Azure-erőforrásokhoz való hozzáférés hitelesítése felügyelt identitásokkal a Azure Logic Apps

A logikaialkalmazás-munkafolyamatokban egyes eseményindítók és műveletek támogatják a felügyelt identitás használatát a Azure Active Directory (Azure AD) által védett erőforrásokhoz való hozzáférés hitelesítéséhez. Ezt az identitást korábban felügyeltszolgáltatás-identitásnak (MSI) nevezték. Ha engedélyezi a logikaialkalmazás-erőforrás számára, hogy felügyelt identitást használjon a hitelesítéshez, nem kell hitelesítő adatokat, titkos kulcsokat vagy Azure AD jogkivonatokat megadnia. Az Azure kezeli ezt az identitást, és segít a hitelesítési adatok biztonságának megőrzésében, mivel önnek nem kell kezelnie ezeket a bizalmas információkat.

Azure Logic Apps támogatja a rendszer által hozzárendelt felügyelt identitást és a felhasználó által hozzárendelt felügyelt identitást, de az alábbi különbségek léteznek ezek között az identitástípusok között:

  • A logikaialkalmazás-erőforrások csak egy egyedi, rendszer által hozzárendelt identitást engedélyezhetnek és használhatnak.

  • A logikaialkalmazás-erőforrások megoszthatják ugyanazt a felhasználó által hozzárendelt identitást más logikaialkalmazás-erőforrások egy csoportjában.

  • A logikai alkalmazás erőforrástípusa alapján engedélyezheti egyszerre a rendszer által hozzárendelt identitást, a felhasználó által hozzárendelt identitást vagy mindkettőt:

    Logikai alkalmazás erőforrástípusa Környezet Felügyelt identitás támogatása
    Használat – Több-bérlős Azure Logic Apps

    – Integrációs szolgáltatási környezet (ISE)

    Engedélyezheti a rendszer által hozzárendelt identitástípust vagy a felhasználó által hozzárendelt identitástípust a logikai alkalmazás erőforrásán.

    – Ha a felhasználó által hozzárendelt identitástípussal van engedélyezve, a logikaialkalmazás-erőforrás egyszerre csak egyetlen felhasználó által hozzárendelt identitással rendelkezhet.

    – Az identitást a logikai alkalmazás erőforrásszintjén és a kapcsolat szintjén használhatja.

    Standard - Egybérlős Azure Logic Apps

    - App Service Environment v3 (ASEv3)

    – Azure Arc-kompatibilis Logic Apps

    – Engedélyezheti egyszerre a rendszer által hozzárendelt identitástípust, amely alapértelmezés szerint engedélyezve van, és a felhasználó által hozzárendelt identitástípust is.

    – A logikai alkalmazás erőforrása egyszerre több felhasználó által hozzárendelt identitással is rendelkezhet.

    – Az identitást a logikai alkalmazás erőforrásszintjén és a kapcsolat szintjén használhatja.

Ha többet szeretne megtudni a Azure Logic Apps felügyelt identitáskorlátairól, tekintse át a logikai alkalmazások felügyelt identitásainak korlátait. A Használat és a Standard logikai alkalmazás erőforrástípusairól és környezeteiről az alábbi dokumentációban talál további információt:

Ahol használhat felügyelt identitást

Csak az Azure AD nyílt hitelesítést (Azure AD OAuth) támogató beépített és felügyelt összekötőműveletek használhatnak felügyelt identitást a hitelesítéshez. Az alábbi táblázat csak mintakijelölést tartalmaz. A teljesebb listáért tekintse át az olyan eseményindítók és műveletek hitelesítési típusait, amelyek támogatják a Azure ADfelügyelt identitásokkal történő hitelesítést támogató hitelesítést és műveleteket.

Az alábbi táblázat felsorolja azokat a műveleteket, amelyekhez használhatja a rendszer által hozzárendelt felügyelt identitást vagy a felhasználó által hozzárendelt felügyelt identitást a logikai alkalmazás (használat) erőforrástípusában:

Művelettípus Támogatott műveletek
Beépített – Azure API Management
- Azure-alkalmazás Services
- Azure Functions
- HTTP
- HTTP + Webhook

Megjegyzés: A HTTP-műveletek a rendszer által hozzárendelt identitással hitelesíthetik az Azure-Storage-fiókokhoz való kapcsolódást az Azure-tűzfalak mögött. Azonban nem támogatják a felhasználó által hozzárendelt felügyelt identitást ugyanazon kapcsolatok hitelesítéséhez.

Felügyelt összekötő Egyszeri hitelesítés:
- Azure Automation
- Azure Event Grid
– Azure Key Vault
– Azure Resource Manager
- HTTP Azure AD

Többszörös hitelesítés:
– Azure Blob Storage
- Azure Event Hubs
- Azure Service Bus
- SQL Server

Ez a cikk bemutatja, hogyan engedélyezheti és állíthatja be a rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást attól függően, hogy a Logikai alkalmazás (Használat) vagy a Logic App (Standard) erőforrástípust használja-e. A rendszer által hozzárendelt identitástól eltérően, amelyet nem kell manuálisan létrehoznia, manuálisan kell létrehoznia a felhasználó által hozzárendelt identitást. Ez a cikk a felhasználó által hozzárendelt identitás létrehozásának lépéseit tartalmazza a Azure Portal és az Azure Resource Manager sablon (ARM-sablon) használatával. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse át a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell Felhasználó által hozzárendelt identitás létrehozása
Azure CLI Felhasználó által hozzárendelt identitás létrehozása
Azure REST API Felhasználó által hozzárendelt identitás létrehozása

Előfeltételek

  • Azure-fiók és -előfizetés. Ha még nincs előfizetése, regisztráljon egy ingyenes Azure-fiókra. A felügyelt identitásnak és a cél Azure-erőforrásnak, ahol hozzáférésre van szüksége, ugyanazt az Azure-előfizetést kell használnia.

  • Ahhoz, hogy egy felügyelt identitás hozzáférést kapjon egy Azure-erőforráshoz, hozzá kell adnia egy szerepkört az identitás célerőforrásához. Szerepkörök hozzáadásához Azure AD rendszergazdai engedélyekre van szükség, amelyek szerepköröket rendelhetnek a megfelelő Azure AD bérlő identitásaihoz.

  • A cél Azure-erőforrás, amelyhez hozzá szeretne férni. Ezen az erőforráson hozzá fog adni egy szerepkört a felügyelt identitáshoz, amely segít a logikai alkalmazás erőforrásának vagy a kapcsolatnak a célerőforráshoz való hozzáférés hitelesítésében.

  • A logikai alkalmazás erőforrása, ahol a felügyelt identitásokat támogató eseményindítót vagy műveleteket szeretné használni.

Rendszer által hozzárendelt identitás engedélyezése Azure Portal

  1. A Azure Portal nyissa meg a logikai alkalmazás erőforrását.

  2. A logikai alkalmazás menüjének Gépház területén válassza az Identitás lehetőséget.

  3. Az Identitás panelEn, a Rendszer hozzárendelve területen válassza a>Mentés gombra. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    Screenshot showing Azure portal with Consumption logic app's

    Megjegyzés

    Ha hibaüzenet jelenik meg, amely szerint csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás erőforrása már társítva van a felhasználó által hozzárendelt identitással. A rendszer által hozzárendelt identitás hozzáadása előtt el kell távolítania a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásából.

    A logikai alkalmazás erőforrása most már használhatja a rendszer által hozzárendelt identitást. Ez az identitás regisztrálva van a Azure AD, és egy objektumazonosító jelöli.

    Screenshot showing Consumption logic app's

    Tulajdonság Érték Leírás
    Objektum (egyszerű) azonosítója <identity-resource-ID> Globálisan egyedi azonosító (GUID), amely a logikai alkalmazás rendszer által hozzárendelt identitását jelöli egy Azure AD-bérlőben.
  4. Most kövesse azokat a lépéseket, amelyek hozzáférést biztosítanak az identitásnak az erőforráshoz a jelen témakör későbbi részében.

Rendszer által hozzárendelt identitás engedélyezése ARM-sablonban

A logikaialkalmazás-erőforrások létrehozásának és üzembe helyezésének automatizálásához HASZNÁLHAT ARM-sablont. Ha engedélyezni szeretné a logikaialkalmazás-erőforrás rendszer által hozzárendelt felügyelt identitását a sablonban, adja hozzá az identity objektumot és a type gyermektulajdonságot a logikai alkalmazás erőforrás-definíciójához a sablonban, például:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Amikor az Azure létrehozza a logikai alkalmazás erőforrás-definícióját, az objektum a identity következő tulajdonságokat kapja:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Tulajdonság (JSON) Érték Leírás
principalId <principal-ID> A felügyelt identitás szolgáltatásnév-objektumának globálisan egyedi azonosítója (GUID), amely a logikai alkalmazást jelöli a Azure AD bérlőben. Ez a GUID néha "objektumazonosítóként" vagy objectID"objektumazonosítóként" jelenik meg.
tenantId <Azure-AD-tenant-ID> A globálisan egyedi azonosító (GUID), amely azt a Azure AD bérlőt jelöli, amelyben a logikai alkalmazás most már tag. A Azure AD bérlőn belül a szolgáltatásnév neve megegyezik a logikaialkalmazás-példány nevével.

Felhasználó által hozzárendelt identitás létrehozása a Azure Portal

Ahhoz, hogy engedélyezhesse a felhasználó által hozzárendelt identitást a logic app (consumption) vagy a Logic App (Standard) erőforráson, először ezt az identitást külön Azure-erőforrásként kell létrehoznia.

  1. A Azure Portal keresőmezőbe írja be a következőtmanaged identities: Válassza a Felügyelt identitások lehetőséget.

    Screenshot showing Azure portal with

  2. A Felügyelt identitások panelen válassza a Létrehozás lehetőséget.

    Screenshot showing

  3. Adja meg a felügyelt identitással kapcsolatos információkat, majd válassza az Áttekintés + Létrehozás lehetőséget, például:

    Screenshot showing

    Tulajdonság Kötelező Érték Leírás
    Előfizetés Yes <Azure-előfizetés neve> A használni kívánt Azure-előfizetés neve
    Erőforráscsoport Yes <Azure-erőforráscsoport neve> A használni kívánt Azure-erőforráscsoport neve. Hozzon létre egy új csoportot, vagy válasszon ki egy meglévő csoportot. Ez a példa létrehoz egy új csoportot .fabrikam-managed-identities-RG
    Régió Yes <Azure-régió> Az Azure-régió, ahol az erőforrással kapcsolatos információkat tárolhatja. Ez a példa az USA nyugati régióját használja.
    Név Yes <user-assigned-identity-name> A felhasználó által hozzárendelt identitásnak adandó név. Ez a példa a következőt használja: Fabrikam-user-assigned-identity.

    Miután az Azure érvényesítette az adatokat, az Azure létrehozza a felügyelt identitást. Most már hozzáadhatja a felhasználó által hozzárendelt identitást a logikai alkalmazás erőforrásához.

Felhasználó által hozzárendelt identitás hozzáadása a logikai alkalmazáshoz a Azure Portal

  1. A Azure Portal nyissa meg a logikai alkalmazás erőforrását.

  2. A logikai alkalmazás menüjének Gépház területén válassza az Identitás lehetőséget.

  3. Az Identitás panelen válassza a Felhasználóhoz rendelt>Hozzáadás lehetőséget.

    Screenshot showing Consumption logic app and

  4. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen kövesse az alábbi lépéseket:

    1. Az Előfizetések listában válassza ki az Azure-előfizetését, ha még nincs kiválasztva.

    2. Az előfizetés összes felügyelt identitását tartalmazó listából válassza ki a felhasználó által hozzárendelt identitást. A lista szűréséhez írja be az identitás vagy erőforráscsoport nevét a Felhasználó által hozzárendelt felügyelt identitások keresőmezőbe.

      Screenshot showing Consumption logic app and the user-assigned identity selected.

    3. Ha elkészült, válassza a Hozzáadás lehetőséget.

      Megjegyzés

      Ha hibaüzenetet kap, hogy csak egyetlen felügyelt identitással rendelkezhet, a logikai alkalmazás már társítva van a rendszer által hozzárendelt identitással. A felhasználó által hozzárendelt identitás hozzáadása előtt le kell tiltania a rendszer által hozzárendelt identitást.

    A logikai alkalmazás most már a felhasználó által hozzárendelt felügyelt identitáshoz van társítva.

    Screenshot showing Consumption logic app and association between user-assigned identity and logic app resource.

  5. Most kövesse azokat a lépéseket, amelyek hozzáférést biztosítanak az identitásnak az erőforráshoz a jelen témakör későbbi részében.

Felhasználó által hozzárendelt identitás létrehozása ARM-sablonban

A logikaialkalmazás-erőforrások létrehozásának és üzembe helyezésének automatizálásához HASZNÁLHAT ARM-sablont. Ezek a sablonok támogatják a felhasználó által hozzárendelt identitásokat a hitelesítéshez.

A sablon szakaszában resources a logikai alkalmazás erőforrás-definíciójához az alábbi elemek szükségesek:

  • Egy identity objektum, amelynek tulajdonsága a type következőre van állítva: UserAssigned

  • A felhasználó által hozzárendelt erőforrást és nevet megadó gyermekobjektum userAssignedIdentities

Ez a példa egy HASZNÁLAT logikai alkalmazás erőforrásdefinícióját mutatja be egy HTTP PUT-kérelemhez, és tartalmaz egy nem paraméteres identity objektumot. A PUT kérésre és az azt követő GET műveletre adott válasz az alábbi identity objektummal is rendelkezik:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Ha a sablon tartalmazza a felügyelt identitás erőforrás-definícióját is, paraméterezheti az identity objektumot. Ez a példa bemutatja, hogyan hivatkozik a gyermekobjektum userAssignedIdentities egy userAssignedIdentityName , a sablon variables szakaszában definiált változóra. Ez a változó a felhasználó által hozzárendelt identitás erőforrás-azonosítóra hivatkozik.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Identitás-hozzáférés biztosítása az erőforrásokhoz

Mielőtt használhatja a logikai alkalmazás felügyelt identitását a hitelesítéshez, be kell állítania az identitáshoz való hozzáférést azon az Azure-erőforráson, ahol az identitást használni szeretné. A hozzáférés beállításának módja attól függően változik, hogy az identitás mely erőforráshoz szeretne hozzáférni.

Megjegyzés

Ha egy felügyelt identitás hozzáféréssel rendelkezik egy Azure-erőforráshoz ugyanabban az előfizetésben, az identitás csak az adott erőforráshoz férhet hozzá. Egyes felügyelt identitásokat támogató eseményindítókban és műveletekben azonban először ki kell választania a célerőforrást tartalmazó Azure-erőforráscsoportot. Ha az identitás nem rendelkezik hozzáféréssel az erőforráscsoport szintjén, akkor a célerőforráshoz való hozzáférés ellenére az adott csoport egyik erőforrása sincs felsorolva.

Ennek a viselkedésnek a kezeléséhez az identitásnak is hozzáférést kell adnia az erőforráscsoporthoz, nem csak az erőforráshoz. Hasonlóképpen, ha a célerőforrás kiválasztása előtt ki kell választania az előfizetést, hozzáférést kell adnia az identitásnak az előfizetéshez.

Ha például egy Azure Blob Storage-fiókot szeretne elérni a felügyelt identitással, be kell állítania a hozzáférést az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC), és hozzá kell rendelnie az identitáshoz megfelelő szerepkört a tárfiókhoz. Az ebben a szakaszban ismertetett lépések bemutatják, hogyan hajthatja végre ezt a feladatot az Azure Portal és az Azure Resource Manager sablon (ARM-sablon) használatával. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse át a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell Szerepkör-hozzárendelés hozzáadása
Azure CLI Szerepkör-hozzárendelés hozzáadása
Azure REST API Szerepkör-hozzárendelés hozzáadása

Ahhoz azonban, hogy hozzáférhessen egy Azure-kulcstartóhoz a felügyelt identitással, létre kell hoznia egy hozzáférési szabályzatot az identitáshoz a kulcstartóban, és hozzá kell rendelnie az identitáshoz a megfelelő engedélyeket a kulcstartóban. A szakasz későbbi lépései ismertetik, hogyan hajthatja végre ezt a feladatot a Azure Portal használatával. A Resource Manager sablonok, a PowerShell és az Azure CLI esetében tekintse át a következő dokumentációt:

Eszköz Dokumentáció
Azure Resource Manager-sablon (ARM-sablon) Key Vault hozzáférési szabályzat erőforrás-definíciója
Azure PowerShell Key Vault-hozzáférési szabályzat hozzárendelése
Azure CLI Key Vault-hozzáférési szabályzat hozzárendelése

Felügyelt identitás szerepköralapú hozzáférésének hozzárendelése a Azure Portal

Ha felügyelt identitást szeretne használni a hitelesítéshez, egyes Azure-erőforrások, például az Azure Storage-fiókok megkövetelik, hogy az identitást olyan szerepkörhöz rendelje, amely rendelkezik a megfelelő engedélyekkel a célerőforráshoz. Más Azure-erőforrásokhoz, például az Azure Key Vaultokhoz olyan hozzáférési szabályzatot kell létrehoznia, amely rendelkezik a megfelelő engedélyekkel az identitás célerőforrásához.

  1. A Azure Portal nyissa meg azt az erőforrást, amelyben az identitást használni szeretné.

  2. Az erőforrás menüjében válassza a Hozzáférés-vezérlés (IAM)>Szerepkör-hozzárendelés hozzáadása lehetőséget>.

    Megjegyzés

    Ha a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva, nincs engedélye szerepkörök hozzárendelésére. További információért tekintse át Azure AD beépített szerepköröket.

  3. Most rendelje hozzá a szükséges szerepkört a felügyelt identitáshoz. A Szerepkör lapon rendeljen hozzá egy szerepkört, amely biztosítja az identitás számára a szükséges hozzáférést az aktuális erőforráshoz.

    Ebben a példában rendelje hozzá a blobadatok közreműködője Storage nevű szerepkört, amely egy Azure Storage-tárolóban lévő blobok írási hozzáférését tartalmazza. Az egyes tárolók szerepköreivel kapcsolatos további információkért tekintse át azOkat a szerepköröket, amelyek hozzáférhetnek az Azure Storage-tárolóban lévő blobokhoz.

  4. Ezután válassza ki azt a felügyelt identitást, amelyhez hozzá szeretné rendelni a szerepkört. A Hozzáférés hozzárendelése területen válassza a Felügyelt identitás>hozzáadása tagok hozzáadása lehetőséget.

  5. A felügyelt identitás típusa alapján válassza ki vagy adja meg a következő értékeket:

    Típus Azure-szolgáltatáspéldány Előfizetés Tag
    Rendszer által hozzárendelt Logikai alkalmazás <Azure-előfizetés neve> <az Ön-logic-app-neve>
    Felhasználó által hozzárendelt Nem értelmezhető <Azure-előfizetés neve> <a-user-assigned-identity-name>

    A szerepkörök hozzárendelésével kapcsolatos további információkért tekintse át a szerepkörök hozzárendelése a Azure Portal használatával című dokumentációt.

  6. Miután végzett, az identitással hitelesítheti a felügyelt identitásokat támogató eseményindítók és műveletek hozzáférését.

A feladattal kapcsolatos általánosabb információkért tekintse át a felügyelt identitáshoz való hozzáférés hozzárendelését egy másik erőforráshoz az Azure RBAC használatával.

Hozzáférési szabályzat létrehozása a Azure Portal

Ha felügyelt identitást szeretne használni a hitelesítéshez, egyes Azure-erőforrásokhoz, például az Azure-kulcstartókhoz olyan hozzáférési szabályzatot kell létrehoznia, amely rendelkezik a megfelelő engedélyekkel az identitás célerőforrásához. Más Azure-erőforrások, például az Azure-tárfiókok megkövetelik, hogy az identitást olyan szerepkörhöz rendelje, amely rendelkezik a megfelelő engedélyekkel a célerőforráshoz.

  1. A Azure Portal nyissa meg azt a célerőforrást, ahol az identitást használni szeretné. Ez a példa egy Azure Key Vaultot használ célerőforrásként.

  2. Az erőforrás menüjében válassza a Létrehozás hozzáférési szabályzatok>lehetőséget, amely megnyitja a Hozzáférési szabályzat létrehozása panelt .

    Megjegyzés

    Ha az erőforrás nem rendelkezik hozzáférési szabályzatokkal , próbáljon meg inkább szerepkör-hozzárendelést hozzárendelni.

    Screenshot showing the Azure portal and key vault example with

  3. Az Engedélyek lapon válassza ki azokat a szükséges engedélyeket, amelyekre az identitásnak szüksége van a célerőforrás eléréséhez.

    Ha például az identitást a felügyelt Azure Key Vault-összekötő Titkos kódok listázása műveletével szeretné használni, az identitásnak listázási engedélyekkel kell rendelkeznie. A Titkos engedélyek oszlopban válassza a Lista lehetőséget.

    Screenshot showing

  4. Ha elkészült, válassza a Tovább gombot. Az Egyszerű lapon keresse meg és válassza ki a felügyelt identitást, amely egy felhasználó által hozzárendelt identitás ebben a példában.

  5. Hagyja ki az opcionális alkalmazáslépést , válassza a Tovább gombot, és fejezze be a hozzáférési szabályzat létrehozását.

A következő szakasz egy eseményindító vagy művelet hozzáférésének hitelesítésére szolgáló felügyelt identitás használatát ismerteti. A példa egy korábbi szakasz lépéseivel folytatódik, ahol az RBAC használatával állított be hozzáférést egy felügyelt identitáshoz, és nem használja példaként az Azure Key Vault. A felügyelt identitás hitelesítéshez való használatának általános lépései azonban ugyanazok.

Hozzáférés hitelesítése felügyelt identitással

Miután engedélyezte a felügyelt identitást a logikaialkalmazás-erőforráshoz , és hozzáférést adott az identitásnak a célerőforráshoz vagy entitáshoz, ezt az identitást használhatja a felügyelt identitásokat támogató eseményindítókban és műveletekben.

Fontos

Ha olyan Azure-függvénye van, amelyben a rendszer által hozzárendelt identitást szeretné használni, először engedélyezze a hitelesítést Azure Functions.

Ezek a lépések bemutatják, hogyan használhatja a felügyelt identitást egy eseményindítóval vagy művelettel a Azure Portal keresztül. Ha meg szeretné adni a felügyelt identitást egy eseményindító vagy művelet mögöttes JSON-definíciójában, tekintse át a felügyelt identitás hitelesítését.

  1. A Azure Portal nyissa meg a logikai alkalmazás erőforrását.

  2. Ha még nem tette meg, adja hozzá a felügyelt identitásokat támogató eseményindítót vagy műveletet.

    Megjegyzés

    Nem minden eseményindító és művelet támogatja a hitelesítési típus hozzáadását. További információkért tekintse át a hitelesítést támogató eseményindítók és műveletek hitelesítési típusait.

  3. A hozzáadott eseményindítón vagy műveleten kövesse az alábbi lépéseket:

    • A felügyelt identitás hitelesítését támogató beépített műveletek

      1. Az Új paraméter hozzáadása listából adja hozzá a Hitelesítési tulajdonságot, ha a tulajdonság még nem jelenik meg.

        Screenshot showing example built-in action with

      2. A Hitelesítés típusa listából válassza a Felügyelt identitás lehetőséget.

        Screenshot showing example built-in action with

      További információ : Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással.

