Zabezpečený přístup a data v Azure Logic AppsSecure access and data in Azure Logic Apps

K řízení přístupu a ochraně dat v Azure Logic Apps můžete nastavit zabezpečení v těchto oblastech:To control access and protect data in Azure Logic Apps, you can set up security in these areas:

Přístup k aktivačním událostem založeným na žádostechAccess to request-based triggers

Pokud vaše aplikace logiky používá Trigger založený na požadavku, který přijímá příchozí volání nebo požadavky, jako je požadavek nebo Trigger Webhooku , můžete omezit přístup tak, aby vaše aplikace logiky mohli volat jenom autorizovaní klienti.If your logic app uses a request-based trigger, which receives incoming calls or requests, such as the Request or Webhook trigger, you can limit access so that only authorized clients can call your logic app. Všechny požadavky přijaté aplikací logiky jsou šifrované a zabezpečené pomocí protokolu SSL (Secure Sockets Layer) (SSL).All requests received by a logic app are encrypted and secured with Secure Sockets Layer (SSL) protocol.

Tady jsou způsoby, kterými můžete zabezpečit přístup k tomuto typu triggeru:Here are the ways that you can secure access to this trigger type:

Generování sdílených přístupových podpisů (SAS)Generate shared access signatures (SAS)

Každý koncový bod žádosti v aplikaci logiky má sdílený přístupový podpis (SAS) v adrese URL koncového bodu, který se skládá z tohoto formátu:Every request endpoint on a logic app has a Shared Access Signature (SAS) in the endpoint's URL, which follows this format:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Každá adresa URL obsahuje parametr dotazu sp, sva sig, jak je popsáno v této tabulce:Each URL contains the sp, sv, and sig query parameter as described in this table:

Parametr dotazuQuery parameter PopisDescription
sp Určuje oprávnění povolených metod HTTP, které se mají použít.Specifies permissions for the permitted HTTP methods to use.
sv Určuje verzi SAS, která se má použít pro generování podpisu.Specifies the SAS version to use for generating the signature.
sig Určuje podpis, který se má použít pro ověřování přístupu k triggeru.Specifies the signature to use for authenticating access to the trigger. Tento podpis se vygeneruje pomocí algoritmu SHA256 s tajným přístupovým klíčem na všech cestách a vlastnostech adresy URL.This signature is generated by using the SHA256 algorithm with a secret access key on all the URL paths and properties. Tento klíč zůstane zašifrovaný a uložený v aplikaci logiky, který není přístupný nebo publikovaný.Never exposed or published, this key is kept encrypted and stored with the logic app. Vaše aplikace logiky autorizuje jenom ty triggery, které obsahují platný podpis vytvořený s tajným klíčem.Your logic app authorizes only those triggers that contain a valid signature created with the secret key.

Další informace o zabezpečení přístupu pomocí SAS najdete v těchto oddílech v tomto tématu:For more information about securing access with SAS, see these sections in this topic:

Znovu vygenerovat přístupové klíčeRegenerate access keys

Pokud chcete vygenerovat nový klíč zabezpečeného přístupu, použijte Azure REST API nebo Azure Portal.To generate a new secure access key at any time, use the Azure REST API or Azure portal. Všechny dříve generované adresy URL, které používají starý klíč, jsou neověřené a už nebudou mít autorizaci k aktivaci aplikace logiky.All previously generated URLs that use the old key are invalidated and no longer have authorization to trigger the logic app. Adresy URL, které načtete po obnovení, se podepisují pomocí nového přístupového klíče.The URLs that you retrieve after regeneration are signed with the new access key.

  1. V Azure Portalotevřete aplikaci logiky, která má klíč, který chcete znovu vygenerovat.In the Azure portal, open the logic app that has the key you want to regenerate.

  2. V nabídce aplikace logiky v části Nastavenívyberte přístupové klíče.On the logic app's menu, under Settings, select Access Keys.

  3. Vyberte klíč, který chcete znovu vygenerovat a dokončit proces.Select the key that you want to regenerate and finish the process.

Vytvoření adres URL zpětného volání pro vypršení platnostiCreate expiring callback URLs

Pokud sdílíte adresu URL koncového bodu pro aktivační událost na základě požadavku s ostatními stranami, můžete vygenerovat adresy URL zpětného volání, které používají konkrétní klíče a mají datum vypršení platnosti.If you share the endpoint URL for a request-based trigger with other parties, you can generate callback URLs that use specific keys and have expiration dates. Tímto způsobem můžete plynule vrátit klíče nebo omezit přístup k aktivaci aplikace logiky na základě konkrétního časového rozmezí.That way, you can seamlessly roll keys or restrict access to triggering your logic app based on a specific timespan. Chcete-li zadat datum vypršení platnosti adresy URL, použijte Logic Apps REST API, například:To specify an expiration date for a URL, use the Logic Apps REST API, for example:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

V těle zahrňte vlastnost NotAfterpomocí řetězce data JSON.In the body, include the NotAfterproperty by using a JSON date string. Tato vlastnost vrátí adresu URL zpětného volání, která je platná pouze do NotAfter datum a čas.This property returns a callback URL that's valid only until the NotAfter date and time.

Vytváření adres URL s primárním nebo sekundárním tajným klíčemCreate URLs with primary or secondary secret key

Když vygenerujete nebo vypíšete adresy URL zpětného volání pro aktivační událost na základě požadavku, můžete zadat klíč, který se má použít k podepsání adresy URL.When you generate or list callback URLs for a request-based trigger, you can specify the key to use for signing the URL. Chcete-li vygenerovat adresu URL, která je podepsána určitým klíčem, použijte Logic Apps REST API, například:To generate a URL that's signed by a specific key, use the Logic Apps REST API, for example:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

V těle zahrňte vlastnost KeyType buď jako Primary nebo Secondary.In the body, include the KeyType property as either Primary or Secondary. Tato vlastnost vrátí adresu URL, která je podepsána zadaným zabezpečeným klíčem.This property returns a URL that's signed by the specified secure key.

Omezit příchozí IP adresyRestrict inbound IP addresses

Spolu se sdíleným přístupovým podpisem (SAS) můžete chtít konkrétně omezit klienty, kteří můžou zavolat aplikaci logiky.Along with Shared Access Signature (SAS), you might want to specifically limit the clients that can call your logic app. Pokud například spravujete koncový bod žádosti pomocí Azure API Management, můžete aplikaci logiky omezit tak, aby přijímala požadavky pouze z IP adresy pro instanci API Management.For example, if you manage your request endpoint by using Azure API Management, you can restrict your logic app to accept requests only from the IP address for the API Management instance.

Omezit rozsahy příchozích IP adres v Azure PortalRestrict inbound IP ranges in Azure portal

  1. V Azure Portalotevřete aplikaci logiky v návrháři aplikace logiky.In the Azure portal, open your logic app in the Logic App Designer.

