Schützen des Zugriffs und der Daten in Azure Logic AppsSecure access and data in Azure Logic Apps

Azure Logic Apps nutzt Azure Storage zum Speichern und automatischen Verschlüsseln von ruhenden Daten.Azure Logic Apps relies on Azure Storage to store and automatically encrypt data at rest. Diese Verschlüsselung schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation.This encryption protects your data and helps you meet your organizational security and compliance commitments. Azure Storage verwendet standardmäßig von Microsoft verwaltete Schlüssel, um Ihre Daten zu verschlüsseln.By default, Azure Storage uses Microsoft-managed keys to encrypt your data. Weitere Informationen finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten.For more information, see Azure Storage encryption for data at rest.

Um den Zugriff stärker zu steuern und vertrauliche Daten in Azure Logic Apps zu schützen, können Sie zusätzliche Sicherheit in diesen Bereichen einrichten:To further control access and protect sensitive data in Azure Logic Apps, you can set up additional security in these areas:

Weitere Informationen zur Sicherheit in Azure finden Sie in diesen Themen:For more information about security in Azure, see these topics:

Zugriff für eingehende Aufrufe anforderungsbasierter TriggerAccess for inbound calls to request-based triggers

Eingehende Aufrufe, die eine Logik-App über einen anforderungsbasierten Trigger wie Anforderung oder HTTP-Webhook empfängt, unterstützen Verschlüsselung und werden mit TLS 1.2 (Transport Layer Security) (zuvor als Secure Sockets Layer (SSL) bezeichnet) geschützt.Inbound calls that a logic app receives through a request-based trigger, such as the Request trigger or HTTP Webhook trigger, support encryption and are secured with Transport Layer Security (TLS) 1.2 at minimum, previously known as Secure Sockets Layer (SSL). Logic Apps erzwingt diese Version beim Empfang eines eingehenden Aufrufs des Anforderungstriggers oder eines Rückrufs an den HTTP-Webhooktrigger bzw. die entsprechende Aktion.Logic Apps enforces this version when receiving an inbound call to the Request trigger or a callback to the HTTP Webhook trigger or action. Wenn TLS-Handshakefehler auftreten, sollten Sie sicherstellen, dass Sie TLS 1.2 verwenden.If you get TLS handshake errors, make sure that you use TLS 1.2. Weitere Informationen finden Sie unter Lösen des TLS 1.0-Problems.For more information, see Solving the TLS 1.0 problem.

Eingehende Anrufe unterstützen die folgenden Cipher Suites:Inbound calls support these cipher suites:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Im Folgenden finden Sie weitere Möglichkeiten zum Einschränken des Zugriffs auf Trigger, die eingehende Aufrufe Ihrer Logik-App empfangen, sodass nur autorisierte Clients Ihre Logik-App aufrufen können:Here are additional ways that you can limit access to triggers that receive inbound calls to your logic app so that only authorized clients can call your logic app:

Generieren von Shared Access Signatures (SAS)Generate shared access signatures (SAS)

Jeder Anforderungsendpunkt für eine Logik-App weist in der URL des Endpunkts eine Shared Access Signature (SAS) im folgenden Format auf:Every request endpoint on a logic app has a Shared Access Signature (SAS) in the endpoint's URL, which follows this format:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Jede URL enthält die Abfrageparameter sp, sv und sig, wie in dieser Tabelle beschrieben:Each URL contains the sp, sv, and sig query parameter as described in this table:

Query parameter (Abfrageparameter)Query parameter BESCHREIBUNGDescription
sp Gibt die Berechtigungen für die zulässigen HTTP-Methoden an.Specifies permissions for the permitted HTTP methods to use.
sv Gibt die SAS-Version an, die zum Generieren der Signatur verwendet werden soll.Specifies the SAS version to use for generating the signature.
sig Gibt die Signatur an, die für die Authentifizierung des Zugriffs auf den Trigger verwendet werden soll.Specifies the signature to use for authenticating access to the trigger. Diese Signatur wird mit dem SHA256-Algorithmus mit einem geheimen Zugriffsschlüssel für alle URL-Pfade und -Eigenschaften generiert.This signature is generated by using the SHA256 algorithm with a secret access key on all the URL paths and properties. Dieser Schlüssel wird nie verfügbar gemacht oder veröffentlicht. Er bleibt verschlüsselt und wird mit der Logik-App gespeichert.Never exposed or published, this key is kept encrypted and stored with the logic app. Die Logik-App autorisiert nur Trigger, die eine gültige, mit dem geheimen Schlüssel erstellte Signatur enthalten.Your logic app authorizes only those triggers that contain a valid signature created with the secret key.

Eingehende Aufrufe an einen Anforderungsendpunkt können nur ein Autorisierungsschema verwenden, entweder SAS oder Azure Active Directory Open Authentication.Inbound calls to a request endpoint can use only one authorization scheme, either SAS or Azure Active Directory Open Authentication. Durch die Verwendung eines Schemas wird das andere Schema nicht deaktiviert, die gleichzeitige Verwendung beider Schemas führt jedoch zu einem Fehler, da der Dienst nicht weiß, welches Schema ausgewählt werden soll.Although using one scheme doesn't disable the other scheme, using both schemes at the same time causes an error because the service doesn't know which scheme to choose.

Weitere Informationen zum Schützen des Zugriffs mit einer SAS (Shared Access Signature) finden Sie in den folgenden Abschnitten in diesem Thema:For more information about securing access with SAS, see these sections in this topic:

Erneutes Generieren von ZugriffsschlüsselnRegenerate access keys

Über die Azure-REST-API oder das Azure-Portal können Sie jederzeit einen neuen Sicherheitszugriffsschlüssel generieren.To generate a new security access key at any time, use the Azure REST API or Azure portal. Alle zuvor generierten URLs, die den alten Schlüssel verwenden, werden ungültig und sind nicht mehr berechtigt, die Logik-App auszulösen.All previously generated URLs that use the old key are invalidated and no longer have authorization to trigger the logic app. Die URLs, die Sie nach der erneuten Generierung abrufen, werden mit dem neuen Zugriffsschlüssel signiert.The URLs that you retrieve after regeneration are signed with the new access key.

  1. Öffnen Sie im Azure-Portal die Logik-App mit dem Schlüssel, den Sie erneut generieren möchten.In the Azure portal, open the logic app that has the key you want to regenerate.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Option Zugriffsschlüssel aus.On the logic app's menu, under Settings, select Access Keys.

  3. Wählen Sie den Schlüssel aus, den Sie erneut generieren möchten, und schließen Sie den Vorgang ab.Select the key that you want to regenerate and finish the process.

Erstellen ablaufender Rückruf-URLsCreate expiring callback URLs

Wenn Sie die Endpunkt-URL eines anforderungsbasierten Triggers für andere Parteien freigeben, können Sie Rückruf-URLs mit bestimmten Schlüsseln und Ablaufdaten generieren.If you share the endpoint URL for a request-based trigger with other parties, you can generate callback URLs that use specific keys and have expiration dates. So können Sie nahtlos rollierende Schlüssel bereitstellen oder den Zugriff für das Auslösen Ihrer Logik-App auf einen bestimmten Zeitraum einschränken.That way, you can seamlessly roll keys or restrict access to triggering your logic app based on a specific timespan. Über die Logic Apps-REST-API können Sie ein Ablaufdatum für eine URL angeben. Beispiel:To specify an expiration date for a URL, use the Logic Apps REST API, for example:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Verwenden Sie im Text die NotAfter-Eigenschaft mit einer JSON-Datumszeichenfolge.In the body, include the NotAfterproperty by using a JSON date string. Diese Eigenschaft gibt eine Rückruf-URL zurück, die nur bis zum Datum und der Uhrzeit in NotAfter gültig ist.This property returns a callback URL that's valid only until the NotAfter date and time.

Erstellen von URLs mit einem primären oder sekundären geheimen SchlüsselCreate URLs with primary or secondary secret key

Beim Generieren oder Auflisten von Rückruf-URLs für anforderungsbasierte Trigger können Sie den Schlüssel zum Signieren der URL angeben.When you generate or list callback URLs for a request-based trigger, you can specify the key to use for signing the URL. Um eine URL zu generieren, die von einem bestimmten Schlüssel signiert wird, verwenden Sie die Logic Apps-REST-API. Beispiel:To generate a URL that's signed by a specific key, use the Logic Apps REST API, for example:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Schließen Sie in den Textkörper die KeyType-Eigenschaft als Primary oder als Secondary ein.In the body, include the KeyType property as either Primary or Secondary. Diese Eigenschaft gibt eine URL zurück, die mit dem angegebenen Sicherheitsschlüssel signiert ist.This property returns a URL that's signed by the specified security key.

Aktivieren der Azure Active Directory Open Authentication (Azure AD OAuth)Enable Azure Active Directory Open Authentication (Azure AD OAuth)

Für eingehende Aufrufe an einen Endpunkt, der von einem anforderungsbasierten Trigger erstellt wurde, können Sie Azure Active Directory Open Authentication (Azure AD OAuth) aktivieren, indem Sie eine Autorisierungsrichtlinie für Ihre Logik-App definieren oder dieser hinzufügen.For inbound calls to an endpoint that's created by a request-based trigger, you can enable Azure Active Directory Open Authentication (Azure AD OAuth) by defining or adding an authorization policy for your logic app. Auf diese Weise verwenden eingehende Aufrufe OAuth-Zugriffstoken für die Autorisierung.This way, inbound calls use OAuth access tokens for authorization.

Wenn Ihre Logik-App eine eingehende Anforderung mit einem OAuth-Zugriffstoken empfängt, vergleicht der Azure Logic Apps-Dienst die Ansprüche des Tokens mit den in den einzelnen Autorisierungsrichtlinien angegebenen Ansprüchen.When your logic app receives an inbound request that includes an OAuth access token, the Azure Logic Apps service compares the token's claims against the claims specified by each authorization policy. Wenn eine Übereinstimmung zwischen den Ansprüchen des Tokens und allen Ansprüchen in mindestens einer Richtlinie vorliegt, ist die Autorisierung für die eingehende Anforderung erfolgreich.If a match exists between the token's claims and all the claims in at least one policy, authorization succeeds for the inbound request. Das Token kann mehr Ansprüche als von der Autorisierungsrichtlinie angegeben aufweisen.The token can have more claims than the number specified by the authorization policy.

Bevor Sie Azure AD OAuth aktivieren, berücksichtigen Sie die folgenden Überlegungen:Before you enable Azure AD OAuth, review these considerations:

  • Bei einem eingehenden Aufruf an den Anforderungsendpunkt kann nur ein Autorisierungsschema verwendet werden, entweder Azure AD OAuth oder Shared Access Signature (SAS).An inbound call to the request endpoint can use only one authorization scheme, either Azure AD OAuth or Shared Access Signature (SAS). Durch die Verwendung eines Schemas wird das andere Schema nicht deaktiviert, die gleichzeitige Verwendung beider Schemas führt jedoch zu einem Fehler, da der Logic Apps-Dienst nicht weiß, welches Schema ausgewählt werden soll.Although using one scheme doesn't disable the other scheme, using both schemes at the same time causes an error because the Logic Apps service doesn't know which scheme to choose.

