Biztonságos hozzáférés és adatok az Azure Logic Appsben

Az Azure Logic Apps az Azure Storage-ra támaszkodik az inaktív adatok tárolására és automatikus titkosítására. Ez a titkosítás védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek. Az Azure Storage alapértelmezés szerint a Microsoft által felügyelt kulcsokat használja az adatok titkosításához. További információkért tekintse át az Inaktív adatok Azure Storage-titkosítását.

Az Azure Logic Appsben a hozzáférés további szabályozása és a bizalmas adatok védelme érdekében az alábbi területeken állíthat be nagyobb biztonságot:

• Hozzáférés a logikai alkalmazás műveleteihez
• Hozzáférés a futtatási előzmények bemeneteihez és kimeneteihez
• Hozzáférés a paraméterbemenetekhez
• A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai
• Hozzáférés kérésalapú eseményindítók bejövő hívásaihoz
• Hozzáférés más szolgáltatásokba és rendszerekbe irányuló kimenő hívásokhoz
• Adott összekötők kapcsolatainak létrehozásának letiltása
• Elkülönítési útmutató logikai alkalmazásokhoz
• Az Azure Security Alapkonfigurációja az Azure Logic Appshez

Az Azure-beli biztonsággal kapcsolatos további információkért tekintse át az alábbi témaköröket:

• Az Azure-titkosítás áttekintése
• Inaktív Azure-beli adattitkosítás
• Azure-biztonsági teljesítményteszt

Hozzáférés a logikai alkalmazás műveleteihez

Csak használatalapú logikai alkalmazások esetén a logikai alkalmazások és azok kapcsolatainak létrehozása és kezelése előtt speciális engedélyekre van szükség, amelyek az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) használó szerepkörökön keresztül érhetők el. Engedélyeket is beállíthat, hogy csak bizonyos felhasználók vagy csoportok futtathatnak bizonyos feladatokat, például a logikai alkalmazások kezelését, szerkesztését és megtekintését. Az engedélyek szabályozásához beépített vagy testreszabott szerepköröket rendelhet hozzá az Azure-előfizetéshez hozzáféréssel rendelkező tagokhoz. Az Azure Logic Apps a következő szerepkörökhöz tartozik:

• Logikai alkalmazások közreműködője: Lehetővé teszi a logikai alkalmazások kezelését, de a hozzáférésüket nem módosíthatja.

• Logikaialkalmazás-operátor: Lehetővé teszi a logikai alkalmazások olvasását, engedélyezését és letiltását, de nem szerkesztheti és nem frissítheti őket.

• Közreműködő: Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, de nem teszi lehetővé szerepkörök hozzárendelését az Azure RBAC-ben, a hozzárendelések kezelését az Azure Blueprintsben vagy a rendszerképtárak megosztását.

  Tegyük fel például, hogy olyan logikai alkalmazással kell dolgoznia, amely nem a logikai alkalmazás munkafolyamata által használt kapcsolatokat hozta létre és hitelesítette. Az Azure-előfizetés közreműködői engedélyeket igényel a logikai alkalmazás erőforrását tartalmazó erőforráscsoporthoz. Ha létrehoz egy logikaialkalmazás-erőforrást, automatikusan közreműködői hozzáféréssel rendelkezik.

Ha meg szeretné akadályozni, hogy mások módosítják vagy töröljék a logikai alkalmazást, használhatja az Azure Resource Lockot. Ez a képesség megakadályozza, hogy mások módosítják vagy töröljék az éles erőforrásokat. A kapcsolatbiztonságról az Azure Logic Apps kapcsolatkonfigurációját , valamint a kapcsolatbiztonságot és -titkosítást ismertető cikkben talál további információt.

