Biztonságos hozzáférés és adatok az Azure Logic Appsben

Az Azure Logic Apps az Azure Storage-ra támaszkodik az inaktív adatok tárolására és automatikus titkosítására. Ez a titkosítás védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek. Az Azure Storage alapértelmezés szerint a Microsoft által felügyelt kulcsokat használja az adatok titkosításához. További információkért tekintse át az Inaktív adatok Azure Storage-titkosítását.

Az Azure Logic Appsben a hozzáférés további szabályozása és a bizalmas adatok védelme érdekében az alábbi területeken állíthat be nagyobb biztonságot:

Az Azure-beli biztonsággal kapcsolatos további információkért tekintse át az alábbi témaköröket:

Hozzáférés a logikai alkalmazás műveleteihez

Csak használatalapú logikai alkalmazások esetén a logikai alkalmazások és azok kapcsolatainak létrehozása és kezelése előtt speciális engedélyekre van szükség, amelyek az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) használó szerepkörökön keresztül érhetők el. Engedélyeket is beállíthat, hogy csak bizonyos felhasználók vagy csoportok futtathatnak bizonyos feladatokat, például a logikai alkalmazások kezelését, szerkesztését és megtekintését. Az engedélyek szabályozásához beépített vagy testreszabott szerepköröket rendelhet hozzá az Azure-előfizetéshez hozzáféréssel rendelkező tagokhoz. Az Azure Logic Apps a következő szerepkörökhöz tartozik:

  • Logikai alkalmazások közreműködője: Lehetővé teszi a logikai alkalmazások kezelését, de a hozzáférésüket nem módosíthatja.

  • Logikaialkalmazás-operátor: Lehetővé teszi a logikai alkalmazások olvasását, engedélyezését és letiltását, de nem szerkesztheti és nem frissítheti őket.

  • Közreműködő: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, de nem teszi lehetővé szerepkörök hozzárendelését az Azure RBAC-ben, a hozzárendelések kezelését az Azure Blueprintsben vagy a rendszerképtárak megosztását.

    Tegyük fel például, hogy olyan logikai alkalmazással kell dolgoznia, amely nem a logikai alkalmazás munkafolyamata által használt kapcsolatokat hozta létre és hitelesítette. Az Azure-előfizetés közreműködői engedélyeket igényel a logikai alkalmazás erőforrását tartalmazó erőforráscsoporthoz. Ha létrehoz egy logikaialkalmazás-erőforrást, automatikusan közreműködői hozzáféréssel rendelkezik.

Ha meg szeretné akadályozni, hogy mások módosítják vagy töröljék a logikai alkalmazást, használhatja az Azure Resource Lockot. Ez a képesség megakadályozza, hogy mások módosítják vagy töröljék az éles erőforrásokat. A kapcsolatbiztonságról az Azure Logic Apps kapcsolatkonfigurációját , valamint a kapcsolatbiztonságot és -titkosítást ismertető cikkben talál további információt.

Hozzáférés a futtatási előzmények adataihoz

A logikai alkalmazások futtatása során az átvitel során az összes adat titkosítva lesz a Transport Layer Security (TLS) és az inaktív adatok használatával. Ha a logikai alkalmazás futása befejeződött, megtekintheti a futtatás előzményeit, beleértve az egyes műveletek állapotát, időtartamát, bemeneteit és kimeneteit. Ez a részletes információ bemutatja, hogyan futott a logikai alkalmazás, és hol kezdheti el a felmerülő problémák hibaelhárítását.

A logikai alkalmazás futtatási előzményeinek megtekintésekor az Azure Logic Apps hitelesíti a hozzáférést, majd hivatkozásokat biztosít az egyes futtatások kéréseinek és válaszainak bemeneteihez és kimeneteihez. A jelszavakat, titkos kulcsokat, kulcsokat vagy más bizalmas adatokat kezelő műveletek esetén azonban meg szeretné akadályozni, hogy mások megtekinthessék és elérhessék az adatokat. Ha például a logikai alkalmazás lekéri az Azure Key Vault által a HTTP-műveletek hitelesítéséhez használandó titkos kódot, akkor el szeretné rejteni a titkos kódot a nézetből.

A logikai alkalmazás futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférés szabályozásához az alábbi lehetőségek közül választhat:

Hozzáférés korlátozása IP-címtartomány szerint

Korlátozhatja a logikai alkalmazás futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférést, hogy csak bizonyos IP-címtartományokból érkező kérések tekinthessék meg ezeket az adatokat.

Ha például le szeretné tiltani, hogy bárki hozzáférjen a bemenetekhez és kimenetekhez, adjon meg egy IP-címtartományt, például 0.0.0.0-0.0.0.0: . Ezt a korlátozást csak rendszergazdai jogosultsággal rendelkező személyek távolíthatják el, ami lehetővé teszi a logikai alkalmazás adataihoz való igényalapú hozzáférést.

Az engedélyezett IP-tartományok megadásához kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablon esetében:

  1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

  2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Munkafolyamat-beállítások lehetőséget.

  3. A Hozzáférés-vezérlési konfiguráció>Engedélyezett bejövő IP-címek területen válassza ki az Adott IP-címtartományokat.

  4. A tartalom IP-címtartományai alatt adja meg azokat az IP-címtartományokat, amelyek hozzáférhetnek a bemenetekből és kimenetekből származó tartalmakhoz.

    Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x.x

Adatok védelme a futtatási előzményekben elrejtés használatával

Számos eseményindító és művelet rendelkezik a logikai alkalmazás futtatási előzményeiből származó bemenetek, kimenetek vagy mindkettő védelmére szolgáló beállításokkal. Ezeket a lehetőségeket minden felügyelt összekötő és egyéni összekötő támogatja . A következő beépített műveletek azonban nem támogatják ezeket a lehetőségeket:

Biztonságos bemenetek – Nem támogatott Biztonságos kimenetek – Nem támogatott
Hozzáfűzés tömbváltozóhoz
Hozzáfűzés sztringváltozóhoz
Decrement változó
Minden egyes
Ha a(z)
Növekményes változó
Változó inicializálása
Ismétlődés
Hatókör
Változó beállítása
Kapcsoló (switch)
Befejezés
Amíg
Hozzáfűzés tömbváltozóhoz
Hozzáfűzés sztringváltozóhoz
Összeállítás
Decrement változó
Minden egyes
Ha a(z)
Növekményes változó
Változó inicializálása
JSON értelmezése
Ismétlődés
Reagálás
Hatókör
Változó beállítása
Kapcsoló (switch)
Befejezés
Amíg
Várakozás

A bemenetek és kimenetek biztonságossá tételével kapcsolatos szempontok

Mielőtt ezeket a beállításokat használva segítené az adatok védelmét, tekintse át az alábbi szempontokat:

  • Ha elrejti egy eseményindító vagy művelet bemeneteit vagy kimeneteit, az Azure Logic Apps nem küldi el a biztonságos adatokat az Azure Log Analyticsnek. Emellett nem adhat hozzá nyomon követett tulajdonságokat az eseményindítóhoz vagy a figyelési művelethez.

  • A munkafolyamat-előzmények kezelésére szolgáló Azure Logic Apps API nem ad vissza biztonságos kimeneteket.

  • A bemeneteket elfedő vagy a kimeneteket explicit módon elfedő műveletek kimeneteinek védelméhez manuálisan kapcsolja be a biztonságos kimeneteket a műveletben.

  • Győződjön meg arról, hogy bekapcsolja a biztonságos bemeneteket vagy a biztonságos kimeneteket az alsóbb rétegbeli műveletekben, ahol a futtatási előzmények elfedik az adatokat.

    Biztonságos kimenetek beállítás

    Amikor manuálisan kapcsolja be a biztonságos kimeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a kimeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet explicit módon bemenetként használja ezeket a biztonságos kimeneteket, az Azure Logic Apps elrejti a művelet bemeneteit a futtatási előzményekben, de nem engedélyezi a művelet Biztonságos bemenetek beállítását.

    Biztonságos kimenetek bemenetként és lefelé irányuló hatásként a legtöbb műveletre

    A Levélírás, A JSON elemzése és a Válasz műveletek csak a Biztonságos bemenetek beállítással rendelkezik . Ha be van kapcsolva, a beállítás a műveletek kimeneteit is elrejti. Ha ezek a műveletek explicit módon a felsőbb rétegbeli biztonságos kimeneteket használják bemenetként, az Azure Logic Apps elrejti a műveletek bemeneteit és kimeneteit, de nem engedélyezi ezeknek a műveleteknek a Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a levélírási, JSON-elemzési vagy válaszműveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el ennek az alsóbb rétegbeli műveletnek a bemeneteit vagy kimeneteit.

    Biztonságos kimenetek bemenetként, amelyek alsóbb rétegbeli hatással vannak az egyes műveletekre

    Biztonságos bemenetek beállítása

    Amikor manuálisan kapcsolja be a biztonságos bemeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a bemeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet explicit módon az adott eseményindító vagy művelet látható kimeneteit használja bemenetként, az Azure Logic Apps elrejti ennek az alsóbb rétegbeli műveletnek a bemeneteit a futtatási előzményekben, de nem engedélyezi a biztonságos bemeneteket ebben a műveletben, és nem rejti el a művelet kimeneteit.

    Biztonságos bemenetek és lefelé irányuló hatás a legtöbb műveletre

    Ha a Compose, a Parse JSON és a Response műveletek explicit módon használják a biztonságos bemeneteket tartalmazó eseményindító vagy művelet látható kimeneteit, az Azure Logic Apps elrejti ezeknek a műveleteknek a bemeneteit és kimeneteit, de nem engedélyezi ezeknek a műveleteknek a Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a levélírási, JSON-elemzési vagy válaszműveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el ennek az alsóbb rétegbeli műveletnek a bemeneteit vagy kimeneteit.

    Biztonságos bemenetek és lefelé irányuló hatás adott műveletekre

Biztonságos bemenetek és kimenetek a tervezőben

  1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

    Logikai alkalmazás megnyitása a Logic App Designerben

  2. Azon az eseményindítón vagy műveleten, ahol bizalmas adatokat szeretne biztonságossá tenni, kattintson a három pontra (...), majd válassza a Beállítások lehetőséget.

    Eseményindító vagy művelet beállításainak megnyitása

  3. Kapcsolja be a biztonságos bemeneteket, a biztonságos kimeneteket vagy mindkettőt. Ha elkészült, válassza a Kész lehetőséget.

    Kapcsolja be a

    A művelet vagy eseményindító mostantól egy zárolási ikont jelenít meg a címsorban.

    A művelet vagy eseményindító címsorában a zárolás ikon látható

    A korábbi műveletek biztonságos kimeneteit képviselő jogkivonatok zárolási ikonokat is megjelenítenek. Ha például kiválaszt egy ilyen kimenetet a dinamikus tartalomlistából egy művelethez, az a jogkivonat egy zárolási ikont jelenít meg.

    Jogkivonat kiválasztása a biztonságos kimenethez

  4. A logikai alkalmazás futtatása után megtekintheti a futtatás előzményeit.

    1. A logikai alkalmazás Áttekintés panelén válassza ki a megtekinteni kívánt futtatásokat.

    2. A logikai alkalmazás futtatási paneljén bontsa ki az áttekinteni kívánt műveleteket.

      Ha úgy döntött, hogy elrejti a bemeneteket és a kimeneteket is, ezek az értékek most rejtettnek tűnnek.

      Rejtett bemenetek és kimenetek a futtatási előzményekben

Biztonságos bemenetek és kimenetek kódnézetben

A mögöttes eseményindítóban vagy műveletdefinícióban adja hozzá vagy frissítse a runtimeConfiguration.secureData.properties tömböt az alábbi értékek valamelyikével vagy mindkettővel:

  • "inputs": A bemenetek védelme a futtatási előzményekben.
  • "outputs": A futtatási előzmények kimeneteinek védelme.
"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Hozzáférés a paraméterbemenetekhez

Ha különböző környezetekben helyezi üzembe az üzembe helyezést, fontolja meg a munkafolyamat-definíció azon értékeinek paraméterezését, amelyek az adott környezettől függően változnak. Így elkerülheti a nem módosítható adatokat egy Azure Resource Manager-sablon használatával a logikai alkalmazás üzembe helyezéséhez, a bizalmas adatok védelméhez biztonságos paraméterek meghatározásával, és ezek az adatok külön bemenetként továbbíthatók a sablon paraméterein keresztül egy paraméterfájl használatával.

Ha például http-műveleteket hitelesít az Azure Active Directory Nyílt hitelesítéssel (Azure AD OAuth), meghatározhatja és elrejtheti azokat a paramétereket, amelyek elfogadják a hitelesítéshez használt ügyfél-azonosítót és titkos ügyfélkulcsot. Ezeknek a paramétereknek a logikai alkalmazásban való definiálásához használja a parameters logikai alkalmazás munkafolyamat-definíciójának és Resource Manager üzembe helyezési sablonjának szakaszát. A logikai alkalmazás szerkesztésekor vagy a futtatási előzmények megtekintésekor nem kívánt paraméterértékek biztonságossá tételéhez adja meg a paramétereket a típus vagy secureobject típus securestring használatával, és szükség szerint kódolást használjon. Az ilyen típusú paraméterek nem lesznek visszaadva az erőforrás-definícióval, és nem érhetők el az erőforrás üzembe helyezés utáni megtekintésekor. Ha futásidőben szeretné elérni ezeket a paraméterértékeket, használja a @parameters('<parameter-name>') munkafolyamat-definícióban található kifejezést. Ezt a kifejezést csak futásidőben értékeli ki a rendszer, és a munkafolyamat-definíciós nyelv írja le.

Megjegyzés

Ha paramétert használ egy kérelemfejlécben vagy -törzsben, ez a paraméter látható lehet a logikai alkalmazás futtatási előzményeinek és a kimenő HTTP-kérésnek a megtekintésekor. Győződjön meg arról, hogy a tartalom-hozzáférési szabályzatokat is ennek megfelelően állítja be. Elrejtheti a bemeneteket és kimeneteket a futtatási előzményekben. Az engedélyezési fejlécek soha nem láthatók bemeneteken vagy kimeneteken keresztül. Tehát ha ott titkos kódot használnak, az nem lesz lekérthető.