  • Nur Bearer-artige Autorisierungsschemas werden für Azure AD OAuth-Zugriffstoken unterstützt, was bedeutet, dass im Authorization-Header für das Zugriffstoken der Typ Bearer angegeben werden muss.Only Bearer-type authorization schemes are supported for Azure AD OAuth access tokens, which means that the Authorization header for the access token must specify the Bearer type.

  • Ihre Logik-App ist auf eine maximale Anzahl von Autorisierungsrichtlinien beschränkt.Your logic app is limited to a maximum number of authorization policies. Jede Autorisierungsrichtlinie verfügt auch über eine maximale Anzahl von Ansprüchen.Each authorization policy also has a maximum number of claims. Weitere Informationen finden Sie unter Grenzwerte und Konfiguration für Azure Logic Apps.For more information, see Limits and configuration for Azure Logic Apps.

  • Eine Autorisierungsrichtlinie muss mindestens den Anspruch Aussteller enthalten, der einen Wert als Azure AD-Aussteller-ID hat, der entweder mit https://sts.windows.net/ oder mit https://login.microsoftonline.com/ (OAuth V2) beginnt.An authorization policy must include at least the Issuer claim, which has a value that starts with either https://sts.windows.net/ or https://login.microsoftonline.com/ (OAuth V2) as the Azure AD issuer ID.

    Angenommen, Ihre Logik-App verfügt über eine Autorisierungsrichtlinie, die zwei Anspruchstypen erfordert, Zielgruppe und Aussteller.For example, suppose that your logic app has an authorization policy that requires two claim types, Audience and Issuer. Dieser Beispielpayloadabschnitt für ein decodiertes Zugriffstoken umfasst beide Anspruchstypen, wobei aud der Wert Zielgruppe und iss der Wert Aussteller ist:This sample payload section for a decoded access token includes both claim types where aud is the Audience value and iss is the Issuer value:

    {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
        "iat": 1582056988,
        "nbf": 1582056988,
        "exp": 1582060888,
        "_claim_names": {
           "groups": "src1"
        },
        "_claim_sources": {
           "src1": {
              "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
           }
        },
        "acr": "1",
        "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
        "amr": [
           "rsa",
           "mfa"
        ],
        "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
        "appidacr": "2",
        "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
        "family_name": "Sophia Owen",
        "given_name": "Sophia Owen (Fabrikam)",
        "ipaddr": "167.220.2.46",
        "name": "sophiaowen",
        "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
        "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
        "puid": "1003000000098FE48CE",
        "scp": "user_impersonation",
        "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
        "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "unique_name": "SophiaOwen@fabrikam.com",
        "upn": "SophiaOwen@fabrikam.com",
        "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
        "ver": "1.0"
    }
    

Definieren einer Autorisierungsrichtlinie im Azure-PortalDefine authorization policy in Azure portal

Um Azure AD OAuth für Ihre Logik-App im Azure-Portal zu aktivieren, führen Sie die folgenden Schritte aus, um Ihrer Logik-App mindestens eine Autorisierungsrichtlinie hinzuzufügen:To enable Azure AD OAuth for your logic app in the Azure portal, follow these steps to add one or more authorization policies to your logic app:

  1. Suchen oder öffnen Sie Ihre Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, find and open your logic app in the Logic App Designer.

  2. Wählen Sie im Menü der Logik-App unter Einstellungen die Option Autorisierung aus.On the logic app menu, under Settings, select Authorization. Sobald der Bereich „Autorisierung“ geöffnet ist, wählen Sie Richtlinie hinzufügen aus.After the Authorization pane opens, select Add policy.

    Auswählen von „Autorisierung > Richtlinie hinzufügen“

  3. Geben Sie Informationen zur Autorisierungsrichtlinie an, indem Sie die Anspruchstypen und Werte angeben, die ihre Logik-App im Zugriffstoken erwartet, das von jedem eingehenden Aufruf dem Anforderungstrigger präsentiert wird:Provide information about the authorization policy by specifying the claim types and values that your logic app expects in the access token presented by each inbound call to the Request trigger:

    Bereitstellen von Informationen für die Autorisierungsrichtlinie

    EigenschaftProperty ErforderlichRequired BESCHREIBUNGDescription
    RichtliniennamePolicy name JaYes Der Name, den Sie für die Autorisierungsinstanz verwenden möchtenThe name that you want to use for the authorization policy
    AnsprücheClaims JaYes Die Anspruchstypen und -werte, die ihre Logik-App von eingehenden Aufrufen akzeptiert.The claim types and values that your logic app accepts from inbound calls. Der Anspruchswert darf maximal 80 Zeichen lang sein.The claim value is limited to 80 characters. Im Folgenden finden Sie die verfügbaren Anspruchstypen:Here are the available claim types:

    - Aussteller- Issuer
    - Zielgruppe- Audience
    - Betreff- Subject
    - JWT-ID (JSON Web Token-ID)- JWT ID (JSON Web Token ID)

    Die Liste der Ansprüche muss mindestens den Anspruch Aussteller enthalten, dem als Azure AD-Aussteller-ID ein Wert zugeordnet ist, der mit https://sts.windows.net/ oder https://login.microsoftonline.com/ beginnt.At a minimum, the Claims list must include the Issuer claim, which has a value that starts with https://sts.windows.net/ or https://login.microsoftonline.com/ as the Azure AD issuer ID. Weitere Informationen zu diesen Anspruchstypen finden Sie unter Ansprüche in Sicherheitstoken von Azure AD.For more information about these claim types, see Claims in Azure AD security tokens. Sie können auch Ihren eigenen Anspruchstyp und -wert angeben.You can also specify your own claim type and value.

  4. Zum Hinzufügen eines weiteren Anspruchs wählen Sie eine der folgenden Optionen aus:To add another claim, select from these options:

    • Um einen weiteren Anspruchstyp hinzuzufügen, wählen Sie Standardanspruch hinzufügen aus und geben den Anspruchswert an.To add another claim type, select Add standard claim, select the claim type, and specify the claim value.

    • Um Ihren eigenen Anspruch hinzuzufügen, wählen Sie Benutzerdefinierten Anspruch hinzufügen aus und geben den benutzerdefinierten Anspruchswert an.To add your own claim, select Add custom claim, and specify the custom claim value.

  5. Zum Hinzufügen einer weiteren Autorisierungsrichtlinie wählen Sie Richtlinie hinzufügen aus.To add another authorization policy, select Add policy. Wiederholen Sie die vorherigen Schritte, um die Richtlinie einzurichten.Repeat the previous steps to set up the policy.

  6. Klicken Sie auf Speichern, wenn Sie fertig sind.When you're done, select Save.

  7. Informationen, wie Sie den Authorization-Header aus dem Zugriffstoken in die anforderungsbasierten Triggerausgaben aufnehmen, finden Sie unter Aufnehmen des „Authorization“-Headers in Anforderungstriggerausgaben.To include the Authorization header from the access token in the request-based trigger outputs, see Include 'Authorization' header in request trigger outputs.

Definieren einer Autorisierungsrichtlinie in einer Azure Resource Manager-VorlageDefine authorization policy in Azure Resource Manager template

Um Azure AD OAuth in der ARM-Vorlage für die Bereitstellung Ihrer Logik-App zu aktivieren, führen Sie die folgenden Schritte und die folgende Syntax aus:To enable Azure AD OAuth in the ARM template for deploying your logic app, follow these steps and the syntax below:

  1. Fügen Sie im Abschnitt properties für die Ressourcendefinition Ihrer Logik-App ein accessControl-Objekt hinzu, falls keines vorhanden ist, das ein triggers-Objekt enthält.In the properties section for your logic app's resource definition, add an accessControl object, if none exists, that contains a triggers object.

    Weitere Informationen zum accessControl-Objekt finden Sie unter Einschränken eingehender IP-Adressbereiche in Azure Resource Manager-Vorlagen und Microsoft.Logic-Workflows-Vorlagenreferenz.For more information about the accessControl object, see Restrict inbound IP ranges in Azure Resource Manager template and Microsoft.Logic workflows template reference.

  2. Fügen Sie im triggers-Objekt ein openAuthenticationPolicies-Objekt hinzu, das das policies-Objekt enthält, in dem Sie eine oder mehrere Autorisierungsrichtlinien definieren.In the triggers object, add an openAuthenticationPolicies object that contains the policies object where you define one or more authorization policies.

  3. Geben Sie einen Namen für die Autorisierungsrichtlinie an, legen Sie den Richtlinientyp auf AAD fest, und schließen Sie ein claims-Array ein, in dem Sie einen oder mehrere Anspruchstypen angeben.Provide a name for authorization policy, set the policy type to AAD, and include a claims array where you specify one or more claim types.

    Das claims-Array muss mindestens den Anspruchstyp „Aussteller“ enthalten, wobei Sie die name-Eigenschaft des Anspruchs auf iss festlegen und den Anfang des value auf https://sts.windows.net/ oder https://login.microsoftonline.com/ als Azure AD Aussteller-ID festlegen.At a minimum, the claims array must include the Issuer claim type where you set the claim's name property to iss and set the value to start with https://sts.windows.net/ or https://login.microsoftonline.com/ as the Azure AD issuer ID. Weitere Informationen zu diesen Anspruchstypen finden Sie unter Ansprüche in Sicherheitstoken von Azure AD.For more information about these claim types, see Claims in Azure AD security tokens. Sie können auch Ihren eigenen Anspruchstyp und -wert angeben.You can also specify your own claim type and value.

  4. Informationen, wie Sie den Authorization-Header aus dem Zugriffstoken in die anforderungsbasierten Triggerausgaben aufnehmen, finden Sie unter Aufnehmen des „Authorization“-Headers in Anforderungstriggerausgaben.To include the Authorization header from the access token in the request-based trigger outputs, see Include 'Authorization' header in request trigger outputs.

Dies ist die einzuhaltende Syntax:Here's the syntax to follow:

"resources": [
   {
      // Start logic app resource definition
      "properties": {
         "state": "<Enabled-or-Disabled>",
         "definition": {<workflow-definition>},
         "parameters": {<workflow-definition-parameter-values>},
         "accessControl": {
            "triggers": {
               "openAuthenticationPolicies": {
                  "policies": {
                     "<policy-name>": {
                        "type": "AAD",
                        "claims": [
                           {
                              "name": "<claim-name>",
                              "value": "<claim-value>"
                           }
                        ]
                     }
                  }
               }
            },
         },
      },
      "name": "[parameters('LogicAppName')]",
      "type": "Microsoft.Logic/workflows",
      "location": "[parameters('LogicAppLocation')]",
      "apiVersion": "2016-06-01",
      "dependsOn": [
      ]
   }
   // End logic app resource definition
],

Einschließen des „Authorization“-Headers in AnforderungstriggerausgabenInclude 'Authorization' header in request trigger outputs

Für Logik-Apps, die Azure Active Directory Open Authentication (Azure AD OAuth) aktivieren, um den Zugriff eingehender Aufrufe an anforderungsbasierte Trigger zu autorisieren, können Sie die Anforderungstrigger- oder HTTP-Webhook-Triggerausgaben für die die Aufnahme des Authorization-Headers aus dem OAuth-Zugriffstoken aktivieren.For logic apps that enable Azure Active Directory Open Authentication (Azure AD OAuth) for authorizing inbound calls to access request-based triggers, you can enable the Request trigger or HTTP Webhook trigger outputs to include the Authorization header from the OAuth access token. Fügen Sie in der zugrunde liegenden JSON-Definition die Eigenschaft IncludeAuthorizationHeadersInOutputs hinzu, und legen Sie sie auf operationOptions fest.In the trigger's underlying JSON definition, add and set the operationOptions property to IncludeAuthorizationHeadersInOutputs. Hier sehen Sie ein Beispiel für den Anforderungstrigger:Here's an example for the Request trigger:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

Verfügbarmachen Ihrer Logik-App mit Azure API ManagementExpose your logic app with Azure API Management

Um Ihrer Logik-App weitere Authentifizierungsprotokolle hinzuzufügen, können Sie den Dienst Azure API Management verwenden.To add more authentication protocols to your logic app, consider using the Azure API Management service. Dieser Dienst hilft Ihnen, Ihre Logik-App als API verfügbar zu machen. Er bietet außerdem umfassende Überwachung, Sicherheit, Richtlinien und Dokumentation für alle Endpunkte.This service helps you expose your logic app as an API and offers rich monitoring, security, policy, and documentation for any endpoint. Mit API Management können Sie einen öffentlichen oder privaten Endpunkt für die Logik-App verfügbar machen.API Management can expose a public or private endpoint for your logic app. Um den Zugriff auf diesen Endpunkt zu autorisieren, können Sie Azure AD OAuth, Clientzertifikate oder andere Sicherheitsstandards verwenden.To authorize access to this endpoint, you can use Azure AD OAuth, client certificate, or other security standards for authorizing access to that endpoint. Wenn API Management eine Anforderung empfängt, sendet der Dienst die Anforderung an Ihre Logik-App und setzt dazu alle erforderlichen Transformationen oder Einschränkungen um.When API Management receives a request, the service sends the request to your logic app, also making any necessary transformations or restrictions along the way. Damit nur API Management Ihre Logik-App aufrufen kann, können Sie die eingehenden IP-Adressen Ihrer Logik-App einschränken.To let only API Management call your logic app, you can restrict your logic app's inbound IP addresses.

Einschränken eingehender IP-AdressenRestrict inbound IP addresses

Zusätzlich zur Shared Access Signature (SAS) empfiehlt es sich, spezifisch die Clients einzuschränken, die Ihre Logik-App aufrufen können.Along with Shared Access Signature (SAS), you might want to specifically limit the clients that can call your logic app. Beispiel: Wenn Sie den Anforderungsendpunkt mit Azure API Management verwalten, können Sie für die Logik-App festlegen, dass sie Anforderungen nur von der IP-Adresse der von Ihnen erstellten API Management-Dienstinstanz annimmt.For example, if you manage your request endpoint by using Azure API Management, you can restrict your logic app to accept requests only from the IP address for the API Management service instance that you create.

Hinweis

Unabhängig von den von Ihnen angegebenen IP-Adressen können Sie eine Logik-App, die einen anforderungsbasierten Trigger hat, mithilfe der Anforderung Logic Apps-REST-API: Workflowtrigger – Ausführen oder über API Management weiterhin ausführen.Regardless of any IP addresses that you specify, you can still run a logic app that has a request-based trigger by using the Logic Apps REST API: Workflow Triggers - Run request or by using API Management. In diesem Szenario ist jedoch weiterhin eine Authentifizierung über die Azure-REST-API erforderlich.However, this scenario still requires authentication against the Azure REST API. Alle Ereignisse werden im Azure-Überwachungsprotokoll angezeigt.All events appear in the Azure Audit Log. Achten Sie darauf, die Richtlinien für die Zugriffssteuerung entsprechend festzulegen.Make sure that you set access control policies accordingly.

Einschränken eingehender IP-Adressbereiche im Azure-PortalRestrict inbound IP ranges in Azure portal

  1. Öffnen Sie Ihre Logik-App über das Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in the Logic App Designer.

  2. Wählen Sie im Menü Ihrer Logik-App unter Einstellungen die Option Workfloweinstellungen aus.On your logic app's menu, under Settings, select Workflow settings.

  3. Wählen Sie im Abschnitt Konfiguration der Zugriffssteuerung unter Zulässige eingehende IP-Adressen den Pfad für Ihr Szenario aus:In the Access control configuration section, under Allowed inbound IP addresses, choose the path for your scenario:

    • Damit Ihre Logik-App nur über die integrierte Azure Logic Apps-Aktion als geschachtelte Logik-App aufgerufen werden kann, wählen Sie Nur andere Logik-Apps aus. Dies funktioniert nur, wenn Sie die Azure Logic Apps-Aktion für den Aufruf der geschachtelten Logik-App verwenden.To make your logic app callable only as a nested logic app by using the built-in Azure Logic Apps action, select Only other Logic Apps, which works only when you use the Azure Logic Apps action to call the nested logic app.

      Diese Option schreibt ein leeres Array in Ihre Logik-App-Ressource und legt fest, dass nur Aufrufe von übergeordneten Logik-Apps, die die Azure Logic Apps-Aktion verwenden, die geschachtelte Logik-App auslösen können.This option writes an empty array to your logic app resource and requires that only calls from parent logic apps that use the built-in Azure Logic Apps action can trigger the nested logic app.

    • Damit Ihre Logik-App nur über die HTTP-Aktion als geschachtelte App aufgerufen werden kann, wählen Sie Spezifische IP-Bereiche aus, nicht Nur andere Logik-Apps.To make your logic app callable only as a nested app by using the HTTP action, select Specific IP ranges, not Only other Logic Apps. Wenn das Feld IP-Bereiche für Trigger angezeigt wird, geben Sie die ausgehenden IP-Adressen der übergeordneten Logik-App ein.When the IP ranges for triggers box appears, enter the parent logic app's outbound IP addresses. Ein gültiger IP-Adressbereich verwenden die Formate x.x.x.x/x oder x.x.x.x-x.x.x.x.A valid IP range uses these formats: x.x.x.x/x or x.x.x.x-x.x.x.x.

      Hinweis

      Wenn Sie die Option Nur andere Logik-Apps und die HTTP-Aktion zum Aufrufen Ihrer geschachtelten Logik-App verwenden, wird der Aufruf blockiert, und Sie erhalten einen „401 – nicht autorisiert“-Fehler.If you use the Only other Logic Apps option and the HTTP action to call your nested logic app, the call is blocked, and you get a "401 Unauthorized" error.

    • In Szenarien, in denen Sie eingehende Aufrufe von anderen IP-Adressen beschränken möchten, geben Sie im Feld IP-Bereiche für Trigger die IP-Adressbereiche ein, die vom Trigger akzeptiert werden.For scenarios where you want to restrict inbound calls from other IPs, when the IP ranges for triggers box appears, specify the IP address ranges that the trigger accepts. Ein gültiger IP-Adressbereich verwenden die Formate x.x.x.x/x oder x.x.x.x-x.x.x.x.A valid IP range uses these formats: x.x.x.x/x or x.x.x.x-x.x.x.x.

  4. Optional können Sie unter Aufrufe auf den Empfang von Eingabe- und Ausgabemeldungen vom Ausführungsverlauf an die angegebenen IP-Adressen beschränken die IP-Adressbereiche für eingehende Aufrufe angeben, die auf Eingabe- und Ausgabemeldungen im Ausführungsverlauf zugreifen können.Optionally, under Restrict calls to get input and output messages from run history to the provided IP addresses, you can specify the IP address ranges for inbound calls that can access input and output messages in run history.

Einschränken eingehender IP-Adressbereich in der Azure Resource Manager-VorlageRestrict inbound IP ranges in Azure Resource Manager template

Wenn Sie die Bereitstellung von Logik-Apps durch Verwenden von Resource Manager-Vorlagen automatisieren, können Sie die zulässigen eingehenden IP-Adressbereiche im Abschnitt accessControl der Ressourcendefinition Ihrer Logik-App angeben.If you automate deployment for logic apps by using Resource Manager templates, you can specify the permitted inbound IP address ranges in your logic app's resource definition by using the accessControl section. Verwenden Sie dort die Abschnitte für triggers, actions und optional contents, indem Sie den Abschnitt allowedCallerIpAddresses mit der Eigenschaft addressRange einschließen und den Eigenschaftswert auf den zulässigen IP-Adressbereich im Format x.x.x.x/x oder x.x.x.x-x.x.x.x festlegen.In this section, use the triggers, actions, and the optional contents sections as appropriate by including the allowedCallerIpAddresses section with the addressRange property and set the property value to the permitted IP range in x.x.x.x/x or x.x.x.x-x.x.x.x format.

  • Wenn Ihre geschachtelte Logik-App die Option Nur andere Logik-Apps verwendet, die eingehende Aufrufe nur von anderen Logik-Apps mit der Azure Logic Apps-Aktion zulässt, legen Sie die Eigenschaft addressRange auf ein leeres Array fest ( [] ).If your nested logic app uses the Only other Logic Apps option, which permits inbound calls only from other logic apps that use the Azure Logic Apps action, set the addressRange property to an empty array ([]).

  • Wenn Ihre geschachtelte Logik-App die Option Spezifische IP-Bereiche für andere eingehende Aufrufe verwendet (beispielsweise durch andere Logik-Apps, die die HTTP-Aktion verwenden), legen Sie die Eigenschaft addressRange auf den zulässigen IP-Adressbereich fest.If your nested logic app uses the Specific IP ranges option for other inbound calls, such as other logic apps that use the HTTP action, set the addressRange property to the permitted IP range.

Dieses Beispiel zeigt die Ressourcendefinition für eine geschachtelte Logik-App, die eingehende Aufrufe nur von Logik-Apps zulässt, die die integrierte Azure Logic Apps-Aktion verwenden:This example shows a resource definition for a nested logic app that permits inbound calls only from logic apps that use the built-in Azure Logic Apps action:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": []
                     }
                  ]
               },
               "actions": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": []
                     }
                  ]
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

Dieses Beispiel zeigt die Ressourcendefinition für eine geschachtelte Logik-App, die eingehende Aufrufe von Logik-Apps zulässt, die die HTTP-Aktion verwenden:This example shows a resource definition for a nested logic app that permits inbound calls from logic apps that use the HTTP action:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               },
               "actions": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

Zugriff auf Logik-App-VorgängeAccess to logic app operations

Sie können nur bestimmten Benutzern oder Gruppen erlauben, bestimmte Aufgaben auszuführen, wie z. B. das Verwalten, Bearbeiten und Anzeigen von Logik-Apps.You can permit only specific users or groups to run specific tasks, such as managing, editing, and viewing logic apps. Um die jeweiligen Berechtigungen zu steuern, verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, RBAC), damit Sie den Mitgliedern in Ihrem Azure-Abonnement benutzerdefinierte oder integrierte Rollen zuweisen können:To control their permissions, use Azure role-based access control (Azure RBAC) so that you can assign customized or built-in roles to the members in your Azure subscription:

  • Logik-App-Mitwirkender: Ermöglicht Ihnen die Verwaltung von Logik-Apps, aber nicht die Änderung des App-Zugriffs.Logic App Contributor: Lets you manage logic apps, but you can't change access to them.

  • Logik-App-Operator: Ermöglicht Ihnen das Lesen, Aktivieren und Deaktivieren von Logik-Apps, die Sie aber nicht bearbeiten oder aktualisieren können.Logic App Operator: Lets you read, enable, and disable logic apps, but you can't edit or update them.

Um zu verhindern, dass andere Personen Ihre Logik-App ändern oder löschen, können Sie Azure-Ressourcensperren verwenden.To prevent others from changing or deleting your logic app, you can use Azure Resource Lock. Diese Funktion verhindert, dass andere Personen Produktionsressourcen ändern oder löschen.This capability prevents others from changing or deleting production resources.

Zugriff auf AusführungsverlaufsdatenAccess to run history data

Während der Ausführung einer Logik-App werden alle Daten bei der Übertragung mithilfe von Transport Layer Security (TLS) sowie im Ruhezustand verschlüsselt.During a logic app run, all the data is encrypted during transit by using Transport Layer Security (TLS) and at rest. Wenn Ihre Logik-App die Ausführung beendet hat, können Sie den Verlauf für diese Ausführung anzeigen, einschließlich der ausgeführten Schritte sowie Status, Dauer, Eingaben und Ausgaben für die einzelnen Aktionen.When your logic app finishes running, you can view the history for that run, including the steps that ran along with the status, duration, inputs, and outputs for each action. Diese umfangreichen Informationen geben einen Einblick in die Funktionsweise Ihrer Logik-App und zeigen, wo Sie bei der Problembehandlung ansetzen können.This rich detail provides insight into how your logic app ran and where you might start troubleshooting any problems that arise.

Wenn Sie den Ausführungsverlauf Ihrer Logik-App anzeigen, authentifiziert Azure Logic Apps Ihren Zugriff und stellt dann Links zu den Ein- und Ausgaben für die Anforderungen und Antworten für jede Ausführung bereit.When you view your logic app's run history, Logic Apps authenticates your access and then provides links to the inputs and outputs for the requests and responses for each run. Bei Aktionen, die Kennwörter, Geheimnisse, Schlüssel oder andere sensible Informationen verarbeiten, sollten Sie jedoch verhindern, dass andere Personen diese Daten einsehen und darauf zugreifen.However, for actions that handle any passwords, secrets, keys, or other sensitive information, you want to prevent others from viewing and accessing that data. Wenn Ihre Logik-App beispielsweise ein Geheimnis aus Azure Key Vault erhält, das bei der Authentifizierung einer HTTP-Aktion verwendet werden soll, sollten Sie dieses Geheimnis ausblenden.For example, if your logic app gets a secret from Azure Key Vault to use when authenticating an HTTP action, you want to hide that secret from view.

Um den Zugriff auf die Ein- und Ausgaben im Ausführungsverlauf Ihrer Logik-App zu steuern, stehen Ihnen folgende Optionen zur Verfügung:To control access to the inputs and outputs in your logic app's run history, you have these options:

Beschränken des Zugriffs nach IP-AdressbereichRestrict access by IP address range

Sie können den Zugriff auf die Ein- und Ausgaben im Ausführungsverlauf Ihrer Logik-App so einschränken, dass diese Daten nur für Anforderungen aus bestimmten IP-Adressbereichen einsehbar sind.You can limit access to the inputs and outputs in your logic app's run history so that only requests from specific IP address ranges can view that data. Um beispielsweise den Zugriff auf Ein- und Ausgaben zu verhindern, geben Sie einen IP-Adressbereich wie z. B. 0.0.0.0-0.0.0.0 an.For example, to block anyone from accessing inputs and outputs, specify an IP address range such as 0.0.0.0-0.0.0.0. Nur Personen mit Administratorberechtigungen können diese Einschränkung entfernen und erhalten damit die Möglichkeit für einen Just-In-Time-Zugriff auf die Daten Ihrer Logik-App.Only a person with administrator permissions can remove this restriction, which provides the possibility for "just-in-time" access to your logic app's data. Sie können die einzuschränkenden IP-Bereiche entweder über das Azure-Portal oder in einer Azure Resource Manager-Vorlage angeben, die Sie für die Bereitstellung von Logik-Apps verwenden.You can specify the IP ranges to restrict either by using the Azure portal or in an Azure Resource Manager template that you use for logic app deployment.

Einschränken von IP-Adressbereichen im Azure-PortalRestrict IP ranges in Azure portal

  1. Öffnen Sie die Logik-App im Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in the Logic App Designer.

  2. Wählen Sie im Menü Ihrer Logik-App unter Einstellungen die Option Workfloweinstellungen aus.On your logic app's menu, under Settings, select Workflow settings.

  3. Wählen Sie unter Konfiguration der Zugriffssteuerung > Zulässige eingehende IP-Adressen die Option Spezifische IP-Bereiche aus.Under Access control configuration > Allowed inbound IP addresses, select Specific IP ranges.

  4. Geben Sie unter IP-Bereiche für Inhalte die IP-Adressbereiche an, die auf Inhalte von Eingaben und Ausgaben zugreifen können.Under IP ranges for contents, specify the IP address ranges that can access content from inputs and outputs.

    Gültige IP-Adressbereiche verwenden die Formate x.x.x.x/x oder x.x.x.x-x.x.x.x.A valid IP range uses these formats: x.x.x.x/x or x.x.x.x-x.x.x.x

Einschränken von IP-Adressbereichen in einer Azure Resource Manager-VorlageRestrict IP ranges in Azure Resource Manager template

Wenn Sie die Bereitstellung von Logik-Apps mithilfe einer Resource Manager-Vorlage automatisieren, können Sie die IP-Adressbereiche angeben, indem Sie den Abschnitt accessControl mit dem Abschnitt contents in der Ressourcendefinition Ihrer Logik-App verwenden. Beispiel:If you automate deployment for logic apps by using Resource Manager templates, you can specify the IP ranges by using the accessControl section with the contents section in your logic app's resource definition, for example:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {<workflow-definition>},
            "parameters": {},
            "accessControl": {
               "contents": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     },
                     {
                        "addressRange": "2001:0db8::/64"
                     }
                  ]
               }
            }
         }
      }
   ],
   "outputs": {}
}

Schützen von Daten im Ausführungsverlauf mittels ObfuskationSecure data in run history by using obfuscation

Bei vielen Triggern und Aktionen stehen Einstellungen zur Verfügung, um Eingaben, Ausgaben oder beides im Ausführungsverlauf einer Logik-App zu schützen.Many triggers and actions have settings to secure inputs, outputs, or both from a logic app's run history. Bevor Sie diese Einstellungen verwenden, um entsprechende Daten zu schützen, berücksichtigen Sie diese Aspekte.Before using these settings to help you secure this data, review these considerations.

Schützen von Ein- und Ausgaben im DesignerSecure inputs and outputs in the designer

  1. Öffnen Sie Ihre Logik-App über das Azure-Portal im Logik-App-Designer.In the Azure portal, open your logic app in the Logic App Designer.

    Öffnen einer Logik-App im Logik-App-Designer

  2. Wählen Sie für den Trigger oder die Aktion, bei dem/der Sie vertrauliche Daten schützen möchten, die Schaltfläche mit den Auslassungspunkten ( ... ) und dann Einstellungen aus.On the trigger or action where you want to secure sensitive data, select the ellipses (...) button, and then select Settings.

    Öffnen von Trigger- oder Aktionseinstellungen

  3. Aktivieren Sie entweder Sichere Eingaben, Sichere Ausgaben oder beides.Turn on either Secure Inputs, Secure Outputs, or both. Klicken Sie auf Fertig, wenn Sie fertig sind.When you're finished, select Done.

    Aktivieren von „Sichere Eingaben“ oder „Sichere Ausgaben“

    Die Aktion oder der Trigger zeigt jetzt ein Schlosssymbol in der Titelleiste an.The action or trigger now shows a lock icon in the title bar.

    Titelleiste einer Aktion oder eines Triggers mit Sperrsymbol

    Token, die sichere Ausgaben aus früheren Aktionen darstellen, zeigen ebenfalls Schlosssymbole an.Tokens that represent secured outputs from previous actions also show lock icons. Wenn Sie beispielsweise eine solche Ausgabe aus der Liste mit dynamischen Inhalten für eine Aktion auswählen, zeigt das entsprechende Token ein Schlosssymbol an.For example, when you select such an output from the dynamic content list to use in an action, that token shows a lock icon.

    Auswählen des Tokens für abgesicherte Ausgabe

  4. Nachdem die Logik-App ausgeführt wurde, können Sie den Verlauf für diese Ausführung anzeigen.After the logic app runs, you can view the history for that run.

    1. Wählen Sie im Bereich Übersicht der Logik-App die Ausführung aus, die Sie anzeigen möchten.On the logic app's Overview pane, select the run that you want to view.

    2. Erweitern Sie im Bereich Logik-App-Ausführung die Aktionen, die Sie überprüfen möchten.On the Logic app run pane, expand the actions that you want to review.

      Wenn Sie sowohl die Ein- als auch die Ausgaben zum Verbergen ausgewählt haben, werden diese Werte jetzt ausgeblendet.If you chose to obscure both inputs and outputs, those values now appear hidden.

      Ausgeblendete Ein- und Ausgaben im Ausführungsverlauf

Schützen von Ein- und Ausgaben in der CodeansichtSecure inputs and outputs in code view

Fügen Sie in der zugrunde liegenden Trigger- oder Aktionsdefinition das Array runtimeConfiguration.secureData.properties mit einem der folgenden Werte (oder mit beiden Werten) hinzu, oder aktualisieren Sie es entsprechend:In the underlying trigger or action definition, add or update the runtimeConfiguration.secureData.properties array with either or both of these values:

  • "inputs": Schützt Eingaben im Ausführungsverlauf."inputs": Secures inputs in run history.
  • "outputs": Schützt Ausgaben im Ausführungsverlauf."outputs": Secures outputs in run history.

Wenn Sie diese Einstellungen verwenden, um entsprechende Daten zu schützen, müssen einige Aspekte berücksichtigt werden.Here are some considerations to review when you use these settings to help you secure this data.

"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Überlegungen im Zusammenhang mit dem Schützen von Ein- und AusgabenConsiderations when securing inputs and outputs

  • Wenn Sie die Ein- oder Ausgaben für einen Trigger oder eine Aktion verbergen, sendet Logic Apps die geschützten Daten nicht an Azure Log Analytics.When you obscure the inputs or outputs on a trigger or action, Logic Apps doesn't send the secured data to Azure Log Analytics. Außerdem können Sie diesem Auslöser oder dieser Aktion keine nachverfolgten Eigenschaften zur Überwachung hinzufügen.Also, you can't add tracked properties to that trigger or action for monitoring.

  • Die Logic Apps-API zur Verarbeitung des Workflowverlaufs gibt keine sicheren Ausgaben zurück.The Logic Apps API for handling workflow history doesn't return secured outputs.

  • Um Ausgaben einer Aktion zu schützen, die Eingaben verbirgt oder explizit Ausgaben verbirgt, aktivieren Sie in dieser Aktion Sichere Ausgaben manuell.To secure outputs from an action that obscures inputs or explicitly obscures outputs, manually turn on Secure Outputs in that action.

  • Stellen Sie sicher, dass Sie Sichere Eingaben oder Sichere Ausgaben in nachfolgenden Aktionen aktivieren, bei denen Sie erwarten, dass die Daten im Ausführungsverlauf verborgen werden.Make sure that you turn on Secure Inputs or Secure Outputs in downstream actions where you expect the run history to obscure that data.

    Einstellung „Sichere Ausgaben“Secure Outputs setting

    Wenn Sie Sichere Ausgaben in einem Trigger oder einer Aktion manuell aktivieren, blendet Logic Apps diese Ausgaben im Ausführungsverlauf aus.When you manually turn on Secure Outputs in a trigger or action, Logic Apps hides these outputs in the run history. Wenn eine nachfolgende Aktion diese sicheren Ausgaben explizit als Eingaben verwendet, blendet Logic Apps die Eingaben dieser Aktion im Ausführungsverlauf aus, aktiviert aber nicht die Einstellung Sichere Eingaben der Aktion.If a downstream action explicitly uses these secured outputs as inputs, Logic Apps hides this action's inputs in the run history, but doesn't enable the action's Secure Inputs setting.

    Sichere Ausgaben als Eingaben und nachgeschaltete Auswirkungen auf die meisten Aktionen

    Die Aktionen „Erstellen“, „JSON analysieren“ und „Antwort“ weisen nur die Einstellung Sichere Eingaben auf.The Compose, Parse JSON, and Response actions has only the Secure Inputs setting. Wenn diese aktiviert wird, blendet diese Einstellung auch die Ausgaben dieser Aktionen aus.When turned on, the setting also hides these actions' outputs. Wenn diese Aktionen explizit die sicheren Upstreamausgaben als Eingaben verwenden, blendet Logic Apps die Ein- und Ausgaben dieser Aktionen aus, aktiviert aber nicht die Einstellung Sichere Eingaben dieser Aktionen.If these actions explicitly use the upstream secured outputs as inputs, Logic Apps hides these actions' inputs and outputs, but doesn't enable these actions' Secure Inputs setting. Wenn eine nachfolgende Aktion explizit die ausgeblendeten Ausgaben der Aktionen „Erstellen“, „JSON analysieren“ oder „Antwort“ als Eingaben verwendet, blendet Logic Apps die Ein- oder Ausgaben dieser nachfolgenden Aktion nicht aus.If a downstream action explicitly uses the hidden outputs from the Compose, Parse JSON, or Response actions as inputs, Logic Apps doesn't hide this downstream action's inputs or outputs.

    Sichere Ausgaben als Eingaben mit nachgeschalteten Auswirkungen auf bestimmte Aktionen

    Einstellung „Sichere Eingaben“Secure Inputs setting

    Wenn Sie Sichere Eingaben in einem Trigger oder einer Aktion manuell aktivieren, blendet Logic Apps diese Eingaben im Ausführungsverlauf aus.When you manually turn on Secure Inputs in a trigger or action, Logic Apps hides these inputs in the run history. Wenn eine nachfolgende Aktion explizit die sichtbaren Ausgaben dieses Triggers oder dieser Aktion als Eingaben verwendet, blendet Logic Apps die Eingaben dieser nachfolgenden Aktion im Ausführungsverlauf aus, aktiviert aber nicht die Option Sichere Eingaben in dieser Aktion und blendet die Ausgaben dieser Aktion nicht aus.If a downstream action explicitly uses the visible outputs from that trigger or action as inputs, Logic Apps hides this downstream action's inputs in the run history, but doesn't enable Secure Inputs in this action and doesn't hide this action's outputs.

    Sichere Eingaben und nachgeschaltete Auswirkungen auf die meisten Aktionen

    Wenn die Aktionen „Erstellen“, „JSON analysieren“ und „Antwort“ explizit die sichtbaren Ausgaben des Triggers oder der Aktion mit den sicheren Eingaben verwenden, blendet Logic Apps die Ein- und Ausgaben dieser Aktionen, aktiviert aber nicht die Einstellung Sichere Eingaben der jeweiligen Aktion.If the Compose, Parse JSON, and Response actions explicitly use the visible outputs from the trigger or action that has the secured inputs, Logic Apps hides these actions' inputs and outputs, but doesn't enable these action's Secure Inputs setting. Wenn eine nachfolgende Aktion explizit die ausgeblendeten Ausgaben der Aktionen „Erstellen“, „JSON analysieren“ oder „Antwort“ als Eingaben verwendet, blendet Logic Apps die Ein- oder Ausgaben dieser nachfolgenden Aktion nicht aus.If a downstream action explicitly uses the hidden outputs from the Compose, Parse JSON, or Response actions as inputs, Logic Apps doesn't hide this downstream action's inputs or outputs.

    Sichere Eingaben und nachgeschaltete Auswirkungen auf bestimmte Aktionen

Zugriff auf ParametereingabenAccess to parameter inputs

Wenn Sie Bereitstellungen in verschiedenen Umgebungen durchführen, sollten Sie die Werte in Ihrer Workflowdefinition parametrisieren, die je nach Umgebung variieren.If you deploy across different environments, consider parameterizing the values in your workflow definition that vary based on those environments. Auf diese Weise können Sie hartcodierte Daten vermeiden, indem Sie eine Azure Resource Manager-Vorlage verwenden, um Ihre Logikanwendung bereitzustellen, sensible Daten durch die Definition abgesicherter Parameter zu schützen und diese Daten als separate Eingaben durch die Parameter der Vorlage mithilfe einer Parameterdatei zu übergeben.That way, you can avoid hard-coded data by using an Azure Resource Manager template to deploy your logic app, protect sensitive data by defining secured parameters, and pass that data as separate inputs through the template's parameters by using a parameter file.

Wenn Sie z. B. HTTP-Aktionen mit Azure Active Directory Open Authentication (Azure AD OAuth) authentifizieren, können Sie die Parameter definieren und verbergen, die die Client-ID und das Clientgeheimnis akzeptieren, die für die Authentifizierung verwendet werden.For example, if you authenticate HTTP actions with Azure Active Directory Open Authentication (Azure AD OAuth), you can define and obscure the parameters that accept the client ID and client secret that are used for authentication. Um diese Parameter für Ihre Logik-App zu definieren, verwenden Sie den Abschnitt parameters innerhalb der Workflowdefinition Ihrer Logik-App und eine Resource Manager-Vorlage zur Bereitstellung.To define these parameters in your logic app, use the parameters section in your logic app's workflow definition and Resource Manager template for deployment. Um die Parameterwerte zu schützen, die beim Bearbeiten der Logik-App oder beim Anzeigen des Ausführungsverlaufs nicht angezeigt werden sollen, können Sie Parameter des Typs securestring oder secureobject definieren und bei Bedarf codieren.To help secure parameter values that you don't want shown when editing your logic app or viewing run history, define the parameters by using the securestring or secureobject type and use encoding as necessary. Parameter dieses Typs werden nicht mit der Ressourcendefinition zurückgegeben und sind beim Anzeigen der Ressource nach der Bereitstellung nicht zugänglich.Parameters that have this type aren't returned with the resource definition and aren't accessible when viewing the resource after deployment. Um zur Laufzeit auf diese Parameterwerte zuzugreifen, verwenden Sie den Ausdruck @parameters('<parameter-name>') in Ihrer Workflowdefinition.To access these parameter values during runtime, use the @parameters('<parameter-name>') expression inside your workflow definition. Dieser Ausdruck wird nur zur Laufzeit ausgewertet und durch die Workflowdefinitionssprache beschrieben.This expression is evaluated only at runtime and is described by the Workflow Definition Language.

Hinweis

Wenn Sie einen Parameter im Anforderungsheader oder -text verwenden, kann dieser Parameter sichtbar sein, wenn Sie den Ausführungsverlauf Ihrer Logik-App und die ausgehende HTTP-Anforderung anzeigen.If you use a parameter in a request header or body, that parameter might be visible when you view your logic app's run history and outgoing HTTP request. Achten Sie darauf, Ihre Richtlinien für den Zugriff auf Inhalte entsprechend festzulegen.Make sure that you also set your content access policies accordingly. Sie können auch Obfuskation verwenden, um Ein- und Ausgaben im Ausführungsverlauf auszublenden.You can also use obfuscation to hide inputs and outputs in your run history. Autorisierungsheader sind nie über Eingaben oder Ausgaben sichtbar.Authorization headers are never visible through inputs or outputs. Wenn hier ein Geheimnis verwendet wird, ist dieses daher nicht abrufbar.So if a secret is used there, that secret isn't retrievable.

Weitere Informationen finden in diesem Artikel in diesen Abschnitten:For more information, see these sections in this topic:

Wenn Sie die Bereitstellung für Logik-Apps mithilfe von Resource Manager-Vorlagen automatisieren, können Sie geschützte Vorlagenparameter definieren, die beim Bereitstellen ausgewertet werden, indem Sie die Typen securestring und secureobject verwenden.If you automate deployment for logic apps by using Resource Manager templates, you can define secured template parameters, which are evaluated at deployment, by using the securestring and secureobject types. Um Vorlagenparameter zu definieren, verwenden Sie den Abschnitt parameters auf der obersten Ebene Ihrer Vorlage, der vom Abschnitt parameters Ihrer Workflowdefinition getrennt ist und anders lautet.To define template parameters, use your template's top level parameters section, which is separate and different from your workflow definition's parameters section. Um die Werte für Vorlagenparameter bereitzustellen, verwenden Sie eine separate Parameterdatei.To provide the values for template parameters, use a separate parameter file.

Wenn Sie beispielsweise Geheimnisse verwenden, können Sie sichere Vorlagenparameter definieren und verwenden, die diese Geheimnisse bei der Bereitstellung aus Azure Key Vault abrufen.For example, if you use secrets, you can define and use secured template parameters that retrieve those secrets from Azure Key Vault at deployment. Anschließend können Sie auf den Schlüsseltresor und das Geheimnis in Ihrer Parameterdatei verweisen.You can then reference the key vault and secret in your parameter file. Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

Sichere Parameter in WorkflowdefinitionenSecure parameters in workflow definitions

Zum Schützen sensibler Informationen in der Workflowdefinition der Logik-App verwenden Sie sichere Parameter, damit diese Informationen nach dem Speichern der Logik-App nicht sichtbar sind.To protect sensitive information in your logic app's workflow definition, use secured parameters so this information isn't visible after you save your logic app. Angenommen, Sie verwenden eine HTTP-Aktion, die eine Standardauthentifizierung mit Benutzernamen und Kennwort erfordert.For example, suppose you have an HTTP action requires basic authentication, which uses a username and password. In der Workflowdefinition definiert der Abschnitt parameters die Parameter basicAuthPasswordParam und basicAuthUsernameParam über den Typ securestring.In the workflow definition, the parameters section defines the basicAuthPasswordParam and basicAuthUsernameParam parameters by using the securestring type. Die Aktionsdefinition verweist dann auf diese Parameter im Abschnitt authentication.The action definition then references these parameters in the authentication section.

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Sichere Parameter in Azure Resource Manager-VorlagenSecure parameters in Azure Resource Manager templates

Eine Resource Manager-Vorlage für eine Logik-App enthält mehrere parameters-Abschnitte.A Resource Manager template for a logic app has multiple parameters sections. Um Kennwörter, Schlüssel, Geheimnisse und andere sensible Informationen zu schützen, definieren Sie sichere Parameter auf Vorlagen- und Workflowdefinitionsebene mit dem Typ securestring oder secureobject.To protect passwords, keys, secrets, and other sensitive information, define secured parameters at the template level and workflow definition level by using the securestring or secureobject type. Sie können diese Werte dann in Azure Key Vault speichern und die Parameterdatei verwenden, um auf den Schlüsselspeicher und das Geheimnis zu verweisen.You can then store these values in Azure Key Vault and use the parameter file to reference the key vault and secret. Ihre Vorlage ruft diese Informationen dann bei der Bereitstellung ab.Your template then retrieves that information at deployment. Weiter Informationen finden Sie unter Übergeben vertraulicher Werte bei der Bereitstellung mithilfe von Azure Key Vault.For more information, see Pass sensitive values at deployment by using Azure Key Vault.

Hier finden Sie weitere Informationen zu diesen parameters-Abschnitten:Here is more information about these parameters sections:

  • Auf der obersten Ebene der Vorlage definiert ein parameters-Abschnitt die Parameter für die Werte, die von der Vorlage bei der Bereitstellung verwendet werden.At the template's top level, a parameters section defines the parameters for the values that the template uses at deployment. Diese Werte können beispielsweise Verbindungszeichenfolgen für eine bestimmte Bereitstellungsumgebung beinhalten.For example, these values can include connection strings for a specific deployment environment. Sie können diese Werte dann in einer separaten Parameterdatei speichern, was das Ändern dieser Werte erleichtert.You can then store these values in a separate parameter file, which makes changing these values easier.

  • Innerhalb der Ressourcendefinition Ihrer Logik-App, aber außerhalb Ihrer Workflowdefinition, gibt der Abschnitt parameters die Werte für die Parameter Ihrer Workflowdefinition an.Inside your logic app's resource definition, but outside your workflow definition, a parameters section specifies the values for your workflow definition's parameters. In diesem Abschnitt können Sie diese Werte anhand von Vorlagenausdrücken zuweisen, die auf die Parameter Ihrer Vorlage verweisen.In this section, you can assign these values by using template expressions that reference your template's parameters. Diese Ausdrücke werden bei der Bereitstellung ausgewertet.These expressions are evaluated at deployment.

  • Innerhalb Ihrer Workflowdefinition definiert der Abschnitt parameters die Parameter, die von Ihrer Logik-App zur Runtime verwendet werden.Inside your workflow definition, a parameters section defines the parameters that your logic app uses at runtime. Sie können auf diese Parameter dann innerhalb des Workflows Ihrer Logik-App verweisen, indem Sie Workflowdefinitionsausdrücke verwenden, die zur Laufzeit ausgewertet werden.You can then reference these parameters inside your logic app's workflow by using workflow definition expressions, which are evaluated at runtime.

Diese Beispielvorlage weist mehrere sichere Parameterdefinitionen auf, die den Typ securestring verwenden:This example template that has multiple secured parameter definitions that use the securestring type:

ParameternameParameter name BESCHREIBUNGDescription
TemplatePasswordParam Ein Vorlagenparameter, der ein Kennwort akzeptiert, das anschließend an den basicAuthPasswordParam-Parameter der Workflowdefinition übergeben wirdA template parameter that accepts a password that is then passed to the workflow definition's basicAuthPasswordParam parameter
TemplateUsernameParam Ein Vorlagenparameter, der einen Benutzernamen akzeptiert, der dann an den basicAuthUserNameParam-Parameter der Workflowdefinition übergeben wirdA template parameter that accepts a username that is then passed to the workflow definition's basicAuthUserNameParam parameter
basicAuthPasswordParam Ein Workflowdefinitionsparameter, der das Kennwort für die Standardauthentifizierung in einer HTTP-Aktion akzeptiertA workflow definition parameter that accepts the password for basic authentication in an HTTP action
basicAuthUserNameParam Ein Workflowdefinitionsparameter, der den Benutzernamen für die Standardauthentifizierung in einer HTTP-Aktion akzeptiertA workflow definition parameter that accepts the username for basic authentication in an HTTP action
{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

Zugriff für ausgehende Aufrufe anderer Dienste und SystemeAccess for outbound calls to other services and systems

Basierend auf den Funktionen des Zielendpunkts unterstützen ausgehende Aufrufe, die vom HTTP-Trigger oder der HTTP-Aktion gesendet werden, Verschlüsselung und sind mit TLS (Transport Layer Security) 1.0, 1.1 oder 1.2 (zuvor als Secure Sockets Layer (SSL) bezeichnet) geschützt.Based on the target endpoint's capability, outbound calls sent by the HTTP trigger or HTTP action, support encryption and are secured with Transport Layer Security (TLS) 1.0, 1.1, or 1.2, previously known as Secure Sockets Layer (SSL). Logic Apps handelt mit dem Zielendpunkt die Verwendung der höchstmöglichen unterstützten Version aus.Logic Apps negotiates with the target endpoint over using the highest possible version that's supported. Wenn der Zielendpunkt z. B. 1.2 unterstützt, verwendet der HTTP-Trigger bzw. die HTTP-Aktion zuerst 1.2.For example, if the target endpoint supports 1.2, the HTTP trigger or action uses 1.2 first. Andernfalls verwendet der Connector die nächsthöhere unterstützte Version.Otherwise, the connector uses the next highest supported version.

Im Folgenden finden Sie Informationen zu selbst signierten TLS/SSL-Zertifikaten:Here is information about TLS/SSL self-signed certificates:

Im Folgenden finden Sie weitere Möglichkeiten, wie Sie Endpunkte, die Aufrufe von Ihrer Logik-App verarbeiten, besser schützen können:Here are more ways that you can help secure endpoints that handle calls sent from your logic app:

  • Fügen Sie für ausgehende Anforderungen eine Authentifizierung hinzu.Add authentication to outbound requests.

    Wenn Sie den HTTP-Trigger bzw. die HTTP-Aktion zum Senden ausgehender Aufrufe verwenden, können Sie der von Ihrer Logik-App gesendeten Anforderung eine Authentifizierung hinzufügen.When you use the HTTP trigger or action to send outbound calls, you can add authentication to the request that's sent by your logic app. Beispielsweise können Sie diese Authentifizierungstypen auswählen:For example, you can select these authentication types:

  • Schränken Sie den Zugriff von IP-Adressen von Logik-Apps ein.Restrict access from logic app IP addresses.

    Alle Aufrufe von Logik-Apps an Endpunkte stammen von bestimmten IP-Adressen, die auf den Regionen Ihrer Logik-App basieren.All calls to endpoints from logic apps originate from specific designated IP addresses that are based on your logic apps' regions. Sie können Filter hinzufügen, die Anforderungen nur von diesen IP-Adressen akzeptieren.You can add filtering that accepts requests only from those IP addresses. Weitere Informationen zu diesen IP-Adressen finden Sie unter Grenzwert- und Konfigurationsinformationen für Azure Logic Apps.To get these IP addresses, see Limits and configuration for Azure Logic Apps.

  • Erhöhen der Sicherheit für Verbindungen mit lokalen Systemen.Improve security for connections to on-premises systems.

    Azure Logic Apps bietet eine Integration mit diesen Diensten, um eine sicherere und zuverlässigere lokale Kommunikation bereitzustellen.Azure Logic Apps provides integration with these services to help provide more secure and reliable on-premises communication.

    • Lokales DatengatewayOn-premises data gateway

      Viele verwaltete Connectors in Azure Logic Apps nutzen sichere Verbindungen mit lokalen Systemen wie dem Dateisystem, SQL, SharePoint und DB2.Many managed connectors in Azure Logic Apps facilitate secured connections to on-premises systems, such as File System, SQL, SharePoint, and DB2. Das Gateway sendet Daten von lokalen Quellen durch verschlüsselte Kanäle über Azure Service Bus.The gateway sends data from on-premises sources on encrypted channels through the Azure Service Bus. Der gesamte Datenverkehr stammt als sicherer ausgehender Datenverkehr vom Gateway-Agent.All traffic originates as secured outbound traffic from the gateway agent. Erfahren Sie, wie das lokale Datengateway funktioniert.Learn how the on-premises data gateway works.

    • Verbindung über Azure API ManagementConnect through Azure API Management

      Azure API Management bietet lokale Konnektivitätsoptionen wie die Integration von Site-to-Site-VPN und ExpressRoute für geschützte Proxys und die Kommunikation mit lokalen Systemen.Azure API Management provides on-premises connection options, such as site-to-site virtual private network and ExpressRoute integration for secured proxy and communication to on-premises systems. Wenn Sie über eine API verfügen, die Zugriff auf Ihr lokales System bietet, und Sie diese API durch das Erstellen einer API Management-Dienstinstanz verfügbar gemacht haben, können Sie diese API im Workflow ihrer Logik-App aufrufen, indem Sie den integrierten API Management-Trigger bzw. die integrierte API Management-Aktion im Logik-App-Designer auswählen.If you have an API that provides access to your on-premises system, and you exposed that API by creating an API Management service instance, you can call that API in your logic app's workflow by selecting the built-in API Management trigger or action in the Logic App Designer.

      Hinweis

      Der Connector zeigt nur die API Management-Dienste an, für die Sie über Berechtigungen zum Anzeigen und Verbinden verfügen, aber keine verbrauchsbasierten API Management Dienste.The connector shows only those API Management services where you have permissions to view and connect, but doesn't show consumption-based API Management services.

      1. Geben Sie im Logik-App-Designer im Suchfeld api management ein.In the Logic App Designer, enter api management in the search box. Wählen Sie den Schritt aus, je nachdem, ob Sie einen Trigger oder eine Aktion hinzufügen:Choose the step based on whether you're adding a trigger or an action:

        • Wenn Sie einen Trigger hinzufügen, bei dem es sich immer um den ersten Schritt in Ihrem Workflow handelt, wählen Sie Azure API Management-Trigger auswählen aus.If you're adding a trigger, which is always the first step in your workflow, select Choose an Azure API Management trigger.

