Azure-erőforrásokhoz való hozzáférés és kapcsolatok hitelesítése felügyelt identitásokkal az Azure Logic Appsben

  • Cikk

A következőkre vonatkozik: Azure Logic Apps (Használat + Standard)

Ha felügyelt identitással hitelesíti a Microsoft Entra által védett erőforrásokhoz való hozzáférést vagy kapcsolatokat a logikai alkalmazás munkafolyamatából, nem kell hitelesítő adatokat, titkos kulcsokat vagy Microsoft Entra-jogkivonatokat megadnia. Az Azure Logic Appsben egyes összekötő-műveletek támogatják a felügyelt identitás használatát, ha hitelesítenie kell a Microsoft Entra ID által védett erőforrásokhoz való hozzáférést. Az Azure kezeli ezt az identitást, és segít a hitelesítési adatok biztonságának megőrzésében, mert nem kell kezelnie ezeket a bizalmas információkat. További információ: Mik az Azure-erőforrások felügyelt identitásai?.

Az Azure Logic Apps támogatja a rendszer által hozzárendelt felügyelt identitást és a felhasználó által hozzárendelt felügyelt identitást. Az alábbi lista néhány különbséget ír le a felügyelt identitástípusok között:

  • A logikaialkalmazás-erőforrások csak egyetlen egyedi rendszer által hozzárendelt identitást engedélyezhetnek és használhatnak.

  • A logikaialkalmazás-erőforrások ugyanazt a felhasználó által hozzárendelt identitást oszthatják meg más logikaialkalmazás-erőforrások egy csoportjában.

Ez az útmutató a következő feladatok elvégzését mutatja be:

  • Engedélyezze és állítsa be a rendszer által hozzárendelt felügyelt identitást a logikai alkalmazás erőforrásához. Ez az útmutató egy példát mutat be, amely bemutatja, hogyan használhatja az identitást hitelesítésre.

  • Hozzon létre és állítson be egy felhasználó által hozzárendelt identitást. Ez az útmutató bemutatja, hogyan hozhat létre felhasználó által hozzárendelt identitást az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatával, és hogyan használhatja az identitást hitelesítésre. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse meg a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell Felhasználó által hozzárendelt identitás létrehozása
Azure CLI Felhasználó által hozzárendelt identitás létrehozása
Azure REST API Felhasználó által hozzárendelt identitás létrehozása

Használat és standard logikai alkalmazások

A logikai alkalmazás erőforrástípusa alapján engedélyezheti a rendszer által hozzárendelt identitást, a felhasználó által hozzárendelt identitást, vagy mindkettőt egyszerre:

Logikai alkalmazás Environment Felügyelt identitás támogatása
Felhasználás - Több-bérlős Azure Logic Apps

- Integrációs szolgáltatási környezet (I Standard kiadás)		 - A logikai alkalmazás engedélyezheti a rendszer által hozzárendelt identitást vagy a felhasználó által hozzárendelt identitást.

– A felügyelt identitást a logikai alkalmazás erőforrás- és kapcsolatszintjén használhatja.

– Ha engedélyezi a felhasználó által hozzárendelt identitást, a logikai alkalmazás egyszerre csak egy felhasználó által hozzárendelt identitással rendelkezhet.
Standard – Egybérlős Azure Logic Apps

- App Service Environment v3 (A Standard kiadás v3)

- Azure Arc-kompatibilis Logic Apps		 – Egyszerre engedélyezheti a rendszer által hozzárendelt identitást, amely alapértelmezés szerint engedélyezve van, és a felhasználó által hozzárendelt identitást is.

– A felügyelt identitást a logikai alkalmazás erőforrás- és kapcsolatszintjén használhatja.

– Ha engedélyezi a felhasználó által hozzárendelt identitást, a logikai alkalmazás erőforrása egyszerre több felhasználó által hozzárendelt identitással is rendelkezhet.

Az Azure Logic Apps felügyelt identitáskorlátairól további információt a logikai alkalmazások felügyelt identitásainak korlátai című témakörben talál. A Használat és a Standard logikai alkalmazás erőforrástípusairól és környezeteiről az alábbi dokumentációban talál további információt:

Ahol használhat felügyelt identitást

Az Azure Logic Appsben csak az OAuthot Microsoft Entra-azonosítóval támogató beépített és felügyelt összekötő-műveletek használhatnak felügyelt identitást a hitelesítéshez. Az alábbi táblázatok csak mintakijelölést biztosítanak. A teljesebb listát a felügyelt identitásokkal rendelkező Microsoft Entra-hitelesítést támogató eseményindítók és műveletek hitelesítési típusait és műveleteit tekintheti meg.

A Használat logikai alkalmazás munkafolyamata esetében az alábbi táblázat felsorolja a felügyelt identitáshitelesítést támogató összekötőket:

Összekötő típusa Támogatott összekötők
Beépítve - Azure API Management
- Azure-alkalmazás Szolgáltatások
- Azure Functions
- HTTP
- HTTP + Webhook

Megjegyzés: A HTTP-műveletek a rendszer által hozzárendelt identitással hitelesíthetik az Azure Storage-fiókokhoz való kapcsolatokat az Azure-tűzfalak mögött. Azonban nem támogatják a felhasználó által hozzárendelt felügyelt identitást ugyanazon kapcsolatok hitelesítéséhez.
Felügyelt - Azure-alkalmazás szolgáltatás
- Azure Automation
- Azure Blob Storage
- Azure Container Instance
- Azure Cosmos DB
- Azure Data Explorer
- Azure Data Factory
- Azure Data Lake
- Azure Event Grid
- Azure Event Hubs
- Azure IoT Central V2
- Azure IoT Central V3
- Azure Key Vault
- Azure Log Analytics
– Azure-üzenetsorok
- Azure Resource Manager
- Azure Service Bus
- Azure Sentinel
- Azure Table Storage
– Azure-beli virtuális gép
- HTTP a Microsoft Entra-azonosítóval
- SQL Server

Előfeltételek

  • Azure-fiók és -előfizetés. Ha még nincs előfizetése, regisztráljon egy ingyenes Azure-fiókra. A felügyelt identitásnak és a cél Azure-erőforrásnak, amelyhez hozzáférésre van szüksége, ugyanazt az Azure-előfizetést kell használnia.

  • A elérni kívánt cél Azure-erőforrás. Ebben az erőforrásban hozzá kell adnia a felügyelt identitáshoz szükséges szerepkört az erőforrás eléréséhez a logikai alkalmazás vagy a kapcsolat nevében. Ha szerepkört szeretne hozzáadni egy felügyelt identitáshoz, microsoft entrai rendszergazdai engedélyekre van szüksége, amelyek szerepköröket rendelhetnek az identitásokhoz a megfelelő Microsoft Entra-bérlőben.

  • A logikai alkalmazás erőforrása és munkafolyamata, ahol a felügyelt identitásokat támogató eseményindítót vagy műveleteket szeretné használni.

Rendszer által hozzárendelt identitás engedélyezése az Azure Portalon

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. A logikai alkalmazás menüjében, a Gépház alatt válassza az Identitás lehetőséget.

  3. Az Identitás lapon, a Rendszer hozzárendelve területen válassza a Mentés gombra>. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    Screenshot shows Azure portal, Consumption logic app, Identity page, and System assigned tab with selected options, On and Save.

    Megjegyzés:

    Ha hibaüzenetet kap, hogy csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás erőforrása már társítva van a felhasználó által hozzárendelt identitással. A rendszer által hozzárendelt identitás hozzáadása előtt el kell távolítania a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásából.

    A logikai alkalmazás erőforrása mostantól használhatja a rendszer által hozzárendelt identitást. Ez az identitás a Microsoft Entra-azonosítóval van regisztrálva, és egy objektumazonosító jelöli.

    Screenshot shows Consumption logic app, Identity page, and object ID for system-assigned identity.

    Tulajdonság Value Description
    Objektum (egyszerű) azonosítója <identity-resource-ID> Globálisan egyedi azonosító (GUID), amely egy Microsoft Entra-bérlőben a logikai alkalmazás rendszer által hozzárendelt identitását jelöli.

  4. Most kövesse azokat a lépéseket, amelyek az adott identitásnak hozzáférést biztosítanak az erőforráshoz az útmutató későbbi részében.

Rendszer által hozzárendelt identitás engedélyezése ARM-sablonban

A logikai alkalmazás erőforrásainak létrehozásának és üzembe helyezésének automatizálásához használhat ARM-sablont. Ha engedélyezni szeretné a logikaialkalmazás-erőforrás rendszer által hozzárendelt identitását a sablonban, adja hozzá az identity objektumot és a type gyermektulajdonságot a logikai alkalmazás erőforrásdefiníciójához a sablonban, például:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Amikor az Azure létrehozza a logikai alkalmazás erőforrásdefinícióját, az objektum a identity következő tulajdonságokat kapja:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Tulajdonság (JSON) Value Description
principalId <principal-ID> A Microsoft Entra-bérlőben a logikai alkalmazást képviselő felügyelt identitás szolgáltatásnév objektumának globálisan egyedi azonosítója (GUID). Ez a GUID néha "objektumazonosítóként" vagy objectID"objektumazonosítóként" jelenik meg.
tenantId <Azure-AD-tenant-ID> Az a globálisan egyedi azonosító (GUID), amely azt a Microsoft Entra-bérlőt jelöli, amelyben a logikai alkalmazás már tag. A Microsoft Entra-bérlőn belül a szolgáltatásnév neve megegyezik a logikai alkalmazáspéldány nevével.

Felhasználó által hozzárendelt identitás létrehozása az Azure Portalon

Ahhoz, hogy engedélyezhesse a felhasználó által hozzárendelt identitást a Consumption logikai alkalmazás erőforrásán vagy a Standard logikai alkalmazás erőforrásán, külön Azure-erőforrásként kell létrehoznia ezt az identitást.

  1. Az Azure Portal keresőmezőjében adja meg a felügyelt identitásokat, és válassza a Felügyelt identitások lehetőséget.

    Screenshot shows Azure portal with selected option named Managed Identities.

  2. A Felügyelt identitások lapon válassza a Létrehozás lehetőséget.

    Screenshot shows Managed Identities page and selected option for Create.

  3. Adja meg a felügyelt identitással kapcsolatos információkat, és válassza a Véleményezés + Létrehozás lehetőséget, például:

    Screenshot shows page named Create User Assigned Managed Identity, with managed identity details.

    Tulajdonság Szükséges Value Description
    Előfizetés Igen <Azure-előfizetés-neve> Az Azure-előfizetés neve
    Erőforráscsoport Igen <Azure-erőforráscsoport-neve> Az Azure-erőforráscsoport neve. Hozzon létre egy új csoportot, vagy válasszon ki egy meglévő csoportot. Ez a példa egy fabrikam-managed-identityes-RG nevű új csoportot hoz létre.
    Region Igen <Azure-régió> Az Azure-régió, ahol az erőforrással kapcsolatos információkat tárolhatja. Ez a példa az USA nyugati régióját használja.
    Név Igen <user-assigned-identity-name> A felhasználó által hozzárendelt identitásnak adandó név. Ez a példa Fabrikam-user-assigned-identity-t használ.

    Miután az Azure ellenőrzi az adatokat, az Azure létrehozza a felügyelt identitást. Most már hozzáadhatja a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásához.

Felhasználó által hozzárendelt identitás hozzáadása a logikai alkalmazáshoz az Azure Portalon

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. A logikai alkalmazás menüjében, a Gépház alatt válassza az Identitás lehetőséget.

  3. Az Identitás lapon válassza a Felhasználóhoz rendelt>Hozzáadás lehetőséget.

    Screenshot shows Consumption logic app and Identity page with selected option for Add.

  4. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen kövesse az alábbi lépéseket:

    1. Az Előfizetések listában válassza ki az Azure-előfizetését.

    2. Az előfizetésben lévő összes felügyelt identitást tartalmazó listából válassza ki a felhasználó által hozzárendelt identitást. A lista szűréséhez a Felhasználó által hozzárendelt felügyelt identitások keresőmezőbe írja be az identitás vagy erőforráscsoport nevét.

      Screenshot shows Consumption logic app and selected user-assigned identity.

    3. Ha elkészült, válassza a Hozzáadás lehetőséget.

      Megjegyzés:

      Ha hibaüzenetet kap, hogy csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás már társítva van a rendszer által hozzárendelt identitással. A felhasználó által hozzárendelt identitás hozzáadása előtt először le kell tiltania a rendszer által hozzárendelt identitást.

    A logikai alkalmazás most már a felhasználó által hozzárendelt felügyelt identitáshoz van társítva.

    Screenshot shows Consumption logic app with associated user-assigned identity.

  5. Most kövesse azokat a lépéseket, amelyek az adott identitásnak hozzáférést biztosítanak az erőforráshoz az útmutató későbbi részében.

Felhasználó által hozzárendelt identitás létrehozása ARM-sablonban

A logikai alkalmazás erőforrásainak létrehozásának és üzembe helyezésének automatizálásához használhat ARM-sablont. Ezek a sablonok támogatják a felhasználó által hozzárendelt identitásokat a hitelesítéshez.

A sablon resources szakaszában a logikai alkalmazás erőforrásdefiníciójához a következő elemek szükségesek:

  • Egy identity objektum, amelynek a tulajdonsága a type következő: UserAssigned

  • userAssignedIdentities Gyermekobjektum, amely megadja a felhasználó által hozzárendelt erőforrást és nevet

Ez a példa egy használatalapú logikai alkalmazás erőforrását és munkafolyamat-definícióját mutatja be egy nem paraméteres identity objektummal rendelkező HTTP PUT-kéréshez. A PUT kérésre és az azt követő GET műveletre adott válasz a következő identity objektumot is tartalmazza:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Ha a sablon tartalmazza a felügyelt identitás erőforrásdefinícióját is, paraméterezheti az identity objektumot. Az alábbi példa bemutatja, hogyan hivatkozik a gyermekobjektum userAssignedIdentities egy userAssignedIdentityName , a sablon variables szakaszában definiált változóra. Ez a változó a felhasználó által hozzárendelt identitás erőforrás-azonosítóra hivatkozik.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Identitáshozzáférés biztosítása az erőforrásokhoz

Mielőtt használhatja a logikai alkalmazás felügyelt identitását a hitelesítéshez, be kell állítania az identitáshoz való hozzáférést azon az Azure-erőforráson, ahol az identitást használni szeretné. A hozzáférés beállítása attól függően változik, hogy az identitás mely erőforráshoz fér hozzá.

Megjegyzés:

Ha egy felügyelt identitás hozzáféréssel rendelkezik egy Azure-erőforráshoz ugyanabban az előfizetésben, az identitás csak az adott erőforráshoz férhet hozzá. Egyes, felügyelt identitásokat támogató eseményindítókban és műveletekben azonban először ki kell választania a célerőforrást tartalmazó Azure-erőforráscsoportot. Ha az identitás nem rendelkezik hozzáféréssel az erőforráscsoport szintjén, a célerőforráshoz való hozzáférés ellenére az adott csoport egyik erőforrása sem szerepel a listán.

Ennek a viselkedésnek a kezeléséhez az identitásnak is hozzáférést kell adnia az erőforráscsoporthoz, nem csak az erőforráshoz. Hasonlóképpen, ha a célerőforrás kiválasztása előtt ki kell választania az előfizetést, az identitásnak hozzáférést kell adnia az előfizetéshez.

Bizonyos esetekben szükség lehet az identitásra a társított erőforráshoz való hozzáféréshez. Tegyük fel például, hogy rendelkezik egy felügyelt identitással egy logikai alkalmazáshoz, amelyhez hozzáférésre van szüksége ugyanazon logikai alkalmazás alkalmazásbeállításainak frissítéséhez egy munkafolyamatból. Az identitásnak hozzáférést kell adnia a társított logikai alkalmazáshoz.

Ha például egy Azure Blob Storage-fiókot szeretne elérni a felügyelt identitással, be kell állítania a hozzáférést az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC), és hozzá kell rendelnie az identitáshoz megfelelő szerepkört a tárfiókhoz. Az ebben a szakaszban ismertetett lépések azt mutatják be, hogyan hajthatja végre ezt a feladatot az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatával. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse meg a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell Szerepkör-hozzárendelés hozzáadása
Azure CLI Szerepkör-hozzárendelés hozzáadása
Azure REST API Szerepkör-hozzárendelés hozzáadása

Ha azonban egy Azure-kulcstartót a felügyelt identitással szeretne elérni, létre kell hoznia egy hozzáférési szabályzatot az adott identitáshoz a kulcstartón, és hozzá kell rendelnie a megfelelő engedélyeket az adott identitáshoz a kulcstartóban. A szakasz későbbi lépései bemutatják, hogyan hajthatja végre ezt a feladatot az Azure Portal használatával. A Resource Manager-sablonok, a PowerShell és az Azure CLI esetében lásd a következő dokumentációt:

Eszköz Dokumentáció
Azure Resource Manager template (ARM template) Key Vault hozzáférési szabályzat erőforrásdefiníciója
Azure PowerShell Key Vault-hozzáférési szabályzat hozzárendelése
Azure CLI Key Vault-hozzáférési szabályzat hozzárendelése

Felügyelt identitás szerepköralapú hozzáférés hozzárendelése az Azure Portalon

Ha felügyelt identitást szeretne használni a hitelesítéshez, egyes Azure-erőforrások, például az Azure Storage-fiókok megkövetelik, hogy az identitást egy olyan szerepkörhöz rendelje, amely rendelkezik a célerőforrás megfelelő engedélyével. Más Azure-erőforrások, például az Azure-kulcstartók, megkövetelik, hogy hozzon létre egy hozzáférési szabályzatot, amely rendelkezik az identitás célerőforrására vonatkozó megfelelő engedélyekkel.

  1. Az Azure Portalon nyissa meg azt az erőforrást, ahol az identitást használni szeretné.

  2. Az erőforrás menüjében válassza a Hozzáférés-vezérlés (IAM)>Szerepkör-hozzárendelés hozzáadása lehetőséget.>

    Megjegyzés:

    Ha a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva, nincs engedélye szerepkörök hozzárendelésére. További információért lásd: Microsoft Entra beépített szerepkörök.

  3. Most rendelje hozzá a szükséges szerepkört a felügyelt identitáshoz. A Szerepkör lapon rendeljen hozzá egy szerepkört, amely biztosítja az identitás számára az aktuális erőforráshoz való szükséges hozzáférést.

    Ebben a példában rendelje hozzá a Storage Blob Data Contributor nevű szerepkört, amely magában foglalja a blobok írási hozzáférését egy Azure Storage-tárolóban. Az egyes tárolótároló-szerepkörökről további információt az Azure Storage-tárolóban blobokhoz hozzáférő szerepkörökben talál.

  4. Ezután válassza ki azt a felügyelt identitást, amelyhez hozzá szeretné rendelni a szerepkört. A Hozzáférés hozzárendelése csoportban válassza a Felügyelt identitás>hozzáadása tagok hozzáadása lehetőséget.

  5. A felügyelt identitás típusa alapján válassza ki vagy adja meg a következő értékeket:

    Típus Azure-szolgáltatáspéldány Előfizetés Member
    Rendszer általi hozzárendelés esetén Logikai alkalmazás <Azure-előfizetés-neve> <a-logikai-alkalmazása-neve>
    Felhasználó általi hozzárendelés esetén Nem alkalmazható <Azure-előfizetés-neve> <a-user-assigned-identity-name>

    A szerepkörök hozzárendelésével kapcsolatos további információkért lásd : Szerepkörök hozzárendelése az Azure Portalon.

  6. A befejezés után az identitással hitelesítheti a felügyelt identitásokat támogató eseményindítók és műveletek hozzáférését.

A feladattal kapcsolatos általános információkért lásd : Felügyelt identitáshoz való hozzáférés hozzárendelése egy másik erőforráshoz az Azure RBAC használatával.

Hozzáférési szabályzat létrehozása az Azure Portalon

Ha felügyelt identitást szeretne használni a hitelesítéshez, egyes Azure-erőforrásokhoz, például az Azure-kulcstartókhoz olyan hozzáférési szabályzatot kell létrehoznia, amely rendelkezik az adott identitás célerőforrására vonatkozó megfelelő engedélyekkel. Más Azure-erőforrások, például az Azure Storage-fiókok megkövetelik, hogy ezt az identitást egy olyan szerepkörhöz rendelje , amely rendelkezik a célerőforrás megfelelő engedélyével.

  1. Nyissa meg a célerőforrást az Azure Portalon, ahol az identitást használni szeretné. Ez a példa egy Azure Key Vaultot használ célerőforrásként.

  2. Az erőforrás menüjében válassza a Hozzáférési szabályzatok>létrehozása lehetőséget, amely megnyitja a Hozzáférési szabályzat létrehozása panelt.

    Megjegyzés:

    Ha az erőforrás nem rendelkezik hozzáférési szabályzatokkal , próbáljon meg inkább szerepkör-hozzárendelést hozzárendelni.

    Screenshot shows Azure portal and key vault example with open pane named Access policies.

  3. Az Engedélyek lapon válassza ki azokat a szükséges engedélyeket, amelyekre az identitásnak szüksége van a célerőforrás eléréséhez.

    Ha például az identitást a felügyelt Azure Key Vault-összekötő Titkos kulcsok listájának műveletével szeretné használni, az identitásnak listaengedélyekre van szüksége. A Titkos kódok oszlopban válassza a Lista lehetőséget.

    Screenshot shows Permissions tab with selected List permissions.

  4. Ha készen áll, válassza a Tovább gombot. Az Egyszerű lapon keresse meg és válassza ki a felügyelt identitást, amely egy felhasználó által hozzárendelt identitás ebben a példában.

  5. Hagyja ki az opcionális alkalmazáslépést, válassza a Tovább lehetőséget, és fejezze be a hozzáférési szabályzat létrehozását.

A következő szakasz egy felügyelt identitás használatát ismerteti egy eseményindító vagy művelet hozzáférésének hitelesítéséhez. A példa egy korábbi szakasz lépéseivel folytatódik, ahol az RBAC használatával beállította a felügyelt identitáshoz való hozzáférést, és nem használja példaként az Azure Key Vaultot. A felügyelt identitás hitelesítéshez való használatának általános lépései azonban ugyanazok.

Hozzáférés hitelesítése felügyelt identitással

Miután engedélyezte a felügyelt identitást a logikaialkalmazás-erőforráshoz, és hozzáférést adott az identitásnak a célerőforráshoz vagy entitáshoz, használhatja ezt az identitást a felügyelt identitásokat támogató eseményindítókban és műveletekben.

Fontos

Ha olyan Azure-függvénye van, amelyben a rendszer által hozzárendelt identitást szeretné használni, először engedélyezze az Azure Functions hitelesítését.

Ezek a lépések bemutatják, hogyan használhatja a felügyelt identitást egy eseményindítóval vagy művelettel az Azure Portalon. Ha meg szeretné adni a felügyelt identitást egy eseményindító vagy művelet mögöttes JSON-definíciójában, olvassa el a Felügyelt identitás hitelesítése című témakört.

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. Ha még nem tette meg, adja hozzá a felügyelt identitásokat támogató eseményindítót vagy műveletet.

    Megjegyzés:

    Nem minden összekötőművelet támogatja a hitelesítési típus hozzáadását. További információ: A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai.

  3. A hozzáadott eseményindítón vagy műveleten kövesse az alábbi lépéseket:

    • Beépített összekötőműveletek, amelyek támogatják a felügyelt identitáshitelesítést

      1. Az Új paraméter hozzáadása listából adja hozzá a Hitelesítési tulajdonságot, ha a tulajdonság még nem jelenik meg.

        Screenshot shows Consumption workflow with built-in action and opened list named Add new parameter, with selected option for Authentication.

      2. A Hitelesítés típusa listából válassza a Felügyelt identitás lehetőséget.

        Screenshot shows Consumption workflow with built-in action and opened list named Authentication type, with selected option for Managed identity.

      További információ : Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással.

    • Felügyelt identitáshitelesítést támogató felügyelt összekötő-műveletek

      1. A bérlőkijelölési lapon válassza ki a felügyelt identitással rendelkező Csatlakozás, például:

        Screenshot shows Consumption workflow with Azure Resource Manager action and selected option for Connect with managed identity.

      2. A következő lapon adja meg a kapcsolathoz használandó nevet a Csatlakozás ion névhez.

      3. A hitelesítési típushoz válassza a következő lehetőségek egyikét a felügyelt összekötő alapján:

        • Egyszeri hitelesítés: Ezek az összekötők csak egy hitelesítési típust támogatnak. A felügyelt identitások listájában válassza ki az aktuálisan engedélyezett felügyelt identitást, ha még nincs kijelölve, majd válassza a Létrehozás lehetőséget, például:

          Screenshot shows Consumption workflow, connection name box, and selected option for system-assigned managed identity.

        • Több hitelesítés: Ezek az összekötők több hitelesítési típust is mutatnak, de továbbra is csak egy típust választhat. A Hitelesítés típuslistájában válassza a Logic Apps Felügyelt identitás>létrehozása lehetőséget, például:

          Screenshot shows Consumption workflow, connection name box, and selected option for Logic Apps Managed Identity.

        További információ : Példa: Felügyelt összekötő eseményindítójának vagy műveletének hitelesítése felügyelt identitással.

Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással

A beépített HTTP-eseményindító vagy -művelet használhatja a logikai alkalmazás erőforrásán engedélyezett rendszer által hozzárendelt identitást. A HTTP-eseményindító vagy -művelet általában a következő tulajdonságokat használja a elérni kívánt erőforrás vagy entitás megadásához:

Tulajdonság Kötelező Leírás
Módszer Igen A futtatni kívánt művelet által használt HTTP-metódus
URI Igen A cél Azure-erőforrás vagy entitás elérésének végponti URL-címe. Az URI szintaxis általában tartalmazza az Azure-erőforrás vagy szolgáltatás erőforrás-azonosítóját .
Fejlécek Nem Minden olyan fejlécérték, amelyet a kimenő kérelemben fel szeretne venni vagy fel szeretne venni, például a tartalomtípus
Lekérdezések Nem Minden olyan lekérdezési paraméter, amelyet fel szeretne venni a kérésbe, vagy amelyeket fel szeretne venni. Lekérdezési paraméterek például egy adott művelethez vagy a futtatni kívánt művelet API-verziójához.
Hitelesítés Igen A célerőforráshoz vagy entitáshoz való hozzáférés hitelesítéséhez használandó hitelesítési típus

Konkrét példaként tegyük fel, hogy a Snapshot Blob műveletet egy olyan blobon szeretné futtatni az Azure Storage-fiókban, ahol korábban beállította az identitáshoz való hozzáférést. Az Azure Blob Storage-összekötő azonban jelenleg nem kínálja ezt a műveletet. Ehelyett a HTTP-művelettel vagy egy másik Blob Service REST API-művelettel futtathatja ezt a műveletet.

Fontos

Ha az Azure-tárfiókokat tűzfalak mögött szeretné elérni az Azure Blob-összekötő és a felügyelt identitások használatával, győződjön meg arról, hogy a tárfiókot is beállítja a megbízható Microsoft-szolgáltatások által hozzáférést engedélyező kivétellel.

A Pillanatkép-blob művelet futtatásához a HTTP-művelet a következő tulajdonságokat adja meg:

Tulajdonság Szükséges Példaérték Leírás
Módszer Igen PUT A Pillanatkép-blob művelet által használt HTTP-metódus
URI Igen https://<storage-account-name>/<folder-name>/{name} Az Azure Blob Storage-fájl erőforrás-azonosítója az Azure Global (nyilvános) környezetben, amely ezt a szintaxist használja
Fejlécek Azure Storage esetén x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 Az x-ms-blob-typeAzure Storage-műveletekhez szükség van a , x-ms-versionés x-ms-date a fejléc értékekre.

Fontos: Az Azure Storage kimenő HTTP-eseményindítóiban és műveleti kérelmeiben a fejléchez a x-ms-version futtatni kívánt művelet tulajdonsága és API-verziója szükséges. Az x-ms-date aktuális dátumnak kell lennie. Ellenkező esetben a munkafolyamat hiba miatt 403 FORBIDDEN meghiúsul. Ha az aktuális dátumot a szükséges formátumban szeretné lekérni, használhatja a kifejezést a példaértékben.

További információkért tekintse meg a következő dokumentációt:

- Kérelemfejlécek – Pillanatkép-blob
- Verziószámozás az Azure Storage-szolgáltatásokhoz
Lekérdezések Csak a Pillanatkép-blob művelethez comp = snapshot A művelet lekérdezési paraméterének neve és értéke.

Az alábbi példa egy HTTP-mintaműveletet mutat be a Snapshot Blob művelethez használandó összes korábban leírt tulajdonságértékkel:

Screenshot shows Azure portal, Consumption workflow, and HTTP action set up to access resources.

  1. A HTTP-művelet hozzáadása után adja hozzá a Hitelesítési tulajdonságot a HTTP-művelethez. Az Új paraméter hozzáadása listából válassza a Hitelesítés lehetőséget.

    Screenshot shows Consumption workflow with HTTP action and opened Add new parameter list with selected property named Authentication.

    Megjegyzés:

    Nem minden eseményindító és művelet támogatja a hitelesítési típus hozzáadását. További információ: A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai.

  2. A Hitelesítés típusa listából válassza a Felügyelt identitás lehetőséget.

    Screenshot shows Consumption workflow, HTTP action, and Authentication property with selected option for Managed identity.

  3. A felügyelt identitások listájában válasszon a forgatókönyve alapján elérhető lehetőségek közül.

    • Ha beállítja a rendszer által hozzárendelt identitást, válassza a rendszer által hozzárendelt felügyelt identitást, ha még nincs kiválasztva.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected option for System-assigned managed identity.

    • Ha felhasználó által hozzárendelt identitást állít be, akkor jelölje ki ezt az identitást, ha még nincs kijelölve.

      Screenshot shows Consumption workflow, HTTP action, and Managed identity property with selected user-assigned identity.

    Ez a példa a rendszer által hozzárendelt felügyelt identitással folytatódik.

  4. Egyes triggereken és műveleteken a Célközönség tulajdonság is megjelenik a célerőforrás-azonosító beállításához. Állítsa be a Célközönség tulajdonságot a célerőforrás vagy szolgáltatás erőforrás-azonosítójának. Ellenkező esetben a Célközönség tulajdonság alapértelmezés szerint az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

    Ha például egy Key Vault-erőforráshoz való hozzáférést szeretné hitelesíteni a globális Azure-felhőben, az Audience tulajdonságot pontosan a következő erőforrás-azonosítóra kell beállítania: https://vault.azure.net Ez az erőforrás-azonosító nem tartalmaz záró perjeleket. Sőt, a záró perjelek is hibát vagy hibát eredményezhetnek 400 Bad Request401 Unauthorized .

    Fontos

    Győződjön meg arról, hogy a célerőforrás-azonosító pontosan megegyezik a Microsoft Entra ID által várt értékkel, beleértve a szükséges záró perjeleket is. Az összes Azure Blob Storage-fiók erőforrás-azonosítója például egy záró perjelet igényel. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Ellenőrizze a Microsoft Entra-azonosítót támogató Azure-szolgáltatások erőforrás-azonosítóit.

    Ez a példa úgy állítja be a Célközönség tulajdonságot https://storage.azure.com/ , hogy a hitelesítéshez használt hozzáférési jogkivonatok érvényesek legyenek az összes tárfiókra. Megadhatja azonban a gyökérszolgáltatás URL-címét https://<your-storage-account>.blob.core.windows.netis egy adott tárfiókhoz.

    Screenshot shows Consumption workflow, HTTP action, and Audience

    Az Azure Storage-hoz készült Microsoft Entra ID-val való hozzáférés engedélyezéséről az alábbi dokumentációban talál további információt:

  5. Folytassa a munkafolyamat elkészítését a kívánt módon.

Példa: Felügyelt összekötő-eseményindító vagy művelet hitelesítése felügyelt identitással

A felügyelt Azure Resource Manager-összekötő rendelkezik egy Erőforrás olvasása nevű műveletével, amely a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használhatja. Ez a példa bemutatja, hogyan használható a rendszer által hozzárendelt felügyelt identitás.

  1. Miután hozzáadta a műveletet a munkafolyamathoz, és kiválasztotta a Microsoft Entra-bérlőt, válassza Csatlakozás felügyelt identitással.

    Screenshot shows Consumption workflow, Azure Resource Manager action, and selected option for Connect with managed identity.

  2. A kapcsolatnév lapon adja meg a kapcsolat nevét, és válassza ki a használni kívánt felügyelt identitást.

    Az Azure Resource Manager-művelet egy egyszeri hitelesítési művelet, ezért a kapcsolatinformációs mező egy felügyelt identitáslistát jelenít meg, amely automatikusan kiválasztja a logikai alkalmazás erőforrásán jelenleg engedélyezett felügyelt identitást. Ha engedélyezte a rendszer által hozzárendelt felügyelt identitást, a felügyelt identitáslista kiválasztja a rendszer által hozzárendelt felügyelt identitást. Ha ehelyett engedélyezte a felhasználó által hozzárendelt felügyelt identitást, a lista ezt az identitást választja ki.

    Ha több hitelesítési eseményindítót vagy műveletet használ, például az Azure Blob Storage-t, a kapcsolati adatok mező egy hitelesítési típuslistát jelenít meg, amely tartalmazza a Logic Apps felügyelt identitás beállítását a többi hitelesítési típus között.

    Ebben a példában a rendszer által hozzárendelt felügyelt identitás az egyetlen választható lehetőség.

    Screenshot shows Consumption workflow and Azure Resource Manager action with connection name entered and selected option for System-assigned managed identity.

    Megjegyzés:

    Ha a felügyelt identitás nincs engedélyezve a kapcsolat létrehozásakor, a kapcsolat módosításakor vagy eltávolításakor, amikor egy felügyelt identitással kompatibilis kapcsolat még létezik, hibaüzenet jelenik meg, amely szerint engedélyeznie kell az identitást, és hozzáférést kell adnia a célerőforráshoz.

  3. Ha elkészült, válassza a Létrehozás lehetőséget.

  4. Miután a tervező sikeresen létrehozta a kapcsolatot, a tervező lekérheti a dinamikus értékeket, tartalmakat vagy sémákat a felügyelt identitáshitelesítés használatával.

  5. Folytassa a munkafolyamat elkészítését a kívánt módon.

Felügyelt identitást használó logikai alkalmazás erőforrásdefiníciója és kapcsolatai

A felügyelt identitást engedélyező és használó kapcsolat egy speciális kapcsolattípus, amely csak felügyelt identitással működik. Futásidőben a kapcsolat a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használja. Futásidőben az Azure Logic Apps szolgáltatás ellenőrzi, hogy a felügyelt identitás használatára van-e beállítva a felügyelt identitás használatára a felügyelt összekötő eseményindítója és műveletei, és hogy az összes szükséges engedély a felügyelt identitás használatára van-e beállítva az eseményindító és a műveletek által meghatározott célerőforrások eléréséhez. Ha sikeres, az Azure Logic Apps lekéri a felügyelt identitáshoz társított Microsoft Entra-jogkivonatot, és ezzel az identitással hitelesíti a célerőforráshoz való hozzáférést, és végrehajtja a konfigurált műveletet az eseményindítóban és a műveletekben.

A használatalapú logikai alkalmazás erőforrásában a kapcsolatkonfiguráció a logikai alkalmazás erőforrásdefiníciójának parameters objektumában lesz mentve, amely tartalmazza azt az $connections objektumot, amely a kapcsolat erőforrás-azonosítójára mutató mutatókat és az identitás erőforrás-azonosítóját tartalmazza, ha a felhasználó által hozzárendelt identitás engedélyezve van.

Ez a példa bemutatja, hogyan néz ki a konfiguráció, amikor a logikai alkalmazás engedélyezi a rendszer által hozzárendelt felügyelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Ez a példa bemutatja, hogyan néz ki a konfiguráció, ha a logikai alkalmazás engedélyezi a felhasználó által hozzárendelt felügyelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

ARM-sablon API-kapcsolatokhoz és felügyelt identitásokhoz

Ha ARM-sablonnal automatizálja az üzembe helyezést, és a munkafolyamat tartalmaz egy API-kapcsolatot, amelyet egy felügyelt összekötő , például az Office 365 Outlook, az Azure Key Vault hoz létre, és így felügyelt identitást használ, további lépéseket kell elvégeznie.

Az ARM-sablonokban a mögöttes összekötő erőforrásdefiníciója attól függ, hogy használatalapú vagy standard logikai alkalmazással rendelkezik-e, és hogy az összekötő egy- vagy többhitelesítési lehetőségeket jelenít-e meg.

Az alábbi példák a Használat logikai alkalmazás erőforrásaira vonatkoznak, és bemutatják, hogy az alapul szolgáló összekötő erőforrásdefiníciója miben különbözik az egy hitelesítési összekötő, például az Azure Automation és a több hitelesítési összekötő, például az Azure Blob Storage között.

Egyszeri hitelesítés

Ez a példa az Azure Automation-művelet mögöttes kapcsolati erőforrásdefinícióját mutatja be egy felügyelt identitást használó használatalapú logikai alkalmazásban, ahol a definíció tartalmazza az attribútumokat:

  • A kind tulajdonság egy Használat logikai alkalmazáshoz van beállítva V1 .
  • A parameterValueType tulajdonság értéke Alternative.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureautomation_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Több hitelesítés

Ez a példa az Azure Blob Storage-művelet mögöttes kapcsolati erőforrásdefinícióját mutatja be egy felügyelt identitást használó használatalapú logikai alkalmazásban, ahol a definíció a következő attribútumokat tartalmazza:

  • A kind tulajdonság egy Használat logikai alkalmazáshoz van beállítva V1 .
  • Az parameterValueSet objektum egy name olyan tulajdonságot tartalmaz, amely egy üres objektumra managedIdentityAuthvalues van állítva.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Az API-kapcsolat hitelesítésének speciális vezérlésének beállítása

Ha a munkafolyamat olyan API-kapcsolatot használ, amelyet egy felügyelt összekötő , például az Office 365 Outlook, az Azure Key Vault stb. hoz létre, az Azure Logic Apps szolgáltatás két kapcsolattal kommunikál a célerőforrással, például az e-mail-fiókjával, a kulcstartójával stb.:

Conceptual diagram showing first connection with authentication between logic app and token store plus second connection between token store and target resource.

  • Csatlakozás ion #1 a belső jogkivonattároló hitelesítésével van beállítva.

  • Csatlakozás ion #2 a célerőforrás hitelesítésével van beállítva.

A Használat logikai alkalmazás erőforrásában az 1. kapcsolat konfigurációs beállítások nélkül lesznek absztrakcióra. A Standard logikai alkalmazás erőforrástípusában jobban szabályozhatja a logikai alkalmazást. Alapértelmezés szerint az 1. kapcsolat automatikusan be van állítva a rendszer által hozzárendelt identitás használatára.

Ha azonban a forgatókönyv az API-kapcsolatok hitelesítésének finomabb szabályozását igényli, az 1. kapcsolat hitelesítését tetszés szerint módosíthatja az alapértelmezett rendszer által hozzárendelt identitásról bármely, a logikai alkalmazáshoz hozzáadott felhasználó által hozzárendelt identitásra. Ez a hitelesítés minden API-kapcsolatra vonatkozik, így a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitásokat különböző kapcsolatokban kombinálhatja ugyanahhoz a célerőforráshoz.

A Standard logikai alkalmazás connections.json fájljában, amely az egyes API-kapcsolatok adatait tárolja, minden kapcsolatdefiníció két authentication szakaszból áll, például:

"keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  • Az első authentication szakasz az 1. kapcsolatra képez le. Ez a szakasz a belső jogkivonat-tárolóval való kommunikációhoz használt hitelesítést ismerteti. Korábban ezt a szakaszt mindig az Azure-ban üzembe helyező, konfigurálható beállításokat nem tartalmazó alkalmazáshoz állította ManagedServiceIdentity be.

  • A második authentication szakasz a 2. kapcsolatra képez le. Ez a szakasz a célerőforrással való kommunikációhoz használt hitelesítést ismerteti, a kapcsolathoz választott hitelesítési típustól függően.

Miért érdemes módosítani a jogkivonat-tároló hitelesítését?

Bizonyos esetekben előfordulhat, hogy ugyanazt az API-kapcsolatot több logikai alkalmazáson is meg szeretné osztani és használni, de nem szeretné hozzáadni az egyes logikai alkalmazások rendszer által hozzárendelt identitását a célerőforrás hozzáférési szabályzatához.

Más esetekben előfordulhat, hogy nem szeretné teljesen beállítani a rendszer által hozzárendelt identitást a logikai alkalmazásban, így a hitelesítést felhasználó által hozzárendelt identitásra módosíthatja, és teljesen letilthatja a rendszer által hozzárendelt identitást.

A jogkivonat-tároló hitelesítésének módosítása

  1. Nyissa meg a Standard logikai alkalmazás erőforrását az Azure Portalon.

  2. Az erőforrásmenü Munkafolyamatok területén válassza a Csatlakozás ions lehetőséget.

  3. A Csatlakozás ions panelen válassza a JSON Nézet lehetőséget.

    Screenshot showing the Azure portal, Standard logic app resource,

  4. A JSON-szerkesztőben keresse meg azt a managedApiConnections szakaszt, amely a logikai alkalmazás erőforrásának összes munkafolyamatában tartalmazza az API-kapcsolatokat.

  5. Keresse meg azt a kapcsolatot, amelyhez felhasználó által hozzárendelt felügyelt identitást szeretne hozzáadni. Tegyük fel például, hogy a munkafolyamat azure Key Vault-kapcsolattal rendelkezik:

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity"
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  6. A kapcsolatdefinícióban hajtsa végre a következő lépéseket:

    1. Keresse meg az első authentication szakaszt. Ha ebben a authentication szakaszban még nincs identity tulajdonság, a logikai alkalmazás implicit módon használja a rendszer által hozzárendelt identitást.

    2. Adjon hozzá egy tulajdonságot identity az ebben a lépésben található példával.

    3. Állítsa be a tulajdonság értékét a felhasználó által hozzárendelt identitás erőforrás-azonosítójának.

    "keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
      // Add "identity" property here
      "identity": "/subscriptions/{Azure-subscription-ID}/resourcegroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-resource-ID}" 
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

  7. Az Azure Portalon lépjen a célerőforrásra, és adjon hozzáférést a felhasználó által hozzárendelt felügyelt identitáshoz a célerőforrás igényeinek megfelelően.

    Az Azure Key Vault esetében például adja hozzá az identitást a kulcstartó hozzáférési szabályzataihoz. Az Azure Blob Storage esetében rendelje hozzá az identitáshoz szükséges szerepkört a tárfiókhoz.

Felügyelt identitás letiltása

Ha le szeretné állítani a felügyelt identitás hitelesítésre való használatát, először távolítsa el az identitás hozzáférését a célerőforráshoz. Ezután kapcsolja ki a rendszer által hozzárendelt identitást a logikai alkalmazás erőforrásán, vagy távolítsa el a felhasználó által hozzárendelt identitást.

Amikor letiltja a felügyelt identitást a logikai alkalmazás erőforrásán, eltávolítja az identitás azon képességét, hogy hozzáférést kérjen azokhoz az Azure-erőforrásokhoz, amelyekhez az identitás hozzáféréssel rendelkezett.

Megjegyzés:

Ha letiltja a rendszer által hozzárendelt identitást, a logikai alkalmazás munkafolyamataiban használt munkafolyamatok által használt összes kapcsolat futásidőben nem fog működni, még akkor sem, ha azonnal újra engedélyezi az identitást. Ez a viselkedés azért fordul elő, mert az identitás letiltása törli az objektumazonosítót. Minden alkalommal, amikor engedélyezi az identitást, az Azure egy másik és egyedi objektumazonosítóval hozza létre az identitást. A probléma megoldásához újra létre kell hoznia a kapcsolatokat, hogy az aktuális objektumazonosítót használják az aktuális rendszer által hozzárendelt identitáshoz.

Próbálja meg a lehető legnagyobb mértékben letiltani a rendszer által hozzárendelt identitást. Ha el szeretné távolítani az identitás Azure-erőforrásokhoz való hozzáférését, távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból. Ha törli a logikai alkalmazás erőforrását, az Azure automatikusan eltávolítja a felügyelt identitást a Microsoft Entra-azonosítóból.

A szakasz lépései az Azure Portal és az Azure Resource Manager-sablon (ARM-sablon) használatát ismertetik. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse meg a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure CLI 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure REST API 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.

Felügyelt identitás letiltása az Azure Portalon

A felügyelt identitáshoz való hozzáférés eltávolításához távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból, majd tiltsa le a felügyelt identitást.

Szerepkör-hozzárendelés eltávolítása

Az alábbi lépések eltávolítják a célerőforráshoz való hozzáférést a felügyelt identitásból:

  1. Az Azure Portalon lépjen a cél Azure-erőforrásra, ahol el szeretné távolítani a felügyelt identitáshoz való hozzáférést.

  2. A célerőforrás menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Az eszköztáron válassza a Szerepkör-hozzárendelések lehetőséget.

  3. A szerepkörök listájában válassza ki az eltávolítani kívánt felügyelt identitásokat. Az eszköztáron válassza az Eltávolítás lehetőséget.

    Tipp.

    Ha az Eltávolítás lehetőség le van tiltva, akkor valószínűleg nem rendelkezik engedélyekkel. Az erőforrások szerepköreinek kezelését lehetővé tevő engedélyekről további információt a Microsoft Entra ID Rendszergazda istrator szerepkör-engedélyeivel kapcsolatban talál.

Felügyelt identitás letiltása a logikai alkalmazás erőforrásán

  1. Nyissa meg a logikai alkalmazás erőforrását az Azure Portalon.

  2. A logikai alkalmazás navigációs menüjének Gépház területén válassza az Identitás lehetőséget, majd kövesse az identitás lépéseit:

    • Válassza ki a mentéshez> hozzárendelt>rendszert. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    • Válassza ki a hozzárendelt felhasználót és a felügyelt identitást, majd válassza az Eltávolítás lehetőséget. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

Felügyelt identitás letiltása ARM-sablonban

Ha ARM-sablonnal hozta létre a logikai alkalmazás felügyelt identitását, állítsa be az identity objektum gyermektulajdonságát type a következőre None: .

"identity": {
   "type": "None"
}

További lépések