    • Felügyelt identitáshitelesítést támogató felügyelt összekötő-műveletek

      1. A bérlőkijelölési lapon válassza ki a felügyelt identitással rendelkező Csatlakozás, például:

        Screenshot showing Azure Resource Manager action and

      2. A kapcsolat neveként a következő lapon adja meg a kapcsolathoz használandó nevet.

      3. A hitelesítési típushoz válasszon az alábbi lehetőségek közül a felügyelt összekötő alapján:

        • Egyszeri hitelesítés: Ezek az összekötők csak egy hitelesítési típust támogatnak. A felügyelt identitások listájában válassza ki az aktuálisan engedélyezett felügyelt identitást, ha még nincs kiválasztva, majd válassza a Létrehozás lehetőséget, például:

          Screenshot showing the connection name page and single managed identity selected in Consumption.

        • Több hitelesítés: Ezek az összekötők több hitelesítési típust mutatnak, de továbbra is csak egy típust választhat. A Hitelesítési típus listából válassza a Logic Apps felügyelt identitás>létrehozása lehetőséget, például:

          Screenshot showing the connection name page and

        További információ : Példa: Felügyelt összekötő eseményindítójának vagy műveletének hitelesítése felügyelt identitással.

Példa: Beépített eseményindító vagy művelet hitelesítése felügyelt identitással

A beépített HTTP-eseményindító vagy -művelet használhatja a logikai alkalmazás erőforrásán engedélyezett rendszer által hozzárendelt identitást. A HTTP-eseményindító vagy -művelet általában a következő tulajdonságokat használja az elérni kívánt erőforrás vagy entitás megadásához:

Tulajdonság Kötelező Leírás
Metódus Yes A futtatni kívánt művelet által használt HTTP-metódus
URI Yes A cél Azure-erőforrás vagy -entitás elérésének végponti URL-címe. Az URI szintaxis általában tartalmazza az Azure-erőforrás vagy -szolgáltatás erőforrás-azonosítóját .
Fejlécek No A kimenő kérelemben szerepeltetni kívánt fejlécértékek, például a tartalomtípus
Lekérdezések No A kérelemben szerepeltetni kívánt lekérdezési paraméterek. Lekérdezési paraméterek például egy adott művelethez vagy a futtatni kívánt művelet API-verziójához.
Hitelesítés Yes A célerőforráshoz vagy entitáshoz való hozzáférés hitelesítéséhez használandó hitelesítési típus

Konkrét példaként tegyük fel, hogy a Pillanatkép-blob műveletet egy olyan blobon szeretné futtatni az Azure Storage-fiókban, ahol korábban beállította az identitáshoz való hozzáférést. A Azure Blob Storage-összekötő azonban jelenleg nem kínálja ezt a műveletet. Ehelyett futtathatja ezt a műveletet a HTTP-művelettel vagy egy másik Blob Service REST API-művelettel.

Fontos

Ha HTTP-kérések és felügyelt identitások használatával szeretné elérni az Azure Storage-fiókokat a tűzfalak mögött, győződjön meg arról, hogy a tárfiókot is beállítja, azzal a kivétellel, amely lehetővé teszi a megbízható Microsoft-szolgáltatások általi hozzáférést.

A Pillanatkép-blob művelet futtatásához a HTTP-művelet a következő tulajdonságokat adja meg:

Tulajdonság Kötelező Példaérték Description
Metódus Yes PUT A Pillanatkép-blob művelet által használt HTTP-metódus
URI Yes https://<storage-account-name>/<folder-name>/{name} Egy Azure Blob Storage-fájl erőforrás-azonosítója az Azure Global (nyilvános) környezetben, amely ezt a szintaxist használja
Fejlécek Azure Storage x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

Az x-ms-blob-typeAzure Storage műveletekhez a , x-ms-versionés x-ms-date a fejléc értékei szükségesek.

Fontos: Az Azure Storage kimenő HTTP-eseményindítói és műveletkérései esetén a fejléchez a x-ms-version futtatni kívánt művelet tulajdonsága és API-verziója szükséges. Az x-ms-date aktuális dátumnak kell lennie. Ellenkező esetben a munkafolyamat hibaüzenettel 403 FORBIDDEN meghiúsul. Az aktuális dátum kívánt formátumban való lekéréséhez használhatja a kifejezést a példaértékben.

További információért tekintse át az alábbi témaköröket:

- Kérelemfejlécek – Pillanatkép-blob
- Verziószámozás az Azure Storage-szolgáltatásokhoz

Lekérdezések Csak a Pillanatkép-blob művelethez comp = snapshot A művelet lekérdezési paraméterének neve és értéke.

Az alábbi példa egy HTTP-mintaműveletet mutat be a Snapshot Blob művelethez használandó összes korábban leírt tulajdonságértékkel:

Screenshot showing Azure portal with Consumption logic app workflow and HTTP action set up to access resource.

  1. A HTTP-művelet hozzáadása után adja hozzá a Hitelesítési tulajdonságot a HTTP-művelethez. Az Új paraméter hozzáadása listából válassza a Hitelesítés lehetőséget.

    Screenshot showing Consumption workflow with HTTP action and

    Megjegyzés

    Nem minden eseményindító és művelet támogatja a hitelesítési típus hozzáadását. További információkért tekintse át a hitelesítést támogató eseményindítók és műveletek hitelesítési típusait.

  2. A Hitelesítés típusa listában válassza a Felügyelt identitás lehetőséget.

    Screenshot showing Consumption workflow with HTTP action and

  3. A felügyelt identitások listájában válasszon a forgatókönyve alapján elérhető lehetőségek közül.

    • Ha beállította a rendszer által hozzárendelt identitást, válassza a rendszer által hozzárendelt felügyelt identitást , ha még nincs kiválasztva.

      Screenshot showing Consumption workflow with HTTP action and

    • Ha felhasználó által hozzárendelt identitást állít be, jelölje ki azt az identitást, ha még nincs kijelölve.

      Screenshot showing Consumption workflow with HTTP action and

    Ez a példa a rendszer által hozzárendelt felügyelt identitással folytatódik.

  4. Egyes eseményindítókon és műveleteken a Célközönség tulajdonság is megjelenik a célerőforrás-azonosító beállításához. Állítsa a Célközönség tulajdonságot a célerőforrás vagy szolgáltatás erőforrás-azonosítójának beállítására. Ellenkező esetben az Audience tulajdonság alapértelmezés szerint az https://management.azure.com/ erőforrás-azonosítót használja, amely az Azure Resource Manager erőforrás-azonosítója.

    Ha például egy Key Vault erőforráshoz való hozzáférést szeretné hitelesíteni a globális Azure-felhőben, az Audience tulajdonságot pontosan a következő erőforrás-azonosítóra kell beállítania: https://vault.azure.net Ennek az erőforrás-azonosítónak nincs záró perjele. Sőt, a záró perjelek is hibát vagy hibát eredményezhetnek 400 Bad Request401 Unauthorized .

    Fontos

    Győződjön meg arról, hogy a célerőforrás-azonosító pontosan megegyezik az Azure Active Directory (AD) által várt értékkel, beleértve a szükséges záró perjeleket is. Például az összes Azure Blob Storage fiók erőforrás-azonosítója záró perjelet igényel. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Ellenőrizze a Azure AD támogató Azure-szolgáltatások erőforrás-azonosítóit.

    Ez a példa úgy állítja be az Audience tulajdonságot https://storage.azure.com/ , hogy a hitelesítéshez használt hozzáférési jogkivonatok érvényesek legyenek az összes tárfiókra. Megadhatja azonban a gyökérszolgáltatás URL-címét https://<your-storage-account>.blob.core.windows.netis egy adott tárfiókhoz.

    Screenshot showing Consumption workflow with HTTP action and

    Az Azure Storage Azure AD-hozzáférésének engedélyezésével kapcsolatos további információkért tekintse át a következő dokumentációt:

  5. Folytassa a munkafolyamat összeállítását a kívánt módon.

Példa: Felügyelt összekötő eseményindító vagy művelet hitelesítése felügyelt identitással

Az Azure Resource Manager felügyelt összekötőjéhez tartozik egy Erőforrás olvasása nevű művelet, amely használhatja a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást. Ez a példa a rendszer által hozzárendelt felügyelt identitás használatát mutatja be.

  1. Miután hozzáadta a műveletet a munkafolyamathoz, és kiválasztotta a Azure AD bérlőt, válassza Csatlakozás felügyelt identitással.

    Screenshot showing Azure Resource Manager action and

  2. A kapcsolat neve lapon adja meg a kapcsolat nevét, majd válassza ki a használni kívánt felügyelt identitást.

    Az Azure Resource Manager művelet egy egyszeri hitelesítési művelet, ezért a kapcsolati adatok panelen megjelenik egy felügyelt identitáslista, amely automatikusan kiválasztja azt a felügyelt identitást, amely jelenleg engedélyezve van a logikai alkalmazás erőforrásán. Ha engedélyezte a rendszer által hozzárendelt felügyelt identitást, a felügyelt identitások listája kiválasztja a rendszer által hozzárendelt felügyelt identitást. Ha ehelyett felhasználó által hozzárendelt felügyelt identitást engedélyezett, a lista ezt az identitást választja ki.

    Ha több hitelesítési eseményindítót vagy műveletet (például Azure Blob Storage) használ, a kapcsolati adatok panelen megjelenik egy hitelesítési típuslista, amely tartalmazza a Logic Apps felügyelt identitás beállítását a többi hitelesítési típus között.

    Ebben a példában a rendszer által hozzárendelt felügyelt identitás az egyetlen választható lehetőség.

    Screenshot showing Azure Resource Manager action with the connection name entered and

    Megjegyzés

    Ha a felügyelt identitás nincs engedélyezve, amikor megpróbálja létrehozni a kapcsolatot, módosítani a kapcsolatot, vagy el lett távolítva, miközben a felügyelt identitást engedélyező kapcsolat még létezik, hibaüzenet jelenik meg, amely szerint engedélyeznie kell az identitást, és hozzáférést kell adnia a célerőforráshoz.

  3. Amikor elkészült, válassza a Létrehozás lehetőséget.

  4. Miután a tervező sikeresen létrehozta a kapcsolatot, a tervező lekérheti a dinamikus értékeket, tartalmakat vagy sémákat a felügyelt identitás hitelesítésével.

  5. Folytassa a munkafolyamat összeállítását a kívánt módon.

Felügyelt identitást használó logikai alkalmazás erőforrás-definíciója és kapcsolatai

A felügyelt identitást engedélyező és használó kapcsolat egy speciális kapcsolattípus, amely csak felügyelt identitással működik. Futásidőben a kapcsolat a logikai alkalmazás erőforrásán engedélyezett felügyelt identitást használja. Futásidőben a Azure Logic Apps szolgáltatás ellenőrzi, hogy a logikai alkalmazás munkafolyamatának felügyelt összekötő-eseményindítói és műveletei be vannak-e állítva a felügyelt identitás használatára, és hogy az összes szükséges engedély be van-e állítva a felügyelt identitás használatára az eseményindító és a műveletek által meghatározott célerőforrások eléréséhez. Ha sikeres, Azure Logic Apps lekéri a felügyelt identitáshoz társított Azure AD jogkivonatot, és ezt az identitást használja a célerőforráshoz való hozzáférés hitelesítéséhez, valamint a konfigurált művelet végrehajtásához az eseményindítóban és a műveletekben.

A logikai alkalmazás (használat) erőforrásában a kapcsolat konfigurációja a logikai alkalmazás erőforrás-definíciójának parameters objektumában lesz mentve, amely tartalmazza azt az $connections objektumot, amely a kapcsolat erőforrás-azonosítójára mutató mutatókat és az identitás erőforrás-azonosítóját tartalmazza, ha a felhasználó által hozzárendelt identitás engedélyezve van.

Ez a példa bemutatja, hogyan néz ki a konfiguráció, ha a logikai alkalmazás engedélyezi a rendszer által hozzárendelt felügyelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Ez a példa bemutatja, hogyan néz ki a konfiguráció, ha a logikai alkalmazás engedélyezi a felhasználó által hozzárendelt felügyelt identitást:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

ARM-sablon API-kapcsolatokhoz és felügyelt identitásokhoz

Ha ARM-sablonnal automatizálja az üzembe helyezést, és a munkafolyamat tartalmaz egy API-kapcsolatot, amelyet egy felügyelt összekötő (például Office 365 Outlook, Azure Key Vault) hoz létre, és így felügyelt identitást használ, egy további lépést kell elvégeznie.

Az ARM-sablonokban az alapul szolgáló összekötő erőforrás-definíciója attól függ, hogy használatalapú vagy standard logikai alkalmazással rendelkezik-e, és hogy az összekötő egy- vagy többhitelesítési lehetőségeket jelenít-e meg.

Az alábbi példák a használatalapú logikai alkalmazásokra vonatkoznak, és bemutatják, hogy az alapul szolgáló összekötő erőforrás-definíciója miben különbözik az egyhitelesítő összekötők (például a Azure Automation) és a több hitelesítési összekötő között, például a Azure Blob Storage.

Egyszeri hitelesítés

Ez a példa egy felügyelt identitást használó használatalapú logikai alkalmazás Azure Automation műveletének mögöttes kapcsolaterőforrás-definícióját mutatja be, ahol a definíció tartalmazza az attribútumokat:

  • A apiVersion tulajdonság értéke 2016-06-01.
  • A kind tulajdonság egy használatalapú V1 logikai alkalmazáshoz van beállítva.
  • A parameterValueType tulajdonság értéke Alternative.
{
    "type": "Microsoft.Web/connections",
    "name": "[variables('connections_azureautomation_name')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureautomation_name')]",
        "parameterValueType": "Alternative"
    }
},

Többszörös hitelesítés

Ez a példa egy felügyelt identitást használó használatalapú logikai alkalmazás Azure Blob Storage műveletének mögöttes kapcsolaterőforrás-definícióját mutatja be, ahol a definíció a következő attribútumokat tartalmazza:

  • A apiVersion tulajdonság értéke 2018-07-01-preview.
  • A kind tulajdonság egy használatalapú V1 logikai alkalmazáshoz van beállítva.
  • Az parameterValueSet objektum tartalmaz egy name tulajdonságot, amely a következőre managedIdentityAuth van állítva, és egy values üres objektumra beállított tulajdonságot.
{
    "type": "Microsoft.Web/connections",
    "apiVersion": "2018-07-01-preview",
    "name": "[variables('connections_azureblob_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('connections_azureblob_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        }
    }
}

API-kapcsolathitelesítés speciális vezérlésének beállítása

Ha a munkafolyamat egy felügyelt összekötő (például Office 365 Outlook, Azure Key Vault stb.) által létrehozott API-kapcsolatot használ, a Azure Logic Apps szolgáltatás két kapcsolattal kommunikál a célerőforrással, például az e-mail-fiókjával, a kulcstartójával stb.:

Conceptual diagram showing first connection with authentication between logic app and token store plus second connection between token store and target resource.

  • Az 1. kapcsolat a belső jogkivonattároló hitelesítésével van beállítva.

  • A 2. kapcsolat a célerőforrás hitelesítésével van beállítva.

A használatalapú logikai alkalmazás erőforrásában az 1. kapcsolat absztrakcióra kerül a konfigurációs beállítások nélkül. A standard logikai alkalmazás erőforrástípusában nagyobb mértékben szabályozhatja a logikai alkalmazást. Alapértelmezés szerint az 1. kapcsolat automatikusan be van állítva a rendszer által hozzárendelt identitás használatára.

Ha azonban a forgatókönyvben részletesebb vezérlésre van szükség az API-kapcsolatok hitelesítése felett, igény szerint módosíthatja az 1. kapcsolat hitelesítését az alapértelmezett rendszer által hozzárendelt identitásról bármely, a logikai alkalmazáshoz hozzáadott felhasználó által hozzárendelt identitásra. Ez a hitelesítés minden API-kapcsolatra vonatkozik, így kombinálhatja a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitásokat ugyanazon célerőforrás különböző kapcsolatai között.

A standard logikai alkalmazás connections.json fájljában, amely az egyes API-kapcsolatok adatait tárolja, mindegyik kapcsolatdefiníció két authentication szakaszból áll, például:

"keyvault": {
   "api": {
      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}
  • Az első authentication szakasz megfelel az 1. kapcsolatnak. Ez a szakasz a belső jogkivonat-tárolóval való kommunikációhoz használt hitelesítést ismerteti. Korábban ezt a szakaszt mindig az Azure-ban üzembe helyező, konfigurálható lehetőségeket nem tartalmazó alkalmazáshoz állítottuk ManagedServiceIdentity be.

  • A második authentication szakasz a 2. kapcsolatra van leképzve. Ez a szakasz a célerőforrással való kommunikációhoz használt hitelesítést ismerteti, a kapcsolathoz választott hitelesítési típustól függően.

Miért érdemes módosítani a jogkivonattároló hitelesítését?

Bizonyos esetekben előfordulhat, hogy ugyanazt az API-kapcsolatot több logikai alkalmazásban is meg szeretné osztani és használni, de nem szeretné hozzáadni az egyes logikai alkalmazások rendszer által hozzárendelt identitását a célerőforrás hozzáférési szabályzatához.

Más esetekben előfordulhat, hogy nem szeretné, hogy a rendszer által hozzárendelt identitás teljes mértékben be legyen állítva a logikai alkalmazásban, így a hitelesítést felhasználó által hozzárendelt identitásra módosíthatja, és teljesen letilthatja a rendszer által hozzárendelt identitást.

A jogkivonattároló hitelesítésének módosítása

  1. A Azure Portal nyissa meg a standard logikai alkalmazás erőforrását.

  2. Az erőforrásmenü Munkafolyamatok területén válassza a Kapcsolatok lehetőséget.

  3. A Kapcsolatok panelen válassza a JSON-nézet lehetőséget.

    Screenshot showing the Azure portal, Standard logic app resource,

  4. A JSON-szerkesztőben keresse meg azt a managedApiConnections szakaszt, amely a logikaialkalmazás-erőforrás összes munkafolyamatának API-kapcsolatait tartalmazza.

  5. Keresse meg azt a kapcsolatot, amelyhez felhasználó által hozzárendelt felügyelt identitást szeretne hozzáadni. Tegyük fel például, hogy a munkafolyamat azure-Key Vault-kapcsolattal rendelkezik:

    "keyvault": {
       "api": {
          "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
       },
       "authentication": {
          "type": "ManagedServiceIdentity"
       },
       "connection": {
          "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
       },
       "connectionProperties": {
          "authentication": {
             "audience": "https://vault.azure.net",
             "type": "ManagedServiceIdentity"
          }
       },
       "connectionRuntimeUrl": "<connection-runtime-URL>"
    }
    
  6. A kapcsolat definíciójában hajtsa végre a következő lépéseket:

    1. Keresse meg az első authentication szakaszt. Ha ebben a authentication szakaszban még nincs identity tulajdonság, a logikai alkalmazás implicit módon a rendszer által hozzárendelt identitást használja.

    2. Adjon hozzá egy tulajdonságot identity az ebben a lépésben szereplő példával.

    3. Állítsa a tulajdonság értékét a felhasználó által hozzárendelt identitás erőforrás-azonosítójának értékére.

    "keyvault": {
       "api": {
          "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{region}/managedApis/keyvault"
       },
       "authentication": {
          "type": "ManagedServiceIdentity",
          // Add "identity" property here
          "identity": "/subscriptions/{Azure-subscription-ID}/resourcegroups/{resource-group-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-resource-ID}" 
       },
       "connection": {
          "id": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/<connection-name>"
       },
       "connectionProperties": {
          "authentication": {
             "audience": "https://vault.azure.net",
             "type": "ManagedServiceIdentity"
          }
       },
       "connectionRuntimeUrl": "<connection-runtime-URL>"
    }
    
  7. A Azure Portal lépjen a célerőforráshoz, és adjon hozzáférést a felhasználó által hozzárendelt felügyelt identitáshoz a célerőforrás igényeinek megfelelően.

    Az Azure Key Vault esetében például adja hozzá az identitást a kulcstartó hozzáférési szabályzataihoz. Azure Blob Storage esetében rendelje hozzá az identitáshoz szükséges szerepkört a tárfiókhoz.

Felügyelt identitás letiltása

A felügyelt identitás hitelesítésre való használatának leállításához először távolítsa el az identitás hozzáférését a célerőforráshoz. Ezután kapcsolja ki a rendszer által hozzárendelt identitást a logikai alkalmazás erőforrásán, vagy távolítsa el a felhasználó által hozzárendelt identitást.

Amikor letiltja a felügyelt identitást a logikai alkalmazás erőforrásán, eltávolítja az identitás azon képességét, hogy hozzáférést kérjen azokhoz az Azure-erőforrásokhoz, amelyekhez az identitás hozzáféréssel rendelkezett.

Megjegyzés

Ha letiltja a rendszer által hozzárendelt identitást, a logikai alkalmazás munkafolyamatai által használt összes kapcsolat futásidőben nem fog működni, még akkor sem, ha azonnal újra engedélyezi az identitást. Ez a viselkedés azért történik, mert az identitás letiltása törli az objektumazonosítót. Minden alkalommal, amikor engedélyezi az identitást, az Azure egy másik és egyedi objektumazonosítóval hozza létre az identitást. A probléma megoldásához újra létre kell hoznia a kapcsolatokat, hogy azok az aktuális objektumazonosítót használják az aktuális rendszer által hozzárendelt identitáshoz.

Próbálja meg a lehető legnagyobb mértékben letiltani a rendszer által hozzárendelt identitást. Ha el szeretné távolítani az identitás Azure-erőforrásokhoz való hozzáférését, távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból. Ha törli a logikai alkalmazás erőforrását, az Azure automatikusan eltávolítja a felügyelt identitást a Azure AD.

A szakasz lépései az Azure Portal és az Azure Resource Manager sablon (ARM-sablon) használatát ismertetik. Az Azure PowerShell, az Azure CLI és az Azure REST API esetében tekintse át a következő dokumentációt:

Eszköz Dokumentáció
Azure PowerShell 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure CLI 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.
Azure REST API 1. Távolítsa el a szerepkör-hozzárendelést.
2. Törölje a felhasználó által hozzárendelt identitást.

Felügyelt identitás letiltása a Azure Portal

A felügyelt identitáshoz való hozzáférés eltávolításához távolítsa el az identitás szerepkör-hozzárendelését a célerőforrásból, majd tiltsa le a felügyelt identitást.

Szerepkör-hozzárendelés eltávolítása

A következő lépések eltávolítják a célerőforráshoz való hozzáférést a felügyelt identitásból:

  1. A Azure Portal lépjen arra a cél Azure-erőforrásra, ahol el szeretné távolítani a felügyelt identitáshoz való hozzáférést.

  2. A célerőforrás menüjében válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Az eszköztár alatt válassza a Szerepkör-hozzárendelések lehetőséget.

  3. A szerepkörök listájában válassza ki az eltávolítani kívánt felügyelt identitásokat. Az eszköztáron válassza az Eltávolítás lehetőséget.

    Tipp

    Ha az Eltávolítás lehetőség le van tiltva, valószínűleg nem rendelkezik engedélyekkel. Az erőforrások szerepköreinek kezelését lehetővé tevő engedélyekkel kapcsolatos további információkért tekintse át a rendszergazdai szerepkörök engedélyeit Azure Active Directory.

Felügyelt identitás letiltása a logikai alkalmazás erőforrásán

  1. A Azure Portal nyissa meg a logikai alkalmazás erőforrását.

  2. A logikai alkalmazás navigációs menüjének Gépház területén válassza az Identitás lehetőséget, majd kövesse az identitásához tartozó lépéseket:

    • Válassza aMentésre>kijelölt> rendszer lehetőséget. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

    • Válassza ki a hozzárendelt felhasználót és a felügyelt identitást, majd válassza az Eltávolítás lehetőséget. Amikor az Azure megerősítést kér, válassza az Igen lehetőséget.

Felügyelt identitás letiltása ARM-sablonban

Ha arm-sablonnal hozta létre a logikai alkalmazás felügyelt identitásáttype, állítsa az identity objektum gyermektulajdonságát a következőreNone: .

"identity": {
   "type": "None"
}

Következő lépések