        • Wenn Sie eine Aktion hinzufügen, wählen Sie Azure API Management-Aktion auswählen aus.If you're adding an action, select Choose an Azure API Management action.

        Im folgenden Beispiel wird ein Trigger hinzugefügt:This example adds a trigger:

        Hinzufügen eines Azure API Management-Triggers

      2. Wählen Sie Ihre zuvor erstellte API Management-Dienstinstanz aus.Select your previously created API Management service instance.

        Auswählen der API Management-Dienstinstanz

      3. Wählen Sie den zu verwendenden API-Aufruf aus.Select the API call to use.

        Auswählen der vorhandenen API

Hinzufügen der Authentifizierung zu ausgehenden AufrufenAdd authentication to outbound calls

HTTP- und HTTP-Endpunkte unterstützen verschiedene Arten der Authentifizierung.HTTP and HTTPS endpoints support various kinds of authentication. Bei einigen Triggern und Aktionen, die Sie zum Senden ausgehender Aufrufe oder Anforderungen an diese Endpunkte verwenden, können Sie einen Authentifizierungstyp angeben.On some triggers and actions that you use for sending outbound calls or requests to these endpoints, you can specify an authentication type. Im Logik-App-Designer besitzen Trigger und Aktionen, die die Auswahl eines Authentifizierungstyps unterstützen, eine Eigenschaft Authentifizierung.In the Logic App Designer, triggers and actions that support choosing an authentication type have an Authentication property. Diese Eigenschaft wird jedoch möglicherweise nicht immer standardmäßig angezeigt.However, this property might not always appear by default. In diesen Fällen öffnen Sie für den Trigger oder die Aktion die Liste Neuen Parameter hinzufügen, und wählen Sie Authentifizierung aus.In these cases, on the trigger or action, open the Add new parameter list, and select Authentication.

Wichtig

Um vertrauliche Informationen, die Ihre Logik-App verarbeitet, zu schützen, verwenden Sie abgesicherte Parameter, und verschlüsseln Sie Daten nach Bedarf.To protect sensitive information that your logic app handles, use secured parameters and encode data as necessary. Weitere Informationen zum Verwenden und Absichern von Parametern finden Sie unter Zugriff auf Parametereingaben.For more information about using and securing parameters, see Access to parameter inputs.

In dieser Tabelle werden die Authentifizierungstypen aufgeführt, die für die Trigger und Aktionen verfügbar sind, bei denen Sie einen Authentifizierungstyp auswählen können:This table identifies the authentication types that are available on the triggers and actions where you can select an authentication type:

AuthentifizierungsartAuthentication type Unterstützte Trigger und AktionenSupported triggers and actions
GrundlegendBasic Azure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP WebhookAzure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Webhook
ClientzertifikatClient Certificate Azure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP WebhookAzure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Webhook
Active Directory OAuthActive Directory OAuth Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP WebhookAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
RawRaw Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP WebhookAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Verwaltete IdentitätManaged identity Azure API Management, Azure App Services, Azure Functions, HTTP, HTTP-WebhookAzure API Management, Azure App Services, Azure Functions, HTTP, HTTP Webhook

StandardauthentifizierungBasic authentication

Wenn die Option Standard verfügbar ist, geben Sie die folgenden Eigenschaftswerte an:If the Basic option is available, specify these property values:

Eigenschaft (Designer)Property (designer) Eigenschaft (JSON)Property (JSON) ErforderlichRequired WertValue BESCHREIBUNGDescription
AuthentifizierungAuthentication type JaYes BasicBasic Der zu verwendende AuthentifizierungstypThe authentication type to use
BenutzernameUsername username JaYes <user-name><user-name> Der Benutzername, der verwendet wird, um den Zugriff auf den Ziel-Dienstendpunkt zu authentifizierenThe user name for authenticating access to the target service endpoint
KennwortPassword password JaYes <password><password> Das Kennwort, das verwendet wird, um den Zugriff auf den Ziel-Dienstendpunkt zu authentifizierenThe password for authenticating access to the target service endpoint

Wenn Sie abgesicherte Parameter verwenden, um vertrauliche Informationen zu verarbeiten und zu schützen, z. B. in einer Azure Resource Manager-Vorlage zur Automatisierung der Bereitstellung, können Sie zur Runtime mit Ausdrücken auf diese Parameterwerte zugreifen.When you use secured parameters to handle and secure sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. In dieser Beispieldefinition einer HTTP-Aktion werden der type der Authentifizierung als Basic angegeben und die Funktion parameters() verwendet, um die Parameterwerte abzurufen:This example HTTP action definition specifies the authentication type as Basic and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

Authentifizierung mit ClientzertifikatClient Certificate authentication

Wenn die Option Clientzertifikat verfügbar ist, geben Sie die folgenden Eigenschaftswerte an:If the Client Certificate option is available, specify these property values:

Eigenschaft (Designer)Property (designer) Eigenschaft (JSON)Property (JSON) ErforderlichRequired WertValue BESCHREIBUNGDescription
AuthentifizierungAuthentication type JaYes ClientzertifikatClient Certificate
oderor
ClientCertificate
Der zu verwendende Authentifizierungstyp.The authentication type to use. Sie können Zertifikate mit Azure API Management verwalten.You can manage certificates with Azure API Management.

Hinweis: Benutzerdefinierte Connectors unterstützen sowohl für eingehende als auch für ausgehende Aufrufe keine zertifikatbasierte Authentifizierung.Note: Custom connectors don't support certificate-based authentication for both inbound and outbound calls.
PfxPfx pfx JaYes <encoded-pfx-file-content><encoded-pfx-file-content> Der base64-codierte Inhalt aus einer Personal Information Exchange-Datei (PFX)The base64-encoded content from a Personal Information Exchange (PFX) file

Zum Konvertieren der PFX-Datei in ein base64-codiertes Format können Sie PowerShell verwenden, indem Sie die folgenden Schritte ausführen:To convert the PFX file into base64-encoded format, you can use PowerShell by following these steps:

1. Speichern Sie den Zertifikatsinhalt in einer Variablen:1. Save the certificate content into a variable:

$pfx_cert = get-content 'c:\certificate.pfx' -Encoding Byte

2. Konvertieren Sie den Zertifikatsinhalt mithilfe der ToBase64String()-Funktion, und speichern Sie den Inhalt in einer Textdatei:2. Convert the certificate content by using the ToBase64String() function and save that content to a text file:

[System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt'

KennwortPassword password NeinNo <password-for-pfx-file><password-for-pfx-file> Der Parameter für den Zugriff auf die PFX-DateiThe password for accessing the PFX file

Wenn Sie abgesicherte Parameter verwenden, um vertrauliche Informationen zu verarbeiten und zu schützen, z. B. in einer Azure Resource Manager-Vorlage zur Automatisierung der Bereitstellung, können Sie zur Runtime mit Ausdrücken auf diese Parameterwerte zugreifen.When you use secured parameters to handle and secure sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. In dieser Beispieldefinition einer HTTP-Aktion werden der type der Authentifizierung als ClientCertificate angegeben und die Funktion parameters() verwendet, um die Parameterwerte abzurufen:This example HTTP action definition specifies the authentication type as ClientCertificate and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Weitere Informationen zum Absichern von Diensten mithilfe der Clientzertifikatauthentifizierung finden Sie in den folgenden Themen:For more information about securing services by using client certificate authentication, see these topics:

Azure Active Directory Open AuthenticationAzure Active Directory Open Authentication

Bei Anforderungstriggern können Sie nach der Einrichtung von Azure AD-Autorisierungsrichtlinien eingehende Anrufe für Ihre Logik-App mit Azure Active Directory Open Authentication (Azure AD OAuth) authentifizieren.On Request triggers, you can use Azure Active Directory Open Authentication (Azure AD OAuth), for authenticating incoming calls after you set up Azure AD authorization policies for your logic app. Geben Sie für alle anderen Trigger und Aktionen, die Ihnen den Active Directory OAuth-Authentifizierungstyp zur Auswahl bereitstellen, die folgenden Eigenschaftswerte an:For all other triggers and actions that provide the Active Directory OAuth authentication type for you to select, specify these property values:

Eigenschaft (Designer)Property (designer) Eigenschaft (JSON)Property (JSON) ErforderlichRequired WertValue BESCHREIBUNGDescription
AuthentifizierungAuthentication type JaYes Active Directory OAuthActive Directory OAuth
oderor
ActiveDirectoryOAuth
Der zu verwendende Authentifizierungstyp.The authentication type to use. Azure Logic Apps befolgt derzeit das Protokoll OAuth 2.0.Logic Apps currently follows the OAuth 2.0 protocol.
Autoritative StelleAuthority authority NeinNo <URL-for-authority-token-issuer><URL-for-authority-token-issuer> Die URL für die autoritative Stelle, die das Zugriffstoken bereitstellt.The URL for the authority that provides the access token. Standardmäßig ist dieser Wert auf https://login.windows.net festgelegt.By default, this value is https://login.windows.net.
MandantTenant tenant JaYes <tenant-ID><tenant-ID> Die Mandanten-ID für den Azure AD-MandantenThe tenant ID for the Azure AD tenant
ZielgruppeAudience audience JaYes <resource-to-authorize><resource-to-authorize> Die Ressource, die Sie für die Autorisierung verwenden möchten, z. B. https://management.core.windows.net/The resource that you want to use for authorization, for example, https://management.core.windows.net/
Client-IDClient ID clientId JaYes <client-ID><client-ID> Die Client-ID für die App, die eine Autorisierung anfordertThe client ID for the app requesting authorization
Typ der AnmeldeinformationenCredential Type credentialType JaYes ZertifikatCertificate
oderor
SecretSecret
Der Anmeldeinformationstyp, den der Client zum Anfordern der Autorisierung verwendet.The credential type that the client uses for requesting authorization. Diese Eigenschaft und dieser Wert tauchen nicht in der zugrunde liegenden Definition Ihrer Logik-App auf, sondern bestimmen die Eigenschaften, die für den ausgewählten Anmeldeinformationstyp angezeigt werden.This property and value don't appear in your logic app's underlying definition, but determines the properties that appear for the selected credential type.
GeheimnisSecret secret Ja, aber nur für den Anmeldeinformationstyp „Geheimnis“Yes, but only for the "Secret" credential type <client-secret><client-secret> Der geheime Clientschlüssel zum Anfordern der AutorisierungThe client secret for requesting authorization
PfxPfx pfx Ja, aber nur für den Anmeldeinformationstyp „Zertifikat“Yes, but only for the "Certificate" credential type <encoded-pfx-file-content><encoded-pfx-file-content> Der base64-codierte Inhalt aus einer Personal Information Exchange-Datei (PFX)The base64-encoded content from a Personal Information Exchange (PFX) file
KennwortPassword password Ja, aber nur für den Anmeldeinformationstyp „Zertifikat“Yes, but only for the "Certificate" credential type <password-for-pfx-file><password-for-pfx-file> Der Parameter für den Zugriff auf die PFX-DateiThe password for accessing the PFX file

Wenn Sie abgesicherte Parameter verwenden, um vertrauliche Informationen zu verarbeiten und zu schützen, z. B. in einer Azure Resource Manager-Vorlage zur Automatisierung der Bereitstellung, können Sie zur Runtime mit Ausdrücken auf diese Parameterwerte zugreifen.When you use secured parameters to handle and secure sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. In dieser Beispieldefinition einer HTTP-Aktion werden der type der Authentifizierung als ActiveDirectoryOAuth, der Anmeldeinformationstyp als Secret angegeben und die Funktion parameters() verwendet, um die Parameterwerte abzurufen:This example HTTP action definition specifies the authentication type as ActiveDirectoryOAuth, the credential type as Secret, and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Raw-AuthentifizierungRaw authentication

Sofern die Option Raw verfügbar ist, können Sie diesen Authentifizierungstyp verwenden, wenn Sie Authentifizierungsschemas verwenden müssen, die nicht das Protokoll OAuth 2.0 befolgen.If the Raw option is available, you can use this authentication type when you have to use authentication schemes that don't follow the OAuth 2.0 protocol. Bei diesem Typ legen Sie den Wert des Autorisierungsheaders, den Sie mit der ausgehenden Anforderung senden, manuell fest und geben diesen Headerwert in Ihrem Trigger oder Ihrer Aktion an.With this type, you manually create the authorization header value that you send with the outgoing request, and specify that header value in your trigger or action.

Hier ist zum Beispiel ein Beispielheader für eine HTTPS-Anforderung, die das Protokoll OAuth 1.0 befolgt:For example, here is a sample header for an HTTPS request that follows the OAuth 1.0 protocol:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

Geben Sie in dem Trigger oder der Aktion, die die Raw-Authentifizierung unterstützt, diese Eigenschaftswerte an:In the trigger or action that supports raw authentication, specify these property values:

Eigenschaft (Designer)Property (designer) Eigenschaft (JSON)Property (JSON) ErforderlichRequired WertValue BESCHREIBUNGDescription
AuthentifizierungAuthentication type JaYes RawRaw Der zu verwendende AuthentifizierungstypThe authentication type to use
WertValue value JaYes <authorization-header-value><authorization-header-value> Der für die Authentifizierung zu verwendende Wert des AutorisierungsheadersThe authorization header value to use for authentication

Wenn Sie abgesicherte Parameter verwenden, um vertrauliche Informationen zu verarbeiten und zu schützen, z. B. in einer Azure Resource Manager-Vorlage zur Automatisierung der Bereitstellung, können Sie zur Runtime mit Ausdrücken auf diese Parameterwerte zugreifen.When you use secured parameters to handle and secure sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. In dieser Beispieldefinition einer HTTP-Aktion werden der type der Authentifizierung als Raw angegeben und die Funktion parameters() verwendet, um die Parameterwerte abzurufen:This example HTTP action definition specifies the authentication type as Raw, and uses the parameters() function to get the parameter values:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Authentifizierung der verwalteten IdentitätManaged identity authentication

Wenn die Option Verwaltete Identität für einen bestimmten Trigger oder eine bestimmte Aktion verfügbar ist, kann Ihre Logik-App die systemseitig zugewiesene Identität oder eine einzelne, manuell erstellte, benutzerseitig zugewiesene Identität verwenden, um den Zugriff auf andere Ressourcen, die von Azure Active Directory (Azure AD) geschützt werden, ohne Anmeldung zu authentifizieren.If the Managed Identity option is available on a specific trigger or action, your logic app can use the system-assigned identity or a single manually created user-assigned identity for authenticating access to other resources that are protected by Azure Active Directory (Azure AD) without signing in. Azure verwaltet diese Identität für Sie und dient als Hilfe beim Schützen Ihrer Anmeldeinformationen, da Sie keine Geheimnisse angeben oder eine Rotation dafür durchführen müssen.Azure manages this identity for you and helps you secure your credentials because you don't have to provide or rotate secrets. Erfahren Sie mehr zu Azure-Diensten, die verwaltete Identitäten für die Azure AD-Authentifizierung unterstützen.Learn more about Azure services that support managed identities for Azure AD authentication.

  1. Bevor Ihre Logik-App eine verwaltete Identität verwenden kann, führen Sie die Schritte in Authentifizieren und Zugreifen auf Ressourcen mit verwalteten Identitäten in Azure Logic Apps aus.Before your logic app can use a managed identity, follow the steps in Authenticate access to Azure resources by using managed identities in Azure Logic Apps. Diese Schritte aktivieren die verwaltete Identität in Ihrer Logik-App und richten den Zugriff dieser Identität auf die Zielressource in Azure ein.These steps enable the managed identity on your logic app and set up that identity's access to the target Azure resource.

  2. Bevor eine Azure-Funktion eine verwaltete Identität verwenden kann, aktivieren Sie zuerst die Authentifizierung für Azure-Funktionen.Before an Azure function can use a managed identity, first enable authentication for Azure functions.

  3. Geben Sie in dem Trigger oder der Aktion, in dem/der Sie die verwaltete Identität verwenden möchten, diese Eigenschaftswerte an:In the trigger or action where you want to use the managed identity, specify these property values:

    Eigenschaft (Designer)Property (designer) Eigenschaft (JSON)Property (JSON) ErforderlichRequired WertValue BESCHREIBUNGDescription
    AuthentifizierungAuthentication type JaYes Verwaltete IdentitätManaged Identity
    oderor
    ManagedServiceIdentity
    Der zu verwendende AuthentifizierungstypThe authentication type to use
    Verwaltete IdentitätManaged Identity identity JaYes * Systemseitig zugewiesene verwaltete Identität* System Assigned Managed Identity
    oderor
    SystemAssigned

    * <Name-der-benutzerseitig-zugewiesenen-Identität>* <user-assigned-identity-name>

    Die zu verwendende verwaltete IdentitätThe managed identity to use
    ZielgruppeAudience audience JaYes <target-resource-ID><target-resource-ID> Die Ressourcen-ID der Zielressource, auf die Sie zugreifen möchten.The resource ID for the target resource that you want to access.

    Beispielsweise macht https://storage.azure.com/ die Zugriffstoken für die Authentifizierung für alle Speicherkonten gültig.For example, https://storage.azure.com/ makes the access tokens for authentication valid for all storage accounts. Sie können jedoch auch für ein bestimmtes Speicherkonto eine Stammdienst-URL angeben, z. B. https://fabrikamstorageaccount.blob.core.windows.net.However, you can also specify a root service URL, such as https://fabrikamstorageaccount.blob.core.windows.net for a specific storage account.

    Hinweis: Die Eigenschaft Zielgruppe kann in einigen Triggern oder Aktionen ausgeblendet sein.Note: The Audience property might be hidden in some triggers or actions. Um diese Eigenschaft einzublenden, öffnen Sie für den Trigger oder die Aktion die Liste Neuen Parameter hinzufügen, und wählen Sie Zielgruppe aus.To make this property visible, in the trigger or action, open the Add new parameter list, and select Audience.

    Wichtig: Vergewissern Sie sich, dass diese Zielressourcen-ID genau dem Wert entspricht, den Azure AD erwartet, einschließlich aller erforderlichen nachgestellten Schrägstriche.Important: Make sure that this target resource ID exactly matches the value that Azure AD expects, including any required trailing slashes. Daher erfordert die https://storage.azure.com/-Ressourcen-ID für alle Azure Blob Storage-Konten einen nachgestellten Schrägstrich.So, the https://storage.azure.com/ resource ID for all Azure Blob Storage accounts requires a trailing slash. Allerdings erfordert die Ressourcen-ID für ein bestimmtes Speicherkonto keinen nachgestellten Schrägstrich.However, the resource ID for a specific storage account doesn't require a trailing slash. Diese Ressourcen-IDs finden Sie unter Azure-Dienste, die die Azure AD-Authentifizierung unterstützen.To find these resource IDs, see Azure services that support Azure AD.

    Wenn Sie abgesicherte Parameter verwenden, um vertrauliche Informationen zu verarbeiten und zu schützen, z. B. in einer Azure Resource Manager-Vorlage zur Automatisierung der Bereitstellung, können Sie zur Runtime mit Ausdrücken auf diese Parameterwerte zugreifen.When you use secured parameters to handle and secure sensitive information, for example, in an Azure Resource Manager template for automating deployment, you can use expressions to access these parameter values at runtime. In dieser Beispieldefinition einer HTTP-Aktion werden der type der Authentifizierung als ManagedServiceIdentity angegeben und die Funktion parameters() verwendet, um die Parameterwerte abzurufen:This example HTTP action definition specifies the authentication type as ManagedServiceIdentity and uses the parameters() function to get the parameter values:

    "HTTP": {
       "type": "Http",
       "inputs": {
          "method": "GET",
          "uri": "@parameters('endpointUrlParam')",
          "authentication": {
             "type": "ManagedServiceIdentity",
             "identity": "SystemAssigned",
             "audience": "https://management.azure.com/"
          },
       },
       "runAfter": {}
    }
    

Blockieren der VerbindungserstellungBlock creating connections

Falls Ihre Organisation das Herstellen einer Verbindung mit bestimmten Ressourcen mithilfe der Connectors in Azure Logic Apps nicht erlaubt, können Sie mithilfe von Azure Policy für bestimmte Connectors in Logik-App-Workflows die Funktion zum Erstellen dieser Verbindungen blockierenIf your organization doesn't permit connecting to specific resources by using their connectors in Azure Logic Apps, you can block the capability to create those connections for specific connectors in logic app workflows by using Azure Policy. Weitere Informationen finden Sie unter Blockieren der von Connectors in Azure Logic Apps erstellten VerbindungenFor more information, see Block connections created by specific connectors in Azure Logic Apps.

Isolationsanleitung für Logik-AppsIsolation guidance for logic apps

Sie können Azure Logic Apps in Azure Government verwenden und dabei alle Auswirkungsstufen in den Regionen unterstützen, die in der Azure Government Auswirkungsstufe 5-Isolationsanleitung sowie im US Department of Defense Cloud Computing Security Requirements Guide (SRG) beschrieben sind.You can use Azure Logic Apps in Azure Government supporting all impact levels in the regions described by the Azure Government Impact Level 5 Isolation Guidance and the US Department of Defense Cloud Computing Security Requirements Guide (SRG). Um diese Anforderungen zu erfüllen, bietet Ihnen Logic Apps die Möglichkeit, Workflows in einer Umgebung mit dedizierten Ressourcen zu erstellen und auszuführen, damit Sie die Leistungsauswirkungen durch andere Azure-Mandanten auf Ihre Logik-Apps verringern und die Freigabe von Computingressourcen für andere Mandanten vermeiden können.To meet these requirements, Logic Apps supports the capability for you to create and run workflows in an environment with dedicated resources so that you can reduce the performance impact by other Azure tenants on your logic apps and avoid sharing computing resources with other tenants.

Weitere Informationen finden Sie in den folgenden Themen:For more information, see these topics:

Nächste SchritteNext steps