  2. V nabídce aplikace logiky v části Nastavenívyberte Nastavení pracovního postupu.On your logic app's menu, under Settings, select Workflow settings.

  3. V části Konfigurace řízení přístupu > povoleny příchozí IP adresyvyberte konkrétní rozsahy IPadres.Under Access control configuration > Allowed inbound IP addresses, select Specific IP ranges.

  4. V části rozsahy IP pro aktivační událostizadejte rozsahy IP adres, které aktivační událost akceptuje.Under IP ranges for triggers, specify the IP address ranges that the trigger accepts.

    Platný rozsah IP adres používá tyto formáty: x. x. x. x/x nebo x. x. x. x-x. x. x. x.A valid IP range uses these formats: x.x.x.x/x or x.x.x.x-x.x.x.x

Pokud chcete, aby se aplikace logiky spouštěla jenom jako vnořená aplikace logiky, vyberte ze seznamu povolené IP adresy jenom další Logic Apps.If you want your logic app to trigger only as a nested logic app, from the Allowed inbound IP addresses list, select Only other Logic Apps. Tato možnost zapíše prázdné pole do prostředku aplikace logiky.This option writes an empty array to your logic app resource. Tímto způsobem mohou spustit vnořenou aplikaci logiky pouze volání ze služby Logic Apps (nadřazené aplikace logiky).That way, only calls from the Logic Apps service (parent logic apps) can trigger the nested logic app.

Poznámka

Bez ohledu na IP adresu můžete přesto spustit aplikaci logiky, která má aktivační událost na základě požadavků, a to pomocí /triggers/<trigger-name>/run prostřednictvím Azure REST API nebo prostřednictvím API Management.Regardless of IP address, you can still run a logic app that has a request-based trigger by using /triggers/<trigger-name>/run through the Azure REST API or through API Management. Tento scénář ale pořád vyžaduje ověřování proti REST API Azure.However, this scenario still requires authentication against the Azure REST API. Všechny události se zobrazí v protokolu auditu Azure.All events appear in the Azure Audit Log. Ujistěte se, že jste nastavili zásady řízení přístupu odpovídajícím způsobem.Make sure that you set access control policies accordingly.

Omezení rozsahů příchozích IP adres v šabloně Azure Resource ManagerRestrict inbound IP ranges in Azure Resource Manager template

Pokud automatizujete nasazení Logic Apps pomocí Správce prostředků šablon, můžete rozsahy IP adres zadat pomocí accessControl oddílu triggers v definici prostředků vaší aplikace logiky, například:If you automate deployment for logic apps by using Resource Manager templates, you can specify the IP ranges by using the accessControl section with the triggers section in your logic app's resource definition, for example:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {<workflow-definition>},
            "parameters": {},
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     },
                     {
                        "addressRange": "2001:0db8::/64"
                     }
                  ]
               }
            }
         }
      }
   ],
   "outputs": {}
}

Přidat Azure Active Directory OAuth nebo jiné zabezpečeníAdd Azure Active Directory OAuth or other security

K přidání dalších autorizačních protokolů do aplikace logiky zvažte použití služby Azure API Management .To add more authorization protocols to your logic app, consider using the Azure API Management service. Tato služba vám pomůže vystavit aplikaci logiky jako rozhraní API a nabízí rozšířené monitorování, zabezpečení, zásady a dokumentaci pro libovolný koncový bod.This service helps you expose your logic app as an API and offers rich monitoring, security, policy, and documentation for any endpoint. API Management může vystavit veřejný nebo privátní koncový bod pro vaši aplikaci logiky.API Management can expose a public or private endpoint for your logic app. K autorizaci přístupu k tomuto koncovému bodu můžete použít Azure Active Directory OAuth, klientský certifikátnebo jiné standardy zabezpečení pro autorizaci přístupu k tomuto koncovému bodu.To authorize access to this endpoint, you can use Azure Active Directory OAuth, client certificate, or other security standards for authorizing access to that endpoint. Když API Management obdrží požadavek, služba pošle požadavek do vaší aplikace logiky, což také vede k potřebným transformacím nebo omezením na cestě.When API Management receives a request, the service sends the request to your logic app, also making any necessary transformations or restrictions along the way. Pokud chcete povolit jenom API Management aktivovat aplikaci logiky, můžete použít nastavení příchozího rozsahu IP adres vaší aplikace logiky.To let only API Management trigger your logic app, you can use your logic app's inbound IP range settings.

Přístup k operacím aplikace logikyAccess to logic app operations

Můžete povolit pouze konkrétní uživatele nebo skupiny, aby mohli spouštět konkrétní úkoly, jako je správa, úpravy a zobrazení Logic Apps.You can permit only specific users or groups to run specific tasks, such as managing, editing, and viewing logic apps. K řízení jejich oprávnění použijte Access Control na základě rolí Azure (RBAC) , abyste členům v předplatném Azure mohli přiřadit přizpůsobené nebo předdefinované role:To control their permissions, use Azure Role-Based Access Control (RBAC) so that you can assign customized or built-in roles to the members in your Azure subscription:

Pokud chcete ostatním uživatelům zabránit ve změně nebo odstranění vaší aplikace logiky, můžete použít Azure Resource Lock.To prevent others from changing or deleting your logic app, you can use Azure Resource Lock. Tato možnost zabraňuje ostatním změnám a odstraňování produkčních prostředků.This capability prevents others from changing or deleting production resources.

Přístup k datům historie spouštěníAccess to run history data

Během provádění aplikace logiky se všechna data šifrují během přenosu pomocí protokolu TLS (Transport Layer Security) a v klidovémstavu.During a logic app run, all the data is encrypted during transit by using Transport Layer Security (TLS) and at rest. Až se vaše aplikace logiky dokončí, můžete zobrazit historii pro toto spuštění, včetně kroků, které byly spuštěny spolu se stavem, dobou trvání, vstupy a výstupy pro každou akci.When your logic app finishes running, you can view the history for that run, including the steps that ran along with the status, duration, inputs, and outputs for each action. Tato bohatá podrobnosti poskytuje přehled o tom, jak vaše aplikace logiky běžela a kde můžete začít řešit problémy, ke kterým dojde.This rich detail provides insight into how your logic app ran and where you might start troubleshooting any problems that arise.

Když si zobrazíte historii spuštění vaší aplikace logiky, Logic Apps ověří váš přístup a pak poskytuje odkazy na vstupy a výstupy pro žádosti a odpovědi pro každé spuštění.When you view your logic app's run history, Logic Apps authenticates your access and then provides links to the inputs and outputs for the requests and responses for each run. U akcí, které zpracovávají všechna hesla, tajné klíče, klíče nebo jiné citlivé informace, ale chcete ostatním uživatelům zabránit v prohlížení těchto dat a přístupu k nim.However, for actions that handle any passwords, secrets, keys, or other sensitive information, you want to prevent others from viewing and accessing that data. Například pokud vaše aplikace logiky získá tajný kód z Azure Key Vault , který se má použít při ověřování akce HTTP, chcete tento tajný klíč skrýt ze zobrazení.For example, if your logic app gets a secret from Azure Key Vault to use when authenticating an HTTP action, you want to hide that secret from view.

K řízení přístupu k vstupům a výstupům v historii spuštění aplikace logiky máte tyto možnosti:To control access to the inputs and outputs in your logic app's run history, you have these options:

Omezení přístupu podle rozsahu IP adresRestrict access by IP address range

V historii spuštění aplikace logiky můžete omezit přístup k vstupům a výstupům, aby se tato data mohla zobrazit jenom z konkrétních rozsahů IP adres.You can limit access to the inputs and outputs in your logic app's run history so that only requests from specific IP address ranges can view that data. Chcete-li například zablokovat komukoli přístup k vstupům a výstupům, zadejte rozsah IP adres, například 0.0.0.0-0.0.0.0.For example, to block anyone from accessing inputs and outputs, specify an IP address range such as 0.0.0.0-0.0.0.0. Pouze osoba s oprávněními správce může toto omezení odebrat, což umožňuje "za běhu" přístup k datům aplikace logiky.Only a person with administrator permissions can remove this restriction, which provides the possibility for "just-in-time" access to your logic app's data. Rozsahy IP adres, které se mají omezit, můžete zadat pomocí Azure Portal nebo v šabloně Azure Resource Manager, kterou používáte pro nasazení aplikace logiky.You can specify the IP ranges to restrict either by using the Azure portal or in an Azure Resource Manager template that you use for logic app deployment.

Omezení rozsahů IP adres v Azure PortalRestrict IP ranges in Azure portal

  1. V Azure Portal otevřete aplikaci logiky v návrháři aplikace logiky.In the Azure portal, open your logic app in the Logic App Designer.

  2. V nabídce aplikace logiky v části Nastavenívyberte Nastavení pracovního postupu.On your logic app's menu, under Settings, select Workflow settings.

  3. V části Konfigurace řízení přístupu > povoleny příchozí IP adresyvyberte konkrétní rozsahy IPadres.Under Access control configuration > Allowed inbound IP addresses, select Specific IP ranges.

  4. V části rozsahy IP adres pro obsahzadejte rozsahy IP adres, které budou mít přístup k obsahu ze vstupů a výstupů.Under IP ranges for contents, specify the IP address ranges that can access content from inputs and outputs.

    Platný rozsah IP adres používá tyto formáty: x. x. x. x/x nebo x. x. x. x-x. x. x. x.A valid IP range uses these formats: x.x.x.x/x or x.x.x.x-x.x.x.x

Omezení rozsahů IP adres v šabloně Azure Resource ManagerRestrict IP ranges in Azure Resource Manager template

Pokud automatizujete nasazení Logic Apps pomocí Správce prostředků šablon, můžete rozsahy IP adres zadat pomocí accessControl oddílu contents v definici prostředků vaší aplikace logiky, například:If you automate deployment for logic apps by using Resource Manager templates, you can specify the IP ranges by using the accessControl section with the contents section in your logic app's resource definition, for example:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {<workflow-definition>},
            "parameters": {},
            "accessControl": {
               "contents": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     },
                     {
                        "addressRange": "2001:0db8::/64"
                     }
                  ]
               }
            }
         }
      }
   ],
   "outputs": {}
}

Skrýt data z historie spouštění pomocí zmatenostiHide data from run history by using obfuscation

Mnoho triggerů a akcí má nastavení pro skrytí vstupů, výstupů nebo obojího z historie spuštění aplikace logiky.Many triggers and actions have settings to hide inputs, outputs, or both from a logic app's run history. Tady je několik důležitých informací, které je potřeba zkontrolovat, když použijete tato nastavení k zabezpečení těchto dat.Here are some considerations to review when you use these settings to secure this data.

Zabezpečení vstupů a výstupů v NávrhářiSecure inputs and outputs in the designer

  1. V Azure Portalotevřete aplikaci logiky v návrháři aplikace logiky.In the Azure portal, open your logic app in the Logic App Designer.

    Otevření aplikace logiky v návrháři aplikace logiky

  2. V aktivační události nebo akci, kde chcete zabezpečit data, vyberte tlačítko se třemi tečkami ( ... ) a pak vyberte Nastavení.On the trigger or action where you want to secure data, select the ellipses (...) button, and then select Settings.

    Otevřít nastavení triggeru nebo akce

  3. Zapněte buď zabezpečené vstupy, zabezpečené výstupy, nebo obojí.Turn on either Secure Inputs, Secure Outputs, or both. Jakmile budete hotovi, vyberte Hotovo.When you're finished, select Done.

    Zapnutí zabezpečených vstupů nebo výstupů

    Akce nebo aktivační událost nyní zobrazuje ikonu zámku v záhlaví.The action or trigger now shows a lock icon in the title bar.

    Záhlaví akce nebo aktivační události zobrazuje ikonu zámku

    Tokeny, které představují zabezpečené výstupy z předchozích akcí, také zobrazují ikony zámku.Tokens that represent secured outputs from previous actions also show lock icons. Když například vyberete takový výstup ze seznamu dynamického obsahu, který chcete použít v akci, tento token zobrazí ikonu zámku.For example, when you select such an output from the dynamic content list to use in an action, that token shows a lock icon.

    Vyberte token pro zabezpečený výstup.

  4. Po spuštění aplikace logiky můžete zobrazit historii pro daný běh.After the logic app runs, you can view the history for that run.

    1. V podokně Přehled aplikace logiky vyberte běh, který chcete zobrazit.On the logic app's Overview pane, select the run that you want to view.

    2. V podokně spuštění aplikace logiky rozbalte akce, které chcete zkontrolovat.On the Logic app run pane, expand the actions that you want to review.

      Pokud se rozhodnete zabezpečit vstupy i výstupy, zobrazí se nyní tyto hodnoty jako skryté.If you chose to secure both inputs and outputs, those values now appear hidden.

      Skryté vstupy a výstupy v historii spuštění

Zabezpečené vstupy a výstupy v zobrazení kóduSecure inputs and outputs in code view

V podkladové aktivační události nebo definici akce přidejte nebo aktualizujte pole runtimeConfiguration.secureData.properties pomocí jedné nebo obou hodnot:In the underlying trigger or action definition, add or update the runtimeConfiguration.secureData.properties array with either or both of these values:

  • "inputs": zabezpečuje vstupy v historii spuštění."inputs": Secures inputs in run history.
  • "outputs": zabezpečuje výstupy v historii spuštění."outputs": Secures outputs in run history.

Tady je několik důležitých informací, které je potřeba zkontrolovat, když použijete tato nastavení k zabezpečení těchto dat.Here are some considerations to review when you use these settings to secure this data.

"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Předpoklady při skrývání vstupů a výstupůConsiderations when hiding inputs and outputs

  • Když zabezpečíte vstupy nebo výstupy na triggeru nebo akci, Logic Apps neodesílají zabezpečená data do Azure Log Analytics.When you secure the inputs or outputs on a trigger or action, Logic Apps doesn't send the secured data to Azure Log Analytics. Do této aktivační události nebo akce pro monitorování nemůžete také přidat sledované vlastnosti .Also, you can't add tracked properties to that trigger or action for monitoring.

  • Rozhraní Logic Apps API pro zpracování historie pracovního postupu nevrací zabezpečené výstupy.The Logic Apps API for handling workflow history doesn't return secured outputs.

  • Chcete-li zabezpečit výstupy z akce, která zabezpečuje vstupy nebo explicitně používá zabezpečené výstupy, ručně zapněte v této akci zabezpečené výstupy .To secure outputs from an action that secures inputs or explicitly uses secured outputs, manually turn on Secure Outputs in that action.

  • Ujistěte se, že jste zapnuli zabezpečené vstupy nebo zabezpečené výstupy v podřízených akcích, u kterých očekáváte, že historie spouštění zabezpečuje tato data.Make sure that you turn on Secure Inputs or Secure Outputs in downstream actions where you expect the run history to secure that data.

    Nastavení zabezpečených výstupůSecure Outputs setting

    Když ručně zapnete zabezpečené výstupy v triggeru nebo akci, Logic Apps tyto výstupy zabezpečit v historii spuštění.When you manually turn on Secure Outputs in a trigger or action, Logic Apps secures these outputs in the run history. Pokud akce pro příjem dat explicitně používá tyto zabezpečené výstupy jako vstupy, Logic Apps skrývá vstupy této akce v historii spuštění, ale nepovolí nastavení zabezpečených vstupů akce.If a downstream action explicitly uses these secured outputs as inputs, Logic Apps hides this action's inputs in the run history, but doesn't enable the action's Secure Inputs setting.

    Zabezpečené výstupy jako vstupy a přínosy při většině akcí

    Akce vytvořit, analyzovat JSON a odpověď mají pouze nastavení zabezpečené vstupy .The Compose, Parse JSON, and Response actions has only the Secure Inputs setting. Když je tato možnost zapnutá, tato nastavení také skryje výstupy těchto akcí.When turned on, the setting also hides these actions' outputs. Pokud tyto akce explicitně používají výstupy proti nadřazenému objektu jako vstupy, Logic Apps skrývá vstupy a výstupy těchto akcí, ale nepovoluje nastavení zabezpečených vstupů těchto akcí.If these actions explicitly use the upstream secured outputs as inputs, Logic Apps hides these actions' inputs and outputs, but doesn't enable these actions' Secure Inputs setting. Pokud akce pro příjem dat explicitně používá skryté výstupy z akcí vytvořit, analyzovat JSON nebo odpovědět jako vstupy, Logic Apps neskryje tyto vstupy a výstupy této akce.If a downstream action explicitly uses the hidden outputs from the Compose, Parse JSON, or Response actions as inputs, Logic Apps doesn't hide this downstream action's inputs or outputs.

    Zabezpečené výstupy jako vstupy s vlivem na konkrétní akce na základě dat

    Nastavení zabezpečených vstupůSecure Inputs setting

    Když ručně zapnete zabezpečené vstupy v triggeru nebo akci, Logic Apps tyto vstupy zabezpečit v historii spuštění.When you manually turn on Secure Inputs in a trigger or action, Logic Apps secures these inputs in the run history. Pokud akce pro příjem dat explicitně používá viditelné výstupy z této triggeru nebo akce jako vstupy, Logic Apps skrývá tyto vstupy v historii spuštění, ale nepovoluje v této akci zabezpečené vstupy a neskrývá výstupy této akce.If a downstream action explicitly uses the visible outputs from that trigger or action as inputs, Logic Apps hides this downstream action's inputs in the run history, but doesn't enable Secure Inputs in this action and doesn't hide this action's outputs.

    Zabezpečené vstupy a důsledky pro všechny akce

    Pokud akce vytvořit, analyzovat JSON a odpověď explicitně použijí viditelné výstupy z triggeru nebo akce, která má zabezpečené vstupy, Logic Apps skryje tyto vstupy a výstupy těchto akcí, ale nepovolí nastavení zabezpečených vstupů těchto akcí.If the Compose, Parse JSON, and Response actions explicitly use the visible outputs from the trigger or action that has the secured inputs, Logic Apps hides these actions' inputs and outputs, but doesn't enable these action's Secure Inputs setting. Pokud akce pro příjem dat explicitně používá skryté výstupy z akcí vytvořit, analyzovat JSON nebo odpovědět jako vstupy, Logic Apps neskryje tyto vstupy a výstupy této akce.If a downstream action explicitly uses the hidden outputs from the Compose, Parse JSON, or Response actions as inputs, Logic Apps doesn't hide this downstream action's inputs or outputs.

    Zabezpečené vstupy a důsledky pro konkrétní akce

Přístup ke vstupům parametrůAccess to parameter inputs

Pokud nasazujete v různých prostředích, zvažte Parametrizace hodnot v definici pracovního postupu, které se liší v závislosti na těchto prostředích.If you deploy across different environments, consider parameterizing the values in your workflow definition that vary based on those environments. Tímto způsobem se můžete vyhnout pevně zakódovaným datům pomocí šablony Azure Resource Manager k nasazení aplikace logiky, ochraně citlivých dat definováním zabezpečených parametrů a předání těchto dat jako samostatných vstupů prostřednictvím parametrů šablony pomocí souboru parametrů.That way, you can avoid hard-coded data by using an Azure Resource Manager template to deploy your logic app, protect sensitive data by defining secured parameters, and pass that data as separate inputs through the template's parameters by using a parameter file.

Pokud například ověříte akce HTTP pomocí Azure Active Directory OAuth, můžete definovat a zabezpečit parametry, které přijímají ID klienta a tajný klíč klienta, které se používají pro ověřování.For example, if you authenticate HTTP actions with Azure Active Directory OAuth, you can define and secure the parameters that accept the client ID and client secret that are used for authentication. K definování těchto parametrů v aplikaci logiky použijte parameters v definici pracovního postupu vaší aplikace logiky a šablonu Správce prostředků pro nasazení.To define these parameters in your logic app, use the parameters section in your logic app's workflow definition and Resource Manager template for deployment. Chcete-li skrýt hodnoty parametrů, které nechcete zobrazit při úpravách aplikace logiky nebo zobrazení historie spuštění, definujte parametry pomocí securestring nebo secureobject typ a podle potřeby kódování použijte.To hide parameter values that you don't want shown when editing your logic app or viewing run history, define the parameters by using the securestring or secureobject type and use encoding as necessary. Parametry, které mají tento typ, nejsou vráceny s definicí prostředků a nejsou přístupné při zobrazení prostředku po nasazení.Parameters that have this type aren't returned with the resource definition and aren't accessible when viewing the resource after deployment. Pro přístup k těmto hodnotám parametrů za běhu použijte výraz @parameters('<parameter-name>') uvnitř definice pracovního postupu.To access these parameter values during runtime, use the @parameters('<parameter-name>') expression inside your workflow definition. Tento výraz je vyhodnocen pouze za běhu a je popsán jazykem definice pracovního postupu.This expression is evaluated only at runtime and is described by the Workflow Definition Language.

Poznámka

Pokud použijete parametr v hlavičce nebo těle žádosti, tento parametr může být viditelný při zobrazení historie spuštění vaší aplikace logiky a odchozího požadavku HTTP.If you use a parameter in a request header or body, that parameter might be visible when you view your logic app's run history and outgoing HTTP request. Ujistěte se, že jste odpovídajícím způsobem také nastavili zásady přístupu k obsahu.Make sure that you also set your content access policies accordingly. K skrytí vstupů a výstupů v historii spuštění můžete také použít zmatení .You can also use obfuscation to hide inputs and outputs in your run history. Autorizační hlavičky nejsou nikdy viditelné prostřednictvím vstupů nebo výstupů.Authorization headers are never visible through inputs or outputs. Takže pokud se tam používá tajný klíč, nedá se tento tajný klíč získat.So if a secret is used there, that secret isn't retrievable.

Další informace najdete v těchto oddílech v tomto tématu:For more information, see these sections in this topic:

Pokud automatizujete nasazení pro Logic Apps pomocí Správce prostředků šablon, můžete definovat zabezpečené parametry šablony, které jsou vyhodnocovány při nasazení pomocí securestring a secureobject typů.If you automate deployment for logic apps by using Resource Manager templates, you can define secured template parameters, which are evaluated at deployment, by using the securestring and secureobject types. Pro definování parametrů šablony použijte parameters sekci nejvyšší úrovně šablony, která je oddělená a odlišná od parameters oddílu definice pracovního postupu.To define template parameters, use your template's top level parameters section, which is separate and different from your workflow definition's parameters section. Chcete-li zadat hodnoty parametrů šablony, použijte samostatný soubor parametrů.To provide the values for template parameters, use a separate parameter file.

Pokud například používáte tajné kódy, můžete definovat a používat zabezpečené parametry šablony, které tyto tajné kódy načítají z Azure Key Vault při nasazení.For example, if you use secrets, you can define and use secured template parameters that retrieve those secrets from Azure Key Vault at deployment. Pak můžete odkazovat na Trezor klíčů a tajný kód v souboru parametrů.You can then reference the key vault and secret in your parameter file. Další informace najdete v těchto tématech:For more information, see these topics:

Zabezpečené parametry v definicích pracovních postupůSecure parameters in workflow definitions

Pokud chcete chránit citlivé informace v definici pracovního postupu vaší aplikace logiky, použijte zabezpečené parametry, aby tyto informace nebyly po uložení aplikace logiky viditelné.To protect sensitive information in your logic app's workflow definition, use secured parameters so this information isn't visible after you save your logic app. Předpokládejme například, že máte akci HTTP vyžaduje základní ověřování, které používá uživatelské jméno a heslo.For example, suppose you have an HTTP action requires basic authentication, which uses a username and password. V definici pracovního postupu oddíl parameters definuje parametry basicAuthPasswordParam a basicAuthUsernameParam pomocí typu securestring.In the workflow definition, the parameters section defines the basicAuthPasswordParam and basicAuthUsernameParam parameters by using the securestring type. Definice akce pak na tyto parametry odkazuje v části authentication.The action definition then references these parameters in the authentication section.

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Zabezpečené parametry v šablonách Azure Resource ManagerSecure parameters in Azure Resource Manager templates

Šablona správce prostředků pro aplikaci logiky má několik oddílů parameters.A Resource Manager template for a logic app has multiple parameters sections. K ochraně hesel, klíčů, tajných kódů a dalších citlivých informací můžete definovat zabezpečené parametry na úrovni šablony a definice pracovního postupu pomocí typu securestring nebo secureobject.To protect passwords, keys, secrets, and other sensitive information, define secured parameters at the template level and workflow definition level by using the securestring or secureobject type. Tyto hodnoty pak můžete uložit v Azure Key Vault a použít soubor parametrů k odkazování na Trezor klíčů a tajný kód.You can then store these values in Azure Key Vault and use the parameter file to reference the key vault and secret. Vaše šablona pak tyto informace načte při nasazení.Your template then retrieves that information at deployment. Další informace najdete v tématu předání citlivých hodnot při nasazení pomocí Azure Key Vault.For more information, see Pass sensitive values at deployment by using Azure Key Vault.

Zde jsou další informace o těchto parameters oddílech:Here is more information about these parameters sections:

  • V nejvyšší úrovni šablony parameters oddíl definuje parametry pro hodnoty, které šablona používá při nasazení.At the template's top level, a parameters section defines the parameters for the values that the template uses at deployment. Například tyto hodnoty mohou zahrnovat připojovací řetězce pro konkrétní prostředí nasazení.For example, these values can include connection strings for a specific deployment environment. Tyto hodnoty pak můžete uložit do samostatného souboru parametrů, což usnadňuje změnu těchto hodnot.You can then store these values in a separate parameter file, which makes changing these values easier.

  • V definici prostředků vaší aplikace logiky, ale mimo definici pracovního postupu, určuje parameters oddíl hodnoty pro parametry definice pracovního postupu.Inside your logic app's resource definition, but outside your workflow definition, a parameters section specifies the values for your workflow definition's parameters. V této části můžete přiřadit tyto hodnoty pomocí výrazů šablony, které odkazují na parametry šablony.In this section, you can assign these values by using template expressions that reference your template's parameters. Tyto výrazy jsou vyhodnocovány při nasazení.These expressions are evaluated at deployment.

  • V rámci definice pracovního postupu parameters oddíl definuje parametry, které vaše aplikace logiky používá za běhu.Inside your workflow definition, a parameters section defines the parameters that your logic app uses at runtime. Pak můžete odkazovat na tyto parametry uvnitř pracovního postupu aplikace logiky pomocí výrazů definice pracovního postupu, které jsou vyhodnocovány za běhu.You can then reference these parameters inside your logic app's workflow by using workflow definition expressions, which are evaluated at runtime.

Tento příklad šablony s více zabezpečenými definicemi parametrů, které používají securestring typ:This example template that has multiple secured parameter definitions that use the securestring type:

Název parametruParameter name PopisDescription
TemplatePasswordParam Parametr šablony, který přijímá heslo, které se pak předává do parametru basicAuthPasswordParam definice pracovního postupuA template parameter that accepts a password that is then passed to the workflow definition's basicAuthPasswordParam parameter
TemplateUsernameParam Parametr šablony, který přijímá uživatelské jméno, které je pak předáno do parametru basicAuthUserNameParam definice pracovního postupuA template parameter that accepts a username that is then passed to the workflow definition's basicAuthUserNameParam parameter
basicAuthPasswordParam Parametr definice pracovního postupu, který přijímá heslo pro základní ověřování v akci HTTPA workflow definition parameter that accepts the password for basic authentication in an HTTP action
basicAuthUserNameParam Parametr definice pracovního postupu, který přijímá uživatelské jméno pro základní ověřování v akci HTTPA workflow definition parameter that accepts the username for basic authentication in an HTTP action
{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-0601/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

Přístup ke službám a systémům, které se nazývají aplikace logikyAccess to services and systems called from logic apps

Tady je několik způsobů, jak můžete zabezpečit koncové body, které přijímají volání nebo požadavky z vaší aplikace logiky:Here are some ways that you can secure endpoints that receive calls or requests from your logic app:

  • Přidání ověřování do odchozích požadavků.Add authentication to outbound requests.

    Když pracujete s triggerem založeným na protokolu HTTP nebo akcí, která umožňuje odchozí volání, jako je HTTP, HTTP + Swagger nebo Webhook, můžete do žádosti, kterou odesílá aplikace logiky, přidat ověřování.When you work with an HTTP-based trigger or action that makes outbound calls, such as HTTP, HTTP + Swagger, or Webhook, you can add authentication to the request that's sent by your logic app. Můžete například použít tyto typy ověřování:For example, you can use these authentication types:

    Další informace najdete v části Přidání ověřování do odchozích volání dále v tomto tématu.For more information, see Add authentication to outbound calls later in this topic.

  • Omezte přístup z IP adres aplikace logiky.Restrict access from logic app IP addresses.

    Všechna volání koncových bodů z aplikací logiky pocházejí z konkrétních určených IP adres, které jsou založeny na oblastech vaší Logic Apps.All calls to endpoints from logic apps originate from specific designated IP addresses that are based on your logic apps' regions. Můžete přidat filtrování, které přijímá požadavky pouze z těchto IP adres.You can add filtering that accepts requests only from those IP addresses. Pokud chcete získat tyto IP adresy, přečtěte si téma omezení a konfigurace pro Azure Logic Apps.To get these IP addresses, see Limits and configuration for Azure Logic Apps.

  • Zabezpečená připojení k místním systémům.Secure connections to on-premises systems.

    Azure Logic Apps poskytuje integraci s těmito službami pro zabezpečenou a spolehlivou místní komunikaci.Azure Logic Apps provides integration with these services for secure and reliable on-premises communication.

    • Místní brána datOn-premises data gateway

      Řada spravovaných konektorů v Azure Logic Apps poskytuje zabezpečená připojení k místním systémům, jako je například systém souborů, SQL, SharePoint a DB2.Many managed connectors in Azure Logic Apps provide secure connections to on-premises systems, such as File System, SQL, SharePoint, and DB2. Brána odesílá data z místních zdrojů do šifrovaných kanálů prostřednictvím Azure Service Bus.The gateway sends data from on-premises sources on encrypted channels through the Azure Service Bus. Veškerý provoz vychází z agenta brány na zabezpečený odchozí provoz.All traffic originates as secure outbound traffic from the gateway agent. Přečtěte si, Jak funguje místní brána dat.Learn how the on-premises data gateway works.

    • Připojení prostřednictvím Azure API ManagementConnect through Azure API Management

      Azure API Management poskytuje možnosti místního připojení, jako je virtuální privátní síť Site-to-site a integrace ExpressRoute pro zabezpečený proxy a komunikaci s místními systémy.Azure API Management provides on-premises connection options, such as site-to-site virtual private network and ExpressRoute integration for secured proxy and communication to on-premises systems. Z pracovního postupu aplikace logiky v návrháři aplikace logiky můžete vybrat rozhraní API, které je vystaveno API Management, které poskytuje rychlý přístup k místním systémům.From your logic app's workflow in the Logic App Designer, you can select an API that's exposed by API Management, which provides quick access to on-premises systems.

Přidání ověřování do odchozích voláníAdd authentication to outbound calls

Koncové body HTTP a HTTPS podporují různé druhy ověřování.HTTP and HTTPS endpoints support various kinds of authentication. V závislosti na triggeru nebo akci, kterou použijete k provedení odchozích volání nebo požadavků, které přistupují k těmto koncovým bodům, můžete vybrat z různých rozsahů typů ověřování.Based on the trigger or action that you use to make outbound calls or requests that access these endpoints, you can select from varying ranges of authentication types. Aby bylo zajištěno, že budete chránit jakékoli citlivé informace, které vaše aplikace logiky zpracovává, používejte v případě potřeby zabezpečené parametry a zakódovat data.To make sure that you protect any sensitive information that your logic app handles, use secured parameters and encode data as necessary. Další informace o použití a zabezpečení parametrů naleznete v tématu přístup ke vstupům parametrů.For more information about using and securing parameters, see Access to parameter inputs.

Typ ověřováníAuthentication type Podporováno nástrojemSupported by
BasicBasic Azure API Management, Azure App Services, HTTP, HTTP + Swagger, Webhook HTTPAzure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Webhook
Certifikát klientaClient Certificate Azure API Management, Azure App Services, HTTP, HTTP + Swagger, Webhook HTTPAzure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Webhook
Protokol OAuth pro Active DirectoryActive Directory OAuth Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, Webhook HTTPAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
ZískáníRaw Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, Webhook HTTPAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Spravovaná identita (jenom pro systém)Managed identity (system-assigned only) Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, Webhook HTTPAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook

Poznámka

V návrháři aplikace logiky může být vlastnost ověřování skrytá na některých triggerech a akcích, kde můžete zadat typ ověřování.In the Logic App Designer, the Authentication property might be hidden on some triggers and actions where you can specify the authentication type. Chcete-li vlastnost v těchto případech zobrazit, otevřete u triggeru nebo akce seznam Přidat nový parametr a vyberte možnost ověřování.To make the property appear in these cases, on the trigger or action, open the Add new parameter list, and select Authentication. Další informace najdete v tématu ověření přístupu ke spravované identitě.For more information, see Authenticate access with managed identity.

Základní ověřováníBasic authentication

Pokud je k dispozici možnost základní , zadejte tyto hodnoty vlastností:If the Basic option is available, specify these property values:

Property – vlastnost (Designer)Property (designer) Property (JSON)Property (JSON) Požaduje seRequired HodnotaValue PopisDescription
OvěřováníAuthentication type AnoYes BasicBasic Typ ověřování, který se má použítThe authentication type to use
Uživatelské jménoUsername username AnoYes <jméno uživatele><user-name> Uživatelské jméno pro ověřování přístupu k cílovému koncovému bodu službyThe user name for authenticating access to the target service endpoint
HesloPassword password AnoYes <hesla><password> Heslo pro ověřování přístupu k cílovému koncovému bodu službyThe password for authenticating access to the target service endpoint

Když použijete zabezpečené parametry k obsluze a ochraně citlivých informací, například v šabloně Azure Resource Manager pro automatizaci nasazení, můžete použít výrazy pro přístup k těmto hodnotám parametrů za běhu.When you use secured parameters to handle and protect sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. Tato ukázka definice akce HTTP určuje type ověřování jako Basic a používá funkci Parameters () k získání hodnot parametrů:This example HTTP action definition specifies the authentication type as Basic and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

Ověřování certifikátu klientaClient Certificate authentication

Pokud je k dispozici možnost certifikát klienta , zadejte tyto hodnoty vlastností:If the Client Certificate option is available, specify these property values:

Property – vlastnost (Designer)Property (designer) Property (JSON)Property (JSON) Požaduje seRequired HodnotaValue PopisDescription
OvěřováníAuthentication type AnoYes Certifikát klientaClient Certificate
neboor
ClientCertificate
Typ ověřování, který se má použít pro SSL (Secure Sockets Layer) (SSL) klientské certifikáty.The authentication type to use for Secure Sockets Layer (SSL) client certificates. I když jsou certifikáty podepsané svým držitelem podporovány, certifikáty podepsané svým držitelem pro SSL nejsou podporovány.While self-signed certificates are supported, self-signed certificates for SSL aren't supported.
PFXPfx pfx AnoYes <kódovaný soubor-PFX-Content-content><encoded-pfx-file-content> Obsah kódovaný v kódování Base64 ze souboru PFX (Personal Information Exchange)The base64-encoded content from a Personal Information Exchange (PFX) file

Chcete-li převést soubor PFX na formát s kódováním base64, můžete použít PowerShell pomocí následujících kroků:To convert the PFX file into base64-encoded format, you can use PowerShell by following these steps:

1. Uložte obsah certifikátu do proměnné:1. Save the certificate content into a variable:

$pfx_cert = get-content 'c:\certificate.pfx' -Encoding Byte

2. pomocí funkce ToBase64String() převeďte obsah certifikátu a uložte ho do textového souboru:2. Convert the certificate content by using the ToBase64String() function and save that content to a text file:

[System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt'

HesloPassword password Viz popisSee description <hesla-pro-soubor pfx><password-for-pfx-file> Heslo pro přístup k souboru PFX.The password for accessing the PFX file.

Poznámka: Tato hodnota vlastnosti je povinná při práci v návrháři aplikace logiky a při práci v zobrazení kódu se nevyžaduje .Note: This property value is required when you work in the Logic App Designer and is not required when you work in code view.

Když použijete zabezpečené parametry k obsluze a ochraně citlivých informací, například v šabloně Azure Resource Manager pro automatizaci nasazení, můžete použít výrazy pro přístup k těmto hodnotám parametrů za běhu.When you use secured parameters to handle and protect sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. Tato ukázka definice akce HTTP určuje type ověřování jako ClientCertificate a používá funkci Parameters () k získání hodnot parametrů:This example HTTP action definition specifies the authentication type as ClientCertificate and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Další informace o zabezpečení služeb pomocí ověřování klientského certifikátu najdete v těchto tématech:For more information about securing services by using client certificate authentication, see these topics:

Azure Active Directory ověřování OAuthAzure Active Directory OAuth authentication

Pokud je k dispozici možnost Active Directory OAuth , zadejte tyto hodnoty vlastností:If the Active Directory OAuth option is available, specify these property values:

Property – vlastnost (Designer)Property (designer) Property (JSON)Property (JSON) Požaduje seRequired HodnotaValue PopisDescription
OvěřováníAuthentication type AnoYes Protokol OAuth pro Active DirectoryActive Directory OAuth
neboor
ActiveDirectoryOAuth
Typ ověřování, který se má použít.The authentication type to use. Logic Apps v současnosti následuje protokol OAuth 2,0.Logic Apps currently follows the OAuth 2.0 protocol.
TenantTenant tenant AnoYes <tenant-ID><tenant-ID> ID tenanta pro tenanta Azure ADThe tenant ID for the Azure AD tenant
OsobyAudience audience AnoYes <resource-to-authorize><resource-to-authorize> Prostředek, který chcete použít pro autorizaci, například https://management.core.windows.net/The resource that you want to use for authorization, for example, https://management.core.windows.net/
ID klientaClient ID clientId AnoYes <client-ID><client-ID> ID klienta pro aplikaci požadující autorizaciThe client ID for the app requesting authorization
Typ přihlašovacích údajůCredential Type credentialType AnoYes CertifikátCertificate
neboor
SecretSecret
Typ přihlašovacích údajů, který klient používá k vyžádání autorizace.The credential type that the client uses for requesting authorization. Tato vlastnost a hodnota se nezobrazí v základní definici vaší aplikace logiky, ale určuje vlastnosti, které se zobrazí pro vybraný typ přihlašovacích údajů.This property and value don't appear in your logic app's underlying definition, but determines the properties that appear for the selected credential type.
Tajný kódSecret secret Ano, ale jenom pro typ přihlašovacích údajů tajného klíčeYes, but only for the "Secret" credential type <> tajného klienta<client-secret> Tajný klíč klienta pro vyžádání autorizaceThe client secret for requesting authorization
PFXPfx pfx Ano, ale pouze pro typ přihlašovacích údajů certifikátYes, but only for the "Certificate" credential type <kódovaný soubor-PFX-Content-content><encoded-pfx-file-content> Obsah kódovaný v kódování Base64 ze souboru PFX (Personal Information Exchange)The base64-encoded content from a Personal Information Exchange (PFX) file
HesloPassword password Ano, ale pouze pro typ přihlašovacích údajů certifikátYes, but only for the "Certificate" credential type <hesla-pro-soubor pfx><password-for-pfx-file> Heslo pro přístup k souboru PFXThe password for accessing the PFX file
DohledAuthority authority NeNo <URL-for-authority-token-issuer><URL-for-authority-token-issuer> Adresa URL pro autoritu, která poskytuje ověřovací token.The URL for the authority that provides the authentication token. Ve výchozím nastavení je tato hodnota https://login.windows.net.By default, this value is https://login.windows.net.

Poznámka: Chcete-li tuto vlastnost zviditelnit v návrháři, otevřete u triggeru nebo akce seznam Přidat nový parametr a vyberte možnost autorita.Note: To make this property visible in the designer, on the trigger or action, open the Add new parameter list, and select Authority.

Když použijete zabezpečené parametry k obsluze a ochraně citlivých informací, například v šabloně Azure Resource Manager pro automatizaci nasazení, můžete použít výrazy pro přístup k těmto hodnotám parametrů za běhu.When you use secured parameters to handle and protect sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. Tato ukázka definice akce HTTP určuje type ověřování jako ActiveDirectoryOAuth, typ přihlašovacích údajů jako Secreta pomocí funkce Parameters () Získá hodnoty parametrů:This example HTTP action definition specifies the authentication type as ActiveDirectoryOAuth, the credential type as Secret, and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Nezpracované ověřováníRaw authentication

Pokud je k dispozici možnost raw , můžete tento typ ověřování použít, když budete muset použít schémata ověřování , která nedodržují protokol OAuth 2,0.If the Raw option is available, you can use this authentication type when you have to use authentication schemes that don't follow the OAuth 2.0 protocol. Pomocí tohoto typu ručně vytvoříte hodnotu hlavičky autorizace, kterou odešlete s odchozím požadavkem, a v aktivační události nebo akci zadejte tuto hodnotu záhlaví.With this type, you manually create the authorization header value that you send with the outgoing request, and specify that header value in your trigger or action.

Tady je příklad hlavičky pro požadavek HTTPS, který následuje po protokolu OAuth 1,0:For example, here is a sample header for an HTTPS request that follows the OAuth 1.0 protocol:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

V aktivační události nebo akci, která podporuje nezpracované ověřování, zadejte tyto hodnoty vlastností:In the trigger or action that supports raw authentication, specify these property values:

Property – vlastnost (Designer)Property (designer) Property (JSON)Property (JSON) Požaduje seRequired HodnotaValue PopisDescription
OvěřováníAuthentication type AnoYes získáníRaw Typ ověřování, který se má použítThe authentication type to use
HodnotaValue value AnoYes autorizace <– hodnota hlavičky><authorization-header-value> Hodnota hlavičky autorizace, která se má použít pro ověřováníThe authorization header value to use for authentication

Když použijete zabezpečené parametry k obsluze a ochraně citlivých informací, například v šabloně Azure Resource Manager pro automatizaci nasazení, můžete použít výrazy pro přístup k těmto hodnotám parametrů za běhu.When you use secured parameters to handle and protect sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. Tato ukázka definice akce HTTP určuje type ověřování jako Rawa používá funkci Parameters () k získání hodnot parametrů:This example HTTP action definition specifies the authentication type as Raw, and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Ověřování spravovaných identitManaged identity authentication

Pokud je k dispozici možnost spravovaná identita , vaše aplikace logiky může používat identitu přiřazenou systémem pro ověřování přístupu k prostředkům v jiných klientech Azure Active Directory (Azure AD), aniž by se museli přihlašovat.If the Managed Identity option is available, your logic app can use the system-assigned identity for authenticating access to resources in other Azure Active Directory (Azure AD) tenants without signing in. Azure tuto identitu spravuje za vás a pomáhá zabezpečit vaše přihlašovací údaje, protože nemusíte zadávat ani otáčet tajné klíče.Azure manages this identity for you and helps secure your credentials because you don't have to provide or rotate secrets. Přečtěte si další informace o službách Azure, které podporují spravované identity pro ověřování Azure AD.Learn more about Azure services that support managed identities for Azure AD authentication.

  1. Předtím, než aplikace logiky bude moci používat identitu přiřazenou systémem, postupujte podle kroků v části ověření přístupu k prostředkům Azure pomocí spravovaných identit v Azure Logic Apps.Before your logic app can use the system-assigned identity, follow the steps in Authenticate access to Azure resources by using managed identities in Azure Logic Apps. Tyto kroky povolí spravovanou identitu ve vaší aplikaci logiky a nastaví přístup této identity k cílovému prostředku Azure.These steps enable the managed identity on your logic app and set up that identity's access to the target Azure resource.

  2. Než může funkce Azure využít identitu přiřazenou systémem, nejdřív Povolte ověřování pro službu Azure Functions.Before an Azure function can use the system-assigned identity, first enable authentication for Azure functions.

  3. V aktivační události nebo akci, kde chcete použít spravovanou identitu, zadejte tyto hodnoty vlastností:In the trigger or action where you want to use the managed identity, specify these property values:

    Property – vlastnost (Designer)Property (designer) Property (JSON)Property (JSON) Požaduje seRequired HodnotaValue PopisDescription
    OvěřováníAuthentication type AnoYes Spravovaná identitaManaged Identity
    neboor
    ManagedServiceIdentity
    Typ ověřování, který se má použítThe authentication type to use
    OsobyAudience audience AnoYes <target-Resource-ID><target-resource-ID> ID prostředku pro cílový prostředek, ke kterému chcete získat přístup.The resource ID for the target resource that you want to access.

    https://storage.azure.com/ například zpřístupňuje přístupové tokeny pro ověřování platné pro všechny účty úložiště.For example, https://storage.azure.com/ makes the access tokens for authentication valid for all storage accounts. Můžete ale taky zadat adresu URL kořenové služby, například https://fabrikamstorageaccount.blob.core.windows.net pro konkrétní účet úložiště.However, you can also specify a root service URL, such as https://fabrikamstorageaccount.blob.core.windows.net for a specific storage account.

    Poznámka: Tato vlastnost může být v některých triggerech nebo akcích skrytá.Note: This property might be hidden in some triggers or actions. Chcete-li tuto vlastnost zviditelnit, otevřete v aktivační události nebo akci seznam Přidat nový parametr a vyberte možnost cílová skupina.To make this property visible, in the trigger or action, open the Add new parameter list, and select Audience.

    Důležité: Ujistěte se, že toto ID cílového prostředku přesně odpovídá hodnotě, kterou očekává služba Azure AD, včetně všech požadovaných koncových lomítek.Important: Make sure that this target resource ID exactly matches the value that Azure AD expects, including any required trailing slashes. ID prostředku https://storage.azure.com/ pro všechny účty Azure Blob Storage vyžaduje koncové lomítko.So, the https://storage.azure.com/ resource ID for all Azure Blob Storage accounts requires a trailing slash. ID prostředku pro konkrétní účet úložiště ale nevyžaduje koncové lomítko.However, the resource ID for a specific storage account doesn't require a trailing slash. Tato ID prostředků najdete v tématu služby Azure, které podporují Azure AD.To find these resource IDs, see Azure services that support Azure AD.

    Když použijete zabezpečené parametry k obsluze a ochraně citlivých informací, například v šabloně Azure Resource Manager pro automatizaci nasazení, můžete použít výrazy pro přístup k těmto hodnotám parametrů za běhu.When you use secured parameters to handle and protect sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. Tato ukázka definice akce HTTP určuje type ověřování jako ManagedServiceIdentity a používá funkci Parameters () k získání hodnot parametrů:This example HTTP action definition specifies the authentication type as ManagedServiceIdentity and uses the parameters() function to get the parameter values:

    "HTTP": {
       "type": "Http",
       "inputs": {
          "method": "GET",
          "uri": "@parameters('endpointUrlParam')",
          "authentication": {
             "type": "ManagedServiceIdentity",
             "audience": "https://management.azure.com/"
          },
       },
       "runAfter": {}
    }
    

Další krokyNext steps