További információért tekintse át a jelen témakör következő szakaszait:

Ha Resource Manager sablonokkal automatizálja a logikai alkalmazások üzembe helyezését, biztonságos sablonparamétereket határozhat meg, amelyeket a rendszer az üzembe helyezéskor értékel ki a típusok és secureobject a securestring típusok használatával. Sablonparaméterek meghatározásához használja a sablon legfelső szintű parameters szakaszát, amely elkülönül a munkafolyamat-definíció szakaszától parameters . A sablonparaméterek értékeinek megadásához használjon egy külön paraméterfájlt.

Ha például titkos kulcsokat használ, definiálhat és használhat biztonságos sablonparamétereket, amelyek lekérik ezeket a titkos kulcsokat az Azure Key Vault az üzembe helyezéskor. Ezután hivatkozhat a kulcstartóra és a titkos kódra a paraméterfájlban. További információért tekintse át az alábbi témaköröket:

Paraméterek biztonságossá tétele a munkafolyamat-definíciókban

A logikai alkalmazás munkafolyamat-definíciójában található bizalmas információk védelméhez használjon biztonságos paramétereket, hogy ezek az információk ne látszanak a logikai alkalmazás mentése után. Tegyük fel például, hogy egy HTTP-művelethez alapszintű hitelesítés szükséges, amely felhasználónevet és jelszót használ. A munkafolyamat-definícióban a parameters szakasz a típus használatával határozza meg a basicAuthPasswordParam paramétereket és basicAuthUsernameParam a securestring paramétereket. A műveletdefiníció ezután hivatkozik ezekre a paraméterekre a authentication szakaszban.

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Biztonságos paraméterek az Azure Resource Manager-sablonokban

Egy logikai alkalmazás Resource Manager sablonja több parameters szakaszból áll. A jelszavak, kulcsok, titkos kulcsok és egyéb bizalmas információk védelméhez a sablon és a munkafolyamat-definíció szintjén definiáljon biztonságos paramétereket a securestring vagy secureobject típus használatával. Ezeket az értékeket ezután az Azure Key Vault tárolhatja, és a paraméterfájl használatával hivatkozhat a kulcstartóra és a titkos kódra. A sablon ezután lekéri ezeket az információkat az üzembe helyezéskor. További információkért tekintse át a bizalmas értékek átadását az üzembe helyezés során az Azure Key Vault használatával.

Ez a lista további információkat tartalmaz az alábbi parameters szakaszokról:

  • A sablon legfelső szintjén egy parameters szakasz határozza meg a sablon által az üzembe helyezéskor használt értékek paramétereit. Ezek az értékek például tartalmazhatnak kapcsolati sztringeket egy adott üzembehelyezési környezethez. Ezeket az értékeket ezután egy külön paraméterfájlban tárolhatja, ami megkönnyíti az értékek módosítását.

  • A logikai alkalmazás erőforrás-definícióján belül, de a munkafolyamat-definíción kívül egy parameters szakasz határozza meg a munkafolyamat-definíció paramétereinek értékeit. Ebben a szakaszban ezeket az értékeket a sablon paramétereire hivatkozó sablonkifejezések használatával rendelheti hozzá. Ezeket a kifejezéseket a rendszer az üzembe helyezéskor értékeli ki.

  • A munkafolyamat-definíción belül egy parameters szakasz határozza meg a logikai alkalmazás futásidőben használt paramétereit. Ezután hivatkozhat ezekre a paraméterekre a logikai alkalmazás munkafolyamatában a futásidőben kiértékelt munkafolyamat-definíciós kifejezések használatával.

Ez a példasablon több biztonságos paraméterdefinícióval rendelkezik, amelyek a következő típust securestring használják:

Paraméter neve Leírás
TemplatePasswordParam Sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének basicAuthPasswordParam átadott jelszót
TemplateUsernameParam Sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének átadott felhasználónevet basicAuthUserNameParam
basicAuthPasswordParam Egy munkafolyamat-definíciós paraméter, amely elfogadja az alapszintű hitelesítés jelszavát egy HTTP-műveletben
basicAuthUserNameParam Egy munkafolyamat-definíciós paraméter, amely elfogadja a felhasználónevet az alapszintű hitelesítéshez egy HTTP-műveletben
{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai

Az alábbi táblázat az eseményindítókon és műveleteken elérhető hitelesítési típusokat azonosítja, ahol kiválaszthatja a hitelesítési típust:

Hitelesítéstípus Támogatott eseményindítók és műveletek
Basic Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook
Ügyféltanúsítvány Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook
Active Directory OAuth Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Nyers Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Kezelt identitás Használatalapú logikai alkalmazás:

- Beépített: Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP Webhook

- Felügyelt összekötő: Azure AD, Azure AD Identity Protection, Azure App Service, Azure Automation, Azure Blob Storage, Azure Container Instance, Azure Cosmos DB, Azure Data Explorer, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analytics, Azure Queues, Azure Resource Manager, Azure Service Bus , Azure Sentinel, Azure-beli virtuális gép, HTTP Azure AD, SQL Server

___________________________________________________________________________________________

Standard logikai alkalmazás:

- Beépített: HTTP, HTTP-webhook

- Felügyelt összekötő: Azure AD, Azure AD Identity Protection, Azure App Service, Azure Automation, Azure Blob Storage, Azure Container Instance, Azure Cosmos DB, Azure Data Explorer, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analytics, Azure Queues, Azure Resource Manager, Azure Service Bus , Azure Sentinel, Azure-beli virtuális gép, HTTP Azure AD, SQL Server

Hozzáférés kérésalapú eseményindítók bejövő hívásaihoz

A logikai alkalmazás által kérésalapú eseményindítón keresztül fogadott bejövő hívások, például a Kérés eseményindító vagy a HTTP-webhook eseményindító, támogatják a titkosítást, és legalább a Transport Layer Security (TLS) 1.2-es verziójával vannak védve, amelyet korábban Secure Sockets Layer (SSL) néven ismertek. Az Azure Logic Apps kényszeríti ezt a verziót, amikor bejövő hívást fogad a Kérés eseményindítóhoz, vagy visszahívást küld a HTTP-webhook eseményindítóhoz vagy művelethez. Ha TLS-kézfogási hibákba ütközik, győződjön meg arról, hogy a TLS 1.2-t használja. További információkért tekintse át a TLS 1.0-s probléma megoldását.

Bejövő hívásokhoz használja a következő titkosítócsomagokat:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Megjegyzés

A visszamenőleges kompatibilitás érdekében az Azure Logic Apps jelenleg néhány régebbi titkosítási csomagot támogat. Új alkalmazások fejlesztésekor azonban ne használjon régebbi titkosítócsomagokat, mert előfordulhat, hogy az ilyen csomagok a jövőben nem lesznek támogatottak.

Például a következő titkosítócsomagokat találhatja meg, ha megvizsgálja a TLS-kézfogási üzeneteket az Azure Logic Apps szolgáltatás használata közben vagy egy biztonsági eszköz használatával a logikai alkalmazás URL-címén. Ne használja ismét ezeket a régebbi csomagokat:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Az alábbi lista további módszereket tartalmaz, amelyekkel korlátozhatja a logikai alkalmazás bejövő hívásait fogadó eseményindítókhoz való hozzáférést, hogy csak a jogosult ügyfelek hívhassák meg a logikai alkalmazást:

Közös hozzáférésű jogosultságkódok (SAS) létrehozása

Egy logikai alkalmazás minden kérésvégpontja rendelkezik közös hozzáférésű jogosultságkóddal (SAS) a végpont URL-címében, amely a következő formátumot követi:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Minden URL tartalmazza a sp, sv, és sig lekérdezési paramétert az alábbi táblázatban leírtak szerint:

Lekérdezési paraméter Leírás
sp Megadja az engedélyezett HTTP-metódusok használatára vonatkozó engedélyeket.
sv Megadja az aláírás létrehozásához használandó SAS-verziót.
sig Megadja az eseményindítóhoz való hozzáférés hitelesítéséhez használandó aláírást. Ez az aláírás az SHA256 algoritmus és egy titkos hozzáférési kulcs használatával jön létre az összes URL-útvonalon és tulajdonságon. Ez a kulcs titkosítva van, a logikai alkalmazással együtt van tárolva, és soha nem lesz közzétéve vagy közzétéve. A logikai alkalmazás csak azokat az eseményindítókat engedélyezi, amelyek a titkos kulccsal létrehozott érvényes aláírást tartalmaznak.

A kérelemvégpontra irányuló bejövő hívások csak egy engedélyezési sémát használhatnak, sas vagy Azure Active Directory Open Authentication használatával. Bár az egyik séma használata nem tiltja le a másik sémát, a két séma egyidejű használata hibát okoz, mert a szolgáltatás nem tudja, melyik sémát válassza.

Az SAS-hozzáférés biztonságossá tételével kapcsolatos további információkért tekintse át a jelen témakör következő szakaszait:

Hozzáférési kulcsok újragenerálása

Ha bármikor új biztonsági hozzáférési kulcsot szeretne létrehozni, használja az Azure REST API-t vagy a Azure Portal. A korábban létrehozott, a régi kulcsot használó URL-címek érvénytelenítve vannak, és már nem rendelkeznek engedéllyel a logikai alkalmazás aktiválásához. Az újragenerálás után lekért URL-címek az új hozzáférési kulccsal vannak aláírva.

  1. A Azure Portal nyissa meg azt a logikai alkalmazást, amely az újragenerálni kívánt kulccsal rendelkezik.

  2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Hozzáférési kulcsok lehetőséget.

  3. Válassza ki az újragenerálni kívánt kulcsot, és fejezze be a folyamatot.

Lejáró visszahívási URL-címek létrehozása

Ha megosztja egy kérésalapú eseményindító végponti URL-címét más felekkel, létrehozhat visszahívási URL-címeket, amelyek meghatározott kulcsokat használnak, és lejárati dátummal rendelkeznek. Így zökkenőmentesen helyezheti el a kulcsokat, vagy korlátozhatja a hozzáférést a logikai alkalmazás aktiválásához egy adott időtartam alapján. Egy URL lejárati dátumának megadásához használja az Azure Logic Apps REST API-t, például:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

A törzsbe foglalja bele a NotAftertulajdonságot egy JSON-dátumsztring használatával. Ez a tulajdonság egy visszahívási URL-címet ad vissza, amely csak a dátumig és az NotAfter időpontig érvényes.

URL-címek létrehozása elsődleges vagy másodlagos titkos kulccsal

Amikor kérésalapú eseményindítóhoz hoz létre vagy listáz visszahívási URL-címeket, megadhatja az URL-cím aláírásához használandó kulcsot. Egy adott kulccsal aláírt URL-cím létrehozásához használja a Logic Apps REST API-t, például:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

A törzsbe foglalja bele a KeyType tulajdonságot vagy Primary a Secondary. Ez a tulajdonság a megadott biztonsági kulcs által aláírt URL-címet adja vissza.

Az Azure Active Directory nyílt hitelesítésének engedélyezése (Azure AD OAuth)

A kérésalapú triggerrel kezdődő használatalapú logikai alkalmazás munkafolyamatában hitelesítheti az eseményindító által létrehozott végpontra küldött bejövő hívásokat Azure AD OAuth engedélyezésével. A hitelesítés beállításához definiáljon vagy adjon hozzá egy engedélyezési szabályzatot a logikai alkalmazás szintjén. Így a bejövő hívások OAuth hozzáférési jogkivonatokat használnak az engedélyezéshez.

Amikor a logikai alkalmazás egy OAuth hozzáférési jogkivonatot tartalmazó bejövő kérést kap, az Azure Logic Apps összehasonlítja a jogkivonat jogcímeit az egyes engedélyezési szabályzatok által meghatározott jogcímekkel. Ha a jogkivonat jogcímei és az összes jogcím között legalább egy szabályzatban van egyezés, az engedélyezés sikeres lesz a bejövő kérelemhez. A jogkivonat több jogcímet tartalmazhat, mint az engedélyezési házirend által megadott szám.

A Kérés eseményindítóval (de nem webhook-eseményindítóval) kezdődő standard logikaialkalmazás-munkafolyamatban a Azure Functions kiépítés használatával hitelesítheti az eseményindító által létrehozott végpontra küldött bejövő hívásokat egy felügyelt identitás használatával. Ezt a rendelkezést "Easy Auth"-nak is nevezik. További információkért tekintse át a Standard logikai alkalmazások eseményindító munkafolyamatait az Easy Auth használatával.

Megfontolandó szempontok Azure AD OAuth engedélyezése előtt

  • A kérelemvégpont bejövő hívásai csak egy engedélyezési sémát használhatnak, Azure AD OAuth vagy közös hozzáférésű jogosultságkód (SAS) használatával. Bár az egyik séma használata nem tiltja le a másik sémát, mindkét séma egyidejű használata hibát okoz, mivel az Azure Logic Apps nem tudja, melyik sémát válassza.

    Ha engedélyezni szeretné Azure AD OAuth-hitelesítést, hogy ez legyen az egyetlen módja a kérésvégpont meghívásának, kövesse az alábbi lépéseket:

    1. A Azure Portal nyissa meg a logikai alkalmazás munkafolyamatát a tervezőben.

    2. Az eseményindító jobb felső sarkában kattintson a három pontra (...), majd a Beállítások elemre.

    3. Az Eseményindító feltételei területen válassza a Hozzáadás lehetőséget. Az eseményindító feltétel mezőjébe írja be a következő kifejezést, és válassza a Kész lehetőséget.

      @startsWith(triggerOutputs()?['headers']?['Authorization'], 'Bearer')

    Megjegyzés

    Ha a megfelelő engedély nélkül hívja meg az eseményindító végpontot, a futtatási előzmények csak úgy jelenítik meg az eseményindítót, mintha Skipped az eseményindító feltétel meghiúsult volna.

  • Csak a Tulajdonos típusú engedélyezési sémák támogatottak Azure AD OAuth hozzáférési jogkivonatokhoz, ami azt jelenti, hogy a Authorization hozzáférési jogkivonat fejlécének meg kell adnia a típustBearer.

  • A logikai alkalmazás maximális számú engedélyezési szabályzatra van korlátozva. Minden engedélyezési szabályzathoz tartozik egy maximális számú jogcím is. További információkért tekintse át az Azure Logic Apps korlátait és konfigurációját.

  • Az engedélyezési szabályzatnak tartalmaznia kell legalább a Kiállító jogcímet, amelynek értéke vagy https://login.microsoftonline.com/ (OAuth V2) Azure AD kiállítóazonosítóval kezdődikhttps://sts.windows.net/.

    Tegyük fel például, hogy a logikai alkalmazás olyan engedélyezési szabályzattal rendelkezik, amelyhez két jogcímtípusra van szükség: Célközönség és Kiállító. A dekódolt hozzáférési jogkivonat hasznosadat-mintaszakasza mindkét jogcímtípust tartalmazza, ahol aud a Célközönség értéke és iss a Kiállító értéke:

    {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
        "iat": 1582056988,
        "nbf": 1582056988,
        "exp": 1582060888,
        "_claim_names": {
           "groups": "src1"
        },
        "_claim_sources": {
           "src1": {
              "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
           }
        },
        "acr": "1",
        "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
        "amr": [
           "rsa",
           "mfa"
        ],
        "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
        "appidacr": "2",
        "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
        "family_name": "Sophia Owen",
        "given_name": "Sophia Owen (Fabrikam)",
        "ipaddr": "167.220.2.46",
        "name": "sophiaowen",
        "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
        "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
        "puid": "1003000000098FE48CE",
        "scp": "user_impersonation",
        "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
        "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "unique_name": "SophiaOwen@fabrikam.com",
        "upn": "SophiaOwen@fabrikam.com",
        "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
        "ver": "1.0"
    }
    

Az Azure AD OAuth engedélyezése a logikai alkalmazáshoz

Kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablonhoz:

A Azure Portal adjon hozzá egy vagy több engedélyezési szabályzatot a logikai alkalmazáshoz:

  1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

  2. A logikai alkalmazás menüjének Beállítások területén válassza az Engedélyezés lehetőséget. Miután megnyílik az Engedélyezés panel, válassza a Szabályzat hozzáadása lehetőséget.

    Válassza az

  3. Adja meg az engedélyezési szabályzattal kapcsolatos információkat a logikai alkalmazás által elvárt jogcímtípusok és értékek megadásával a Kérés eseményindító minden bejövő hívása által bemutatott hozzáférési jogkivonatban:

    Adja meg az engedélyezési szabályzattal kapcsolatos információkat

    Tulajdonság Kötelező Leírás
    Házirend neve Yes Az engedélyezési szabályzathoz használni kívánt név
    Igénylések Yes A logikai alkalmazás által a bejövő hívásokból elfogadott jogcímtípusok és értékek. A jogcím értéke legfeljebb egy karakterből állhat. Az elérhető jogcímtípusok a következők:

    - Kibocsátó
    - Hallgatóság
    - Tárgy
    - JWT-azonosító (JSON webes jogkivonat azonosítója)

    A Jogcímek listájának legalább tartalmaznia kell a Kiállító jogcímet, amelynek értéke a kiállító azonosítójával https://sts.windows.net/ kezdődik vagy https://login.microsoftonline.com/ az Azure AD. Ezekről a jogcímtípusokról további információt Azure AD biztonsági jogkivonatok jogcímeinek áttekintésében talál. Saját jogcímtípust és -értéket is megadhat.

  4. Másik jogcím hozzáadásához válasszon az alábbi lehetőségek közül:

    • Másik jogcímtípus hozzáadásához válassza a Standard jogcím hozzáadása lehetőséget, válassza ki a jogcím típusát, és adja meg a jogcím értékét.

    • Saját jogcím hozzáadásához válassza az Egyéni jogcím hozzáadása lehetőséget. További információért tekintse át, hogyan adhat meg opcionális jogcímeket az alkalmazásnak. Az egyéni jogcím ezután a JWT-azonosító részeként lesz tárolva; például "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47".

  5. Másik engedélyezési szabályzat hozzáadásához válassza a Szabályzat hozzáadása lehetőséget. Ismételje meg az előző lépéseket a szabályzat beállításához.

  6. Amikor elkészült, válassza a Mentés lehetőséget.

  7. Ha a Authorization hozzáférési jogkivonat fejlécét fel szeretné venni a kérelemalapú triggerkimenetekbe, tekintse át az "Engedélyezés" fejléc belefoglalását a kérelem eseményindító-kimeneteibe.

A munkafolyamat tulajdonságai, például a szabályzatok nem jelennek meg a logikai alkalmazás kódnézetében a Azure Portal. A szabályzatok programozott eléréséhez hívja meg a következő API-t az Azure Resource Manager: https://management.azure.com/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Logic/workflows/{your-workflow-name}?api-version=2016-10-01&_=1612212851820. Győződjön meg arról, hogy lecseréli az Azure-előfizetés azonosítójának, az erőforráscsoport nevének és a munkafolyamat nevének helyőrző értékeit.

Az "Engedélyezés" fejléc belefoglalása a kérelem eseményindítójának kimeneteibe

Azon logikai alkalmazások esetében, amelyek engedélyezik az Azure Active Directory Open Authenticationt (Azure AD OAuth) a kérelemalapú triggerek elérésére irányuló bejövő hívások engedélyezéséhez, engedélyezheti, hogy a Kérés vagy a HTTP Webhook-eseményindító kimenete tartalmazza az Authorization OAuth hozzáférési jogkivonat fejlécét. Az eseményindító mögöttes JSON-definíciójában adja hozzá és állítsa be a tulajdonságot a operationOptions következőre IncludeAuthorizationHeadersInOutputs: . Íme egy példa a Kérés eseményindítóra:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

További információért tekintse át az alábbi témaköröket:

Logikai alkalmazás közzététele az Azure API Management

További hitelesítési protokollok és lehetőségek érdekében fontolja meg a logikai alkalmazás API-ként való felfedét az Azure API Management használatával. Ez a szolgáltatás gazdag monitorozási, biztonsági, szabályzat- és dokumentációs képességeket biztosít minden végponthoz. API Management közzétehet egy nyilvános vagy privát végpontot a logikai alkalmazás számára. A végponthoz való hozzáférés engedélyezéséhez használhatja az Azure Active Directory nyílt hitelesítést (Azure AD OAuth), az ügyféltanúsítványt vagy más biztonsági szabványokat. Amikor API Management kap egy kérést, a szolgáltatás elküldi a kérést a logikai alkalmazásnak, és végrehajtja a szükséges átalakításokat vagy korlátozásokat. Ha csak API Management szeretné meghívni a logikai alkalmazást, korlátozhatja a logikai alkalmazás bejövő IP-címeit.

További információért tekintse át a következő dokumentációt:

Bejövő IP-címek korlátozása

A közös hozzáférésű jogosultságkód (SAS) mellett érdemes lehet kifejezetten korlátozni azokat az ügyfeleket, amelyek meghívhatják a logikai alkalmazást. Ha például a kérésvégpontot az Azure API Management használatával kezeli, korlátozhatja, hogy a logikai alkalmazás csak a létrehozott API Management szolgáltatáspéldány IP-címéről fogadjon kérelmeket.

A megadott IP-címektől függetlenül továbbra is futtathat kérésalapú eseményindítóval rendelkező logikai alkalmazást a Logic Apps REST API: Munkafolyamat-eseményindítók – Futtatási kérelem vagy API Management használatával. Ez a forgatókönyv azonban továbbra is megköveteli az Azure REST API-val való hitelesítést . Minden esemény megjelenik az Azure auditnaplójában. Győződjön meg arról, hogy ennek megfelelően állította be a hozzáférés-vezérlési szabályzatokat.

A logikai alkalmazás bejövő IP-címeinek korlátozásához kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablon esetében:

A Azure Portal ez a szűrő az eseményindítókat és a műveleteket is érinti, ellentétben a portál Engedélyezett bejövő IP-címek szakaszának leírásával. Ha külön szeretné beállítani ezt a szűrőt az eseményindítókhoz és a műveletekhez, használja az accessControl objektumot egy Azure Resource Manager-sablonban a logikai alkalmazáshoz vagy az Azure Logic Apps REST API-hoz: Munkafolyamat – Létrehozás vagy frissítés művelethez.

  1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

  2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Munkafolyamat-beállítások lehetőséget.

  3. A Hozzáférés-vezérlés konfigurációs szakasz Engedélyezett bejövő IP-címek területén válassza ki a forgatókönyv elérési útját:

    • Ha a logikai alkalmazást csak beágyazott logikai alkalmazásként szeretné meghívni a beépített Azure Logic Apps-művelet használatával, válassza a Csak más Logic Apps-alkalmazásokat, amelyek csak akkor működnek, ha az Azure Logic Apps-műveletet használja a beágyazott logikai alkalmazás meghívásához.

      Ez a beállítás üres tömböt ír a logikai alkalmazás erőforrásához, és megköveteli, hogy csak a beépített Azure Logic Apps-műveletet használó szülő logikai alkalmazások hívásai aktiválják a beágyazott logikai alkalmazást.

    • Ha azt szeretné, hogy a logikai alkalmazás csak beágyazott alkalmazásként hívható legyen a HTTP-művelet használatával, válassza ki az Adott IP-címtartományokat, nemcsak a többi Logic Apps-alkalmazást. Amikor megjelenik az eseményindítók IP-tartományai mező, adja meg a szülő logikai alkalmazás kimenő IP-címét. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x.x/x vagy x.x.x.x-x.x.x.x.

      Megjegyzés

      Ha a Csak más Logic Apps lehetőséget és a HTTP-műveletet használja a beágyazott logikai alkalmazás meghívásához, a hívás le lesz tiltva, és a "401 Jogosulatlan" hibaüzenet jelenik meg.

    • Olyan forgatókönyvek esetén, amikor korlátozni szeretné a más IP-címekről érkező hívásokat, az eseményindítók IP-címtartományai mező megjelenésekor adja meg azokat az IP-címtartományokat, amelyeket az eseményindító elfogad. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x.x/x vagy x.x.x.x-x.x.x.x.

  4. Ha szeretné, a Hívások korlátozása a bemeneti és kimeneti üzenetek lekéréséhez a futtatási előzményekből a megadott IP-címekre területen megadhatja a bejövő hívások IP-címtartományait, amelyek hozzáférhetnek a bemeneti és kimeneti üzenetekhez a futtatási előzményekben.

Hozzáférés más szolgáltatásokba és rendszerekbe irányuló kimenő hívásokhoz

A célvégpont képességei alapján a HTTP-eseményindító vagy HTTP-művelet által küldött kimenő hívások támogatják a titkosítást, és a Transport Layer Security (TLS) 1.0, 1.1 vagy 1.2, korábbi nevén Secure Sockets Layer (SSL) használatával vannak védve. Az Azure Logic Apps a lehető legmagasabb támogatott verzióval egyeztet a célvégponttal. Ha például a célvégpont támogatja az 1.2-t, a HTTP-eseményindító vagy -művelet először az 1.2-t használja. Ellenkező esetben az összekötő a következő legmagasabb támogatott verziót használja.

Ez a lista a TLS/SSL önaláírt tanúsítványokkal kapcsolatos információkat tartalmazza:

Az alábbiakban további módszereket talál a logikai alkalmazásból küldött hívásokat kezelő végpontok biztonságossá tételéhez:

  • Hitelesítés hozzáadása a kimenő kérésekhez.

    Ha a HTTP-eseményindítót vagy -műveletet kimenő hívások küldéséhez használja, hitelesítést adhat hozzá a logikai alkalmazás által küldött kéréshez. Kiválaszthatja például az alábbi hitelesítési típusokat:

  • A logikai alkalmazás IP-címeinek hozzáférésének korlátozása.

    A logikai alkalmazások végpontjaira irányuló összes hívás a logikai alkalmazások régióin alapuló meghatározott IP-címekről származik. Hozzáadhat olyan szűrést, amely csak ezekről az IP-címekről fogad kérelmeket. Ezeknek az IP-címeknek a beszerzéséhez tekintse át az Azure Logic Apps korlátait és konfigurációját.

  • A helyszíni rendszerekhez való csatlakozás biztonságának javítása.

    Az Azure Logic Apps integrációt biztosít ezekkel a szolgáltatásokkal, hogy biztonságosabb és megbízhatóbb helyszíni kommunikációt biztosítson.

    • Helyszíni adatátjáró

      Az Azure Logic Apps számos felügyelt összekötője biztonságos kapcsolatot tesz lehetővé a helyszíni rendszerekhez, például a fájlrendszerhez, az SQL-hez, a SharePointhoz és a DB2-höz. Az átjáró titkosított csatornákon küld adatokat a helyszíni forrásokból a Azure Service Bus keresztül. Minden forgalom az átjáróügynök biztonságos kimenő forgalmából származik. Ismerje meg a helyszíni adatátjáró működését.

    • Csatlakozás az Azure API Management-on keresztül

      Az Azure API Management helyszíni kapcsolati lehetőségeket biztosít, például helyek közötti virtuális magánhálózatot és ExpressRoute-integrációt a helyszíni rendszerekkel való biztonságos proxy- és kommunikációhoz. Ha rendelkezik olyan API-val, amely hozzáférést biztosít a helyszíni rendszerhez, és ezt az API-t egy API Management szolgáltatáspéldány létrehozásával tette elérhetővé, meghívhatja ezt az API-t a logikai alkalmazás munkafolyamatában a beépített API Management eseményindító vagy művelet kiválasztásával a munkafolyamat-tervezőben.

      Megjegyzés

      Az összekötő csak azokat a API Management szolgáltatásokat jeleníti meg, amelyek megtekintéséhez és csatlakoztatásához engedéllyel rendelkezik, de nem jeleníti meg a használatalapú API Management szolgáltatásokat.

      1. A munkafolyamat-tervezőben írja be api management a keresőmezőbe. Válassza ki a lépést attól függően, hogy eseményindítót vagy műveletet ad hozzá:

        • Ha olyan eseményindítót ad hozzá, amely mindig a munkafolyamat első lépése, válassza az Azure-API Management-eseményindító kiválasztása lehetőséget.

        • Ha műveletet ad hozzá, válassza az Azure-API Management-művelet kiválasztása lehetőséget.

        Ez a példa egy eseményindítót ad hozzá:

        Azure API Management-eseményindító hozzáadása

      2. Válassza ki a korábban létrehozott API Management szolgáltatáspéldányt.

        API Management szolgáltatáspéldány kiválasztása

      3. Válassza ki a használni kívánt API-hívást.

        Meglévő API kiválasztása

Hitelesítés hozzáadása kimenő hívásokhoz

A HTTP- és HTTPS-végpontok különböző típusú hitelesítést támogatnak. Bizonyos triggereken és műveleteken, amelyeket kimenő hívások vagy kérések küldéséhez használ ezekre a végpontokra, megadhat egy hitelesítési típust. A munkafolyamat-tervezőben a hitelesítési típus kiválasztását támogató eseményindítók és műveletek hitelesítési tulajdonságot kapnak. Előfordulhat azonban, hogy ez a tulajdonság nem mindig jelenik meg alapértelmezés szerint. Ezekben az esetekben az eseményindítón vagy műveleten nyissa meg az Új paraméter hozzáadása listát, és válassza a Hitelesítés lehetőséget.

Fontos

A logikai alkalmazás által kezelt bizalmas információk védelméhez használjon biztonságos paramétereket, és szükség szerint kódolja az adatokat. A paraméterek használatával és biztonságossá tételével kapcsolatos további információkért tekintse át a paraméterbemenetekhez való hozzáférést ismertető cikket.

Alapszintű hitelesítés

Ha az Alapszintű beállítás elérhető, adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás
Hitelesítés type Yes Alapszintű A használni kívánt hitelesítési típus
Felhasználónév username Yes <felhasználónév> A célszolgáltatás végponthoz való hozzáférés hitelesítéséhez használt felhasználónév
Jelszó password Yes <jelszó> A célszolgáltatás végponthoz való hozzáférés hitelesítésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció megadja a hitelesítést typeBasic , és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

Ügyféltanúsítvány-hitelesítés

Ha az Ügyféltanúsítvány lehetőség elérhető, adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás
Hitelesítés type Yes Ügyféltanúsítvány
vagy
ClientCertificate
A használni kívánt hitelesítési típus. A tanúsítványokat az Azure API Management kezelheti.

Megjegyzés: Az egyéni összekötők nem támogatják a tanúsítványalapú hitelesítést mind a bejövő, mind a kimenő hívások esetében.
Pfx pfx Yes <encoded-pfx-file-content> A személyes információcsere (PFX) fájlból származó base64 kódolású tartalom

A PFX-fájl base64 kódolású formátumba konvertálásához használja a PowerShellt az alábbi lépések végrehajtásával:

1. Mentse a tanúsítvány tartalmát egy változóba:

$pfx_cert = get-content 'c:\certificate.pfx' -Encoding Byte

2. Konvertálja a tanúsítvány tartalmát a ToBase64String() függvény használatával, és mentse a tartalmat egy szövegfájlba:

[System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt'

Hibaelhárítás: Ha a cert mmc/PowerShell parancsot használja, a következő hibaüzenet jelenhet meg:

Could not load the certificate private key. Please check the authentication certificate password is correct and try again.

A hiba elhárításához próbálja meg PEM-fájllá konvertálni a PFX-fájlt, majd a következő paranccsal térjen vissza ismét openssl :

openssl pkcs12 -in certificate.pfx -out certificate.pem
openssl pkcs12 -in certificate.pem -export -out certificate2.pfx

Ezután, amikor megkapja a tanúsítvány újonnan konvertált PFX-fájljához tartozó Base64-kódolású sztringet, a sztring már működik az Azure Logic Appsben.

Jelszó password No <password-for-pfx-file> A PFX-fájl elérésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció megadja a hitelesítést typeClientCertificate , és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Fontos

Ha egy logikai alkalmazás (standard) erőforrással rendelkezik az egybérlős Azure Logic Appsben, és TSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Azure Active Directory Open Authentication (Azure AD OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusávalCertificate, mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további telepítési lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős környezetben történő hitelesítést.

A szolgáltatások ügyféltanúsítvány-hitelesítéssel történő védelmével kapcsolatos további információkért tekintse át az alábbi témaköröket:

Azure Active Directory – Nyílt hitelesítés

Kéréses eseményindítók esetén az Azure Active Directory Open Authentication (Azure AD OAuth) használatával hitelesítheti a bejövő hívásokat, miután beállította Azure AD engedélyezési szabályzatokat a logikai alkalmazáshoz. Az Active Directory OAuth hitelesítési típust biztosító összes többi eseményindítóhoz és művelethez adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás
Hitelesítés type Yes Active Directory OAuth
vagy
ActiveDirectoryOAuth
A használni kívánt hitelesítési típus. Az Azure Logic Apps jelenleg az OAuth 2.0 protokollt követi.
Authority authority No <Szolgáltatói jogkivonat-kibocsátó URL-címe> A hozzáférési jogkivonatot biztosító szolgáltató URL-címe, például https://login.microsoftonline.com/ az Azure globális szolgáltatási régióihoz. Más országos felhők esetében tekintse át Azure AD hitelesítési végpontokat – válassza ki az identitásszolgáltatóját.
Bérlő tenant Yes <bérlőazonosító> A Azure AD bérlő bérlőazonosítója
Célközönség audience Yes <resource-to-authorize> Az engedélyezéshez használni kívánt erőforrás, például: https://management.core.windows.net/
Ügyfél-azonosító clientId Yes <ügyfél-azonosító> Az engedélyezést kérő alkalmazás ügyfél-azonosítója
Hitelesítő adatok típusa credentialType Yes Tanúsítvány
vagy
Titkos
Az ügyfél által az engedélyezés igényléséhez használt hitelesítőadat-típus. Ez a tulajdonság és érték nem jelenik meg a logikai alkalmazás mögöttes definíciójában, de meghatározza a kiválasztott hitelesítőadat-típushoz megjelenő tulajdonságokat.
Titkos secret Igen, de csak a "Titkos" típusú hitelesítő adatok esetében <titkos ügyfélkód> Az engedélyezés igénylésének titkos ügyfélkulcsa
Pfx pfx Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében <encoded-pfx-file-content> A személyes információcsere (PFX) fájlból származó base64 kódolású tartalom
Jelszó password Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében <password-for-pfx-file> A PFX-fájl elérésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció a hitelesítést typeActiveDirectoryOAutha hitelesítő adatok típusaként Secrethatározza meg, és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Fontos

Ha egy logikai alkalmazás (standard) erőforrással rendelkezik az egybérlős Azure Logic Appsben, és TSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Azure Active Directory Open Authentication (Azure AD OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusávalCertificate, mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további telepítési lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős környezetben történő hitelesítést.

Nyers hitelesítés

Ha a Nyers beállítás elérhető, akkor ezt a hitelesítési típust akkor használhatja, ha olyan hitelesítési sémákat kell használnia, amelyek nem követik az OAuth 2.0 protokollt. Ezzel a típussal manuálisan hozza létre az engedélyezési fejléc értékét, amelyet a kimenő kérelemmel együtt küld el, és ezt a fejlécértéket adja meg az eseményindítóban vagy a műveletben.

Az alábbi példa egy OAuth 1.0 protokollt követő HTTPS-kérés mintafejlécét mutatja be:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

A nyers hitelesítést támogató eseményindítóban vagy műveletben adja meg az alábbi tulajdonságértékeket:

Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás
Hitelesítés type Yes Nyers A használni kívánt hitelesítési típus
Érték value Yes <authorization-header-value> A hitelesítéshez használandó engedélyezési fejlécérték

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció a hitelesítést type a következőképpen Rawhatározza meg, és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Felügyelt identitás hitelesítése

Ha a felügyelt identitás beállítás elérhető a felügyelt identitás hitelesítését támogató eseményindítón vagy műveleten, a logikai alkalmazás ezt az identitást használhatja az Azure Active Directory (Azure AD) által védett Azure-erőforrásokhoz való hozzáférés hitelesítésére hitelesítő adatok, titkos kódok vagy Azure AD jogkivonatok helyett. Az Azure kezeli ezt az identitást, és segít a hitelesítő adatok védelmében, mivel nem kell titkos kulcsokat kezelnie, és nem kell közvetlenül használnia Azure AD jogkivonatokat. További információ az Azure AD-hitelesítés felügyelt identitását támogató Azure-szolgáltatásokról.

  • A logikai alkalmazás (használat) erőforrástípus használhatja a rendszer által hozzárendelt identitást vagy egyetlen manuálisan létrehozott, felhasználó által hozzárendelt identitást.

  • A Logikai alkalmazás (Standard) erőforrástípus támogatja, hogy a rendszer által hozzárendelt felügyelt identitás és több felhasználó által hozzárendelt felügyelt identitás egyszerre legyen engedélyezve, de bármikor csak egy identitást választhat ki.

    Megjegyzés

    Alapértelmezés szerint a rendszer által hozzárendelt identitás már engedélyezve van a kapcsolatok futásidőben történő hitelesítéséhez. Ez az identitás eltér a kapcsolat létrehozásakor használt hitelesítési hitelesítő adatoktól vagy kapcsolati sztring. Ha letiltja ezt az identitást, a kapcsolatok futásidőben nem fognak működni. A beállítás megtekintéséhez a logikai alkalmazás menüjében, a Beállítások területen válassza az Identitás lehetőséget.

  1. Mielőtt a logikai alkalmazás használhatja a felügyelt identitást, kövesse az Azure-erőforrásokhoz való hozzáférés hitelesítése felügyelt identitások használatával az Azure Logic Appsben című témakör lépéseit. Ezek a lépések engedélyezik a felügyelt identitást a logikai alkalmazásban, és beállítják az identitás hozzáférését a cél Azure-erőforráshoz.

  2. Mielőtt egy Azure-függvény használhatja a felügyelt identitást, először engedélyezze a hitelesítést az Azure Functions számára.

  3. A felügyelt identitás használatát támogató eseményindítóban vagy műveletben adja meg az alábbi információkat:

    Beépített eseményindítók és műveletek

    Tulajdonság (tervező) Tulajdonság (JSON) Kötelező Érték Leírás
    Hitelesítés type Yes Felügyelt identitás
    vagy
    ManagedServiceIdentity
    A használni kívánt hitelesítési típus
    Felügyelt identitás identity No <user-assigned-identity-ID> A felhasználó által hozzárendelt felügyelt identitás, amelyet használni szeretne. Megjegyzés: Ne foglalja bele ezt a tulajdonságot a rendszer által hozzárendelt felügyelt identitás használatakor.
    Célközönség audience Yes <cél-erőforrás-azonosító> A elérni kívánt célerőforrás erőforrás-azonosítója.

    Például https://storage.azure.com/ az összes tárfiók esetében érvényessé teszi a hitelesítéshez szükséges hozzáférési jogkivonatokat . Megadhat azonban egy gyökérszolgáltatás URL-címét is, például https://fabrikamstorageaccount.blob.core.windows.net egy adott tárfiókhoz.

    Megjegyzés: Előfordulhat, hogy a Audience tulajdonság rejtett bizonyos eseményindítókban vagy műveletekben. Ha láthatóvá szeretné tenni ezt a tulajdonságot, nyissa meg az Új paraméter hozzáadása listát az eseményindítóban vagy a műveletben, és válassza a Célközönség lehetőséget.

    Fontos: Győződjön meg arról, hogy ez a célerőforrás-azonosító pontosan megegyezik az Azure AD várt értékkel, beleértve a szükséges záró perjeleket is. Ezért az https://storage.azure.com/ összes Azure Blob Storage fiók erőforrás-azonosítójának záró perjelre van szüksége. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Az erőforrás-azonosítók megkereséséhez tekintse át az Azure AD támogató Azure-szolgáltatásokat.

    Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-műveletdefiníció például megadja a hitelesítést typeManagedServiceIdentity , és a parameters() függvénnyel lekéri a paraméterértékeket:

    "HTTP": {
       "type": "Http",
       "inputs": {
          "method": "GET",
          "uri": "@parameters('endpointUrlParam')",
          "authentication": {
             "type": "ManagedServiceIdentity",
             "audience": "https://management.azure.com/"
          },
       },
       "runAfter": {}
    }
    

    Felügyelt összekötő eseményindítói és műveletei

    Tulajdonság (tervező) Kötelező Érték Leírás
    Kapcsolat neve Yes <kapcsolat-név>
    Kezelt identitás Yes Rendszer által hozzárendelt felügyelt identitás
    vagy
    <user-assigned-managed-identity-name>
    A használni kívánt hitelesítési típus

Kapcsolatok létrehozásának letiltása

Ha a szervezete nem engedélyezi adott erőforrásokhoz való csatlakozást az Azure Logic Apps-összekötőik használatával, letilthatja, hogy ezeket a kapcsolatokat adott összekötőkhöz hozza létre a logikaialkalmazás-munkafolyamatokban a Azure Policy használatával. További információ: Adott összekötők által létrehozott kapcsolatok blokkolása az Azure Logic Appsben.

Elkülönítési útmutató logikai alkalmazásokhoz

Az Azure Logic Apps Azure Government azAzure Government 5. hatásszintelkülönítési útmutatóban leírt régiók összes hatásszintjét támogatja. Ezen követelmények teljesítése érdekében az Azure Logic Apps támogatja, hogy dedikált erőforrásokkal rendelkező környezetben hozzon létre és futtasson munkafolyamatokat, így csökkentheti a logikai alkalmazások más Azure-bérlői által gyakorolt teljesítményt, és elkerülheti a számítási erőforrások más bérlőkkel való megosztását.

Az elkülönítésről az alábbi dokumentációban talál további információt:

Következő lépések