Hozzáférés a futtatási előzmények adataihoz

A logikai alkalmazások futtatása során az átvitel során az összes adat titkosítva lesz a Transport Layer Security (TLS) és az inaktív adatok használatával. Ha a logikai alkalmazás futása befejeződött, megtekintheti a futtatás előzményeit, beleértve az egyes műveletek állapotát, időtartamát, bemeneteit és kimeneteit. Ez a részletes információ bemutatja, hogyan futott a logikai alkalmazás, és hol kezdheti el a felmerülő problémák hibaelhárítását.

A logikai alkalmazás futtatási előzményeinek megtekintésekor az Azure Logic Apps hitelesíti a hozzáférést, majd hivatkozásokat biztosít az egyes futtatások kéréseinek és válaszainak bemeneteihez és kimeneteihez. A jelszavakat, titkos kulcsokat, kulcsokat vagy más bizalmas adatokat kezelő műveletek esetén azonban meg szeretné akadályozni, hogy mások megtekinthessék és elérhessék az adatokat. Ha például a logikai alkalmazás lekéri az Azure Key Vault által a HTTP-műveletek hitelesítéséhez használandó titkos kódot, akkor el szeretné rejteni a titkos kódot a nézetből.

A logikai alkalmazás futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférés szabályozásához az alábbi lehetőségek közül választhat:

• A hozzáférés korlátozása IP-címtartomány szerint.

  Ezzel a beállítással biztonságossá teheti a futtatási előzményekhez való hozzáférést egy adott IP-címtartományból érkező kérések alapján.

• Biztonságossá teheti az adatokat a futtatási előzményekben elrejtés használatával.

  Számos eseményindítóban és műveletben biztonságossá teheti a bemeneteket, kimeneteket vagy mindkettőt a logikai alkalmazás futtatási előzményeiben.

Hozzáférés korlátozása IP-címtartomány szerint

Korlátozhatja a logikai alkalmazás futtatási előzményeiben lévő bemenetekhez és kimenetekhez való hozzáférést, hogy csak bizonyos IP-címtartományokból érkező kérések tekinthessék meg ezeket az adatokat.

Ha például le szeretné tiltani, hogy bárki hozzáférjen a bemenetekhez és kimenetekhez, adjon meg egy IP-címtartományt, például 0.0.0.0-0.0.0.0: . Ezt a korlátozást csak rendszergazdai jogosultsággal rendelkező személyek távolíthatják el, ami lehetővé teszi a logikai alkalmazás adataihoz való igényalapú hozzáférést.

Az engedélyezett IP-tartományok megadásához kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablon esetében:

Portál

1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Munkafolyamat-beállítások lehetőséget.

3. A Hozzáférés-vezérlési konfiguráció>Engedélyezett bejövő IP-címek területen válassza ki az Adott IP-címtartományokat.

4. A tartalom IP-címtartományai alatt adja meg azokat az IP-címtartományokat, amelyek hozzáférhetnek a bemenetekből és kimenetekből származó tartalmakhoz.

   Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x/x vagy x.x.x.x-x.x.x.x.x

Resource Manager sablon

Az ARM-sablonban adja meg az IP-címtartományokat a accessControl logikai alkalmazás erőforrás-definíciójának szakaszát tartalmazó szakasz használatával contents , például:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {<workflow-definition>},
            "parameters": {},
            "accessControl": {
               "contents": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     },
                     {
                        "addressRange": "2001:0db8::/64"
                     }
                  ]
               }
            }
         }
      }
   ],
   "outputs": {}
}

Adatok védelme a futtatási előzményekben elrejtés használatával

Számos eseményindító és művelet rendelkezik a logikai alkalmazás futtatási előzményeiből származó bemenetek, kimenetek vagy mindkettő védelmére szolgáló beállításokkal. Ezeket a lehetőségeket minden felügyelt összekötő és egyéni összekötő támogatja . A következő beépített műveletek azonban nem támogatják ezeket a lehetőségeket:

Biztonságos bemenetek – Nem támogatott	Biztonságos kimenetek – Nem támogatott
Hozzáfűzés tömbváltozóhoz Hozzáfűzés sztringváltozóhoz Decrement változó Minden egyes Ha a(z) Növekményes változó Változó inicializálása Ismétlődés Hatókör Változó beállítása Kapcsoló (switch) Befejezés Amíg	Hozzáfűzés tömbváltozóhoz Hozzáfűzés sztringváltozóhoz Összeállítás Decrement változó Minden egyes Ha a(z) Növekményes változó Változó inicializálása JSON értelmezése Ismétlődés Reagálás Hatókör Változó beállítása Kapcsoló (switch) Befejezés Amíg Várakozás

A bemenetek és kimenetek biztonságossá tételével kapcsolatos szempontok

Mielőtt ezeket a beállításokat használva segítené az adatok védelmét, tekintse át az alábbi szempontokat:

• Ha elrejti egy eseményindító vagy művelet bemeneteit vagy kimeneteit, az Azure Logic Apps nem küldi el a biztonságos adatokat az Azure Log Analyticsnek. Emellett nem adhat hozzá nyomon követett tulajdonságokat az eseményindítóhoz vagy a figyelési művelethez.

• A munkafolyamat-előzmények kezelésére szolgáló Azure Logic Apps API nem ad vissza biztonságos kimeneteket.

• A bemeneteket elfedő vagy a kimeneteket explicit módon elfedő műveletek kimeneteinek védelméhez manuálisan kapcsolja be a biztonságos kimeneteket a műveletben.

• Győződjön meg arról, hogy bekapcsolja a biztonságos bemeneteket vagy a biztonságos kimeneteket az alsóbb rétegbeli műveletekben, ahol a futtatási előzmények elfedik az adatokat.

  Biztonságos kimenetek beállítás

  Amikor manuálisan kapcsolja be a biztonságos kimeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a kimeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet explicit módon bemenetként használja ezeket a biztonságos kimeneteket, az Azure Logic Apps elrejti a művelet bemeneteit a futtatási előzményekben, de nem engedélyezi a művelet Biztonságos bemenetek beállítását.

  

  A Levélírás, A JSON elemzése és a Válasz műveletek csak a Biztonságos bemenetek beállítással rendelkezik . Ha be van kapcsolva, a beállítás a műveletek kimeneteit is elrejti. Ha ezek a műveletek explicit módon a felsőbb rétegbeli biztonságos kimeneteket használják bemenetként, az Azure Logic Apps elrejti a műveletek bemeneteit és kimeneteit, de nem engedélyezi ezeknek a műveleteknek a Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a levélírási, JSON-elemzési vagy válaszműveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el ennek az alsóbb rétegbeli műveletnek a bemeneteit vagy kimeneteit.

  

  Biztonságos bemenetek beállítása

  Amikor manuálisan kapcsolja be a biztonságos bemeneteket egy eseményindítóban vagy műveletben, az Azure Logic Apps elrejti ezeket a bemeneteket a futtatási előzményekben. Ha egy alsóbb rétegbeli művelet explicit módon az adott eseményindító vagy művelet látható kimeneteit használja bemenetként, az Azure Logic Apps elrejti ennek az alsóbb rétegbeli műveletnek a bemeneteit a futtatási előzményekben, de nem engedélyezi a biztonságos bemeneteket ebben a műveletben, és nem rejti el a művelet kimeneteit.

  

  Ha a Compose, a Parse JSON és a Response műveletek explicit módon használják a biztonságos bemeneteket tartalmazó eseményindító vagy művelet látható kimeneteit, az Azure Logic Apps elrejti ezeknek a műveleteknek a bemeneteit és kimeneteit, de nem engedélyezi ezeknek a műveleteknek a Biztonságos bemenetek beállítását. Ha egy alsóbb rétegbeli művelet explicit módon használja a levélírási, JSON-elemzési vagy válaszműveletek rejtett kimeneteit bemenetként, az Azure Logic Apps nem rejti el ennek az alsóbb rétegbeli műveletnek a bemeneteit vagy kimeneteit.

  

Biztonságos bemenetek és kimenetek a tervezőben

1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

   

2. Azon az eseményindítón vagy műveleten, ahol bizalmas adatokat szeretne biztonságossá tenni, kattintson a három pontra (...), majd válassza a Beállítások lehetőséget.

   

3. Kapcsolja be a biztonságos bemeneteket, a biztonságos kimeneteket vagy mindkettőt. Ha elkészült, válassza a Kész lehetőséget.

   

   A művelet vagy eseményindító mostantól egy zárolási ikont jelenít meg a címsorban.

   

   A korábbi műveletek biztonságos kimeneteit képviselő jogkivonatok zárolási ikonokat is megjelenítenek. Ha például kiválaszt egy ilyen kimenetet a dinamikus tartalomlistából egy művelethez, az a jogkivonat egy zárolási ikont jelenít meg.

   

4. A logikai alkalmazás futtatása után megtekintheti a futtatás előzményeit.

   1. A logikai alkalmazás Áttekintés panelén válassza ki a megtekinteni kívánt futtatásokat.

   2. A logikai alkalmazás futtatási paneljén bontsa ki az áttekinteni kívánt műveleteket.

      Ha úgy döntött, hogy elrejti a bemeneteket és a kimeneteket is, ezek az értékek most rejtettnek tűnnek.

      

Biztonságos bemenetek és kimenetek kódnézetben

A mögöttes eseményindítóban vagy műveletdefinícióban adja hozzá vagy frissítse a runtimeConfiguration.secureData.properties tömböt az alábbi értékek valamelyikével vagy mindkettővel:

• "inputs": A bemenetek védelme a futtatási előzményekben.
• "outputs": A futtatási előzmények kimeneteinek védelme.

"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Hozzáférés a paraméterbemenetekhez

Ha különböző környezetekben helyezi üzembe az üzembe helyezést, fontolja meg a munkafolyamat-definíció azon értékeinek paraméterezését, amelyek az adott környezettől függően változnak. Így elkerülheti a nem módosítható adatokat egy Azure Resource Manager-sablon használatával a logikai alkalmazás üzembe helyezéséhez, a bizalmas adatok védelméhez biztonságos paraméterek meghatározásával, és ezek az adatok külön bemenetként továbbíthatók a sablon paraméterein keresztül egy paraméterfájl használatával.

Ha például http-műveleteket hitelesít az Azure Active Directory Nyílt hitelesítéssel (Azure AD OAuth), meghatározhatja és elrejtheti azokat a paramétereket, amelyek elfogadják a hitelesítéshez használt ügyfél-azonosítót és titkos ügyfélkulcsot. Ezeknek a paramétereknek a logikai alkalmazásban való definiálásához használja a parameters logikai alkalmazás munkafolyamat-definíciójának és Resource Manager üzembe helyezési sablonjának szakaszát. A logikai alkalmazás szerkesztésekor vagy a futtatási előzmények megtekintésekor nem kívánt paraméterértékek biztonságossá tételéhez adja meg a paramétereket a típus vagy secureobject típus securestring használatával, és szükség szerint kódolást használjon. Az ilyen típusú paraméterek nem lesznek visszaadva az erőforrás-definícióval, és nem érhetők el az erőforrás üzembe helyezés utáni megtekintésekor. Ha futásidőben szeretné elérni ezeket a paraméterértékeket, használja a @parameters('<parameter-name>') munkafolyamat-definícióban található kifejezést. Ezt a kifejezést csak futásidőben értékeli ki a rendszer, és a munkafolyamat-definíciós nyelv írja le.

Megjegyzés

Ha paramétert használ egy kérelemfejlécben vagy -törzsben, ez a paraméter látható lehet a logikai alkalmazás futtatási előzményeinek és a kimenő HTTP-kérésnek a megtekintésekor. Győződjön meg arról, hogy a tartalom-hozzáférési szabályzatokat is ennek megfelelően állítja be. Elrejtheti a bemeneteket és kimeneteket a futtatási előzményekben. Az engedélyezési fejlécek soha nem láthatók bemeneteken vagy kimeneteken keresztül. Tehát ha ott titkos kódot használnak, az nem lesz lekérthető.

További információért tekintse át a jelen témakör következő szakaszait:

• Paraméterek biztonságossá tétele a munkafolyamat-definíciókban
• Adatok védelme a futtatási előzményekben elrejtés használatával

Ha Resource Manager sablonokkal automatizálja a logikai alkalmazások üzembe helyezését, biztonságos sablonparamétereket határozhat meg, amelyeket a rendszer az üzembe helyezéskor értékel ki a típusok és secureobject a securestring típusok használatával. Sablonparaméterek meghatározásához használja a sablon legfelső szintű parameters szakaszát, amely elkülönül a munkafolyamat-definíció szakaszától parameters . A sablonparaméterek értékeinek megadásához használjon egy külön paraméterfájlt.

Ha például titkos kulcsokat használ, definiálhat és használhat biztonságos sablonparamétereket, amelyek lekérik ezeket a titkos kulcsokat az Azure Key Vault az üzembe helyezéskor. Ezután hivatkozhat a kulcstartóra és a titkos kódra a paraméterfájlban. További információért tekintse át az alábbi témaköröket:

• Bizalmas értékek átadása üzembe helyezéskor az Azure Key Vault használatával
• Az Azure-Resource Manager-sablonok biztonsági paramétereinek védelme a jelen témakör későbbi részében

Paraméterek biztonságossá tétele a munkafolyamat-definíciókban

A logikai alkalmazás munkafolyamat-definíciójában található bizalmas információk védelméhez használjon biztonságos paramétereket, hogy ezek az információk ne látszanak a logikai alkalmazás mentése után. Tegyük fel például, hogy egy HTTP-művelethez alapszintű hitelesítés szükséges, amely felhasználónevet és jelszót használ. A munkafolyamat-definícióban a parameters szakasz a típus használatával határozza meg a basicAuthPasswordParam paramétereket és basicAuthUsernameParam a securestring paramétereket. A műveletdefiníció ezután hivatkozik ezekre a paraméterekre a authentication szakaszban.

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Biztonságos paraméterek az Azure Resource Manager-sablonokban

Egy logikai alkalmazás Resource Manager sablonja több parameters szakaszból áll. A jelszavak, kulcsok, titkos kulcsok és egyéb bizalmas információk védelméhez a sablon és a munkafolyamat-definíció szintjén definiáljon biztonságos paramétereket a securestring vagy secureobject típus használatával. Ezeket az értékeket ezután az Azure Key Vault tárolhatja, és a paraméterfájl használatával hivatkozhat a kulcstartóra és a titkos kódra. A sablon ezután lekéri ezeket az információkat az üzembe helyezéskor. További információkért tekintse át a bizalmas értékek átadását az üzembe helyezés során az Azure Key Vault használatával.

Ez a lista további információkat tartalmaz az alábbi parameters szakaszokról:

• A sablon legfelső szintjén egy parameters szakasz határozza meg a sablon által az üzembe helyezéskor használt értékek paramétereit. Ezek az értékek például tartalmazhatnak kapcsolati sztringeket egy adott üzembehelyezési környezethez. Ezeket az értékeket ezután egy külön paraméterfájlban tárolhatja, ami megkönnyíti az értékek módosítását.

• A logikai alkalmazás erőforrás-definícióján belül, de a munkafolyamat-definíción kívül egy parameters szakasz határozza meg a munkafolyamat-definíció paramétereinek értékeit. Ebben a szakaszban ezeket az értékeket a sablon paramétereire hivatkozó sablonkