílového prostředku přesně odpovídá hodnotě, kterou Azure Active Directory (AD) očekává, včetně požadovaných koncových lomítek. ID prostředku pro všechny účty Azure Blob Storage například vyžaduje koncové lomítko. ID prostředku pro konkrétní účet úložiště ale nevyžaduje koncové lomítko. Ověřte ID prostředků služeb Azure, které podporují Azure AD.

    V tomto příkladu se nastaví vlastnost cílové skupiny https://storage.azure.com/ tak, aby přístupové tokeny používané pro ověřování byly platné pro všechny účty úložiště. Pro určitý účet úložiště ale taky můžete zadat adresu URL kořenové služby https://<your-storage-account>.blob.core.windows.net .

    Snímek obrazovky znázorňující pracovní postup spotřeby s akcí HTTP a cílovou vlastností nastavenou na ID cílového prostředku

    další informace o autorizaci přístupu ke službě Azure AD pro Azure Storage najdete v následující dokumentaci:

  5. Pokračujte v sestavování pracovního postupu tak, jak chcete.

Příklad: ověření triggeru nebo akce spravovaného konektoru pomocí spravované identity

Spravovaný konektor Azure Resource Manager má akci, Přečtěte si prostředek, který může používat spravovanou identitu, kterou jste povolili v prostředku aplikace logiky. Tento příklad ukazuje, jak používat spravovanou identitu přiřazenou systémem.

  1. až přidáte akci do pracovního postupu a vyberete svého tenanta Azure AD, vyberte Připojení se spravovanou identitou (preview).

    snímek obrazovky zobrazující Azure Resource Manager akci a možnost Připojení se spravovanou identitou

  2. Na stránce název připojení zadejte název připojení a vyberte spravovanou identitu, kterou chcete použít.

    Akce Azure Resource Manager je akce s jedním ověřováním, takže v podokně informace o připojení se zobrazuje seznam spravovaných identit , který automaticky vybere spravovanou identitu, která je aktuálně povolená u prostředku Logic App. Pokud jste povolili spravovanou identitu přiřazenou systémem, vybere seznam spravovaných identit spravovanou identitu přiřazenou systémem. Pokud jste místo toho povolili spravovanou identitu přiřazenou uživatelem, seznam místo toho vybere tuto identitu.

    pokud používáte trigger nebo akci s vícenásobným ověřováním, jako je například Azure Blob Storage, v podokně informace o připojení se zobrazí seznam typ ověřování , který obsahuje možnost Logic Apps spravovanou identitu mezi ostatními typy ověřování.

    V tomto příkladu je k dispozici pouze možnost spravovaná identita přiřazená systémem .

    Snímek obrazovky zobrazující Azure Resource Manager akci se zadaným názvem připojení a vybraným systémem přiřazenou spravovanou identitou

    Poznámka

    Pokud spravovaná identita není povolená, když se pokusíte vytvořit připojení, změnit připojení nebo byla odebrána, zatímco spravované připojení s povoleným identity stále existuje, zobrazí se chyba, že musíte povolit identitu a udělit přístup k cílovému prostředku.

  3. Až budete připraveni, vyberte vytvořit.

  4. Po úspěšném vytvoření připojení může Návrhář načíst všechny dynamické hodnoty, obsah nebo schéma pomocí spravovaného ověřování identity.

  5. Pokračujte v sestavování pracovního postupu tak, jak chcete.

Definice a připojení prostředků aplikace logiky, které používají spravovanou identitu (spotřeba)

Připojení, které povoluje a používá spravovanou identitu, je speciální typ připojení, který funguje jenom se spravovanou identitou. V době běhu připojení používá spravovanou identitu, která je povolená na prostředku Logic App. v době běhu služba Azure Logic Apps kontroluje, jestli se kterákoli z triggerů a akcí spravovaného konektoru v pracovním postupu aplikace logiky nastavila tak, aby používala spravovanou identitu a jestli jsou všechna požadovaná oprávnění nastavená tak, aby používala spravovanou identitu pro přístup k cílovým prostředkům, které jsou určené triggerem a akcemi. v případě úspěchu Azure Logic Apps načte token Azure AD, který je přidružený ke spravované identitě, a používá tuto identitu k ověření přístupu k cílovému prostředku a provedení nakonfigurované operace v aktivační události a akcích.

V prostředku Aplikace logiky (spotřeba) se konfigurace připojení uloží do objektu definice prostředků aplikace logiky parameters , který obsahuje $connections odkazy na ID prostředku připojení spolu s ID prostředku identity, pokud je povolená identita přiřazená uživatelem.

Tento příklad ukazuje, jak konfigurace vypadá, když aplikace logiky povoluje spravovanou identitu přiřazenou systémem:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Tento příklad ukazuje, jak konfigurace vypadá, když aplikace logiky povoluje uživatelsky přiřazenou spravovanou identitu:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}",
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Šablona ARM pro spravovaná připojení a spravované identity (spotřeba)

Pokud automatizujete nasazení pomocí šablony ARM a pracovní postup aplikace logiky obsahuje aktivační událost spravovaného konektoru nebo akci, která používá spravovanou identitu, zkontrolujte, že definice prostředku základní připojení obsahuje parameterValueType vlastnost s Alternative hodnotou vlastnosti. V opačném případě vaše nasazení ARM nenastaví připojení pro použití spravované identity pro ověřování a připojení nebude v pracovním postupu vaší aplikace logiky fungovat. tento požadavek platí jenom pro konkrétní triggery spravovaného konektoru a akce , ve kterých jste vybrali možnost Připojení s spravovanou identitou.

Tady je například definice prostředku základní připojení pro akci Azure Automation, která používá spravovanou identitu, kde definice zahrnuje parameterValueType vlastnost, která je nastavená na Alternative hodnotu vlastnosti:

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('automationAccountApiConnectionName')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('automationAccountApiConnectionName')]",
        "parameterValueType": "Alternative"
    }
},

Zakázat spravovanou identitu

Chcete-li ukončit používání spravované identity pro ověřování, nejprve odeberte přístup identity k cílovému prostředku. Potom v prostředku aplikace logiky vypněte identitu přiřazenou systémem nebo odeberte identitu přiřazenou uživatelem.

Když zakážete spravovanou identitu na prostředku aplikace logiky, odeberete možnost této identity pro vyžádání přístupu k prostředkům Azure, kde má identita přístup.

Poznámka

Pokud zakážete identitu přiřazenou systémem, všechna připojení, která jsou používána pracovními postupy v rámci pracovního postupu aplikace logiky, nebudou fungovat za běhu, a to i v případě, že identitu okamžitě povolíte znovu. K tomuto chování dochází, protože zakázání identity odstraní ID objektu. Pokaždé, když povolíte identitu, Azure vygeneruje identitu s jiným a jedinečným ID objektu. Chcete-li tento problém vyřešit, je nutné znovu vytvořit připojení, aby pro aktuální identitu přiřazenou systémem používala aktuální ID objektu.

Snažte se vyhnout zakazování identity přiřazené systémem co nejvíc. Pokud chcete odebrat přístup identity k prostředkům Azure, odeberte přiřazení role identity z cílového prostředku. Pokud odstraníte prostředek aplikace logiky, Azure automaticky odebere spravovanou identitu ze služby Azure AD.

Kroky v této části se týkají použití šablony Azure Portal a Azure Resource Manager (šablona ARM). Azure PowerShell, azure CLI a azure REST API, přečtěte si následující dokumentaci:

Nástroj Dokumentace
Azure PowerShell 1. odeberte přiřazení role.
2. odstraňte identitu přiřazenou uživatelem.
Azure CLI 1. odeberte přiřazení role.
2. odstraňte identitu přiřazenou uživatelem.
Azure REST API 1. odeberte přiřazení role.
2. odstraňte identitu přiřazenou uživatelem.

Zakázat spravovanou identitu v Azure Portal

Pokud chcete odebrat přístup pro spravovanou identitu, odeberte přiřazení role identity z cílového prostředku a pak zakažte spravovanou identitu.

Odebrat přiřazení role

Následující kroky odeberou přístup k cílovému zdroji ze spravované identity:

  1. V Azure Portalpřejděte do cílového prostředku Azure, ve kterém chcete odebrat přístup pro spravovanou identitu.

  2. V nabídce cílového prostředku vyberte řízení přístupu (IAM). Na panelu nástrojů vyberte přiřazení rolí.

  3. V seznamu role vyberte spravované identity, které chcete odebrat. Na panelu nástrojů vyberte Odebrat.

    Tip

    Pokud je možnost Odebrat zakázaná, pravděpodobně nemáte oprávnění. Další informace o oprávněních, která umožňují spravovat role pro prostředky, najdete v části oprávnění role správce v Azure Active Directory.

Zakázat spravovanou identitu pro prostředek aplikace logiky

  1. V Azure Portalotevřete prostředek aplikace logiky.

  2. V navigační nabídce aplikace logiky v Nastavení vyberte Identita a pak postupujte podle pokynů pro vaši identitu:

    • Při uložení vyberte > Přiřazený > systém. Když vás Azure vyzve k potvrzení, vyberte Ano.

    • Vyberte Přiřazený uživatelem a spravovaná identita a pak vyberte Odebrat. Když vás Azure vyzve k potvrzení, vyberte Ano.

Zakázání spravované identity v šabloně ARM

Pokud jste vytvořili spravovanou identitu aplikace logiky pomocí šablony ARM, nastavte vlastnost podřízeného identity type objektu na None .

"identity": {
   "type": "None"
}

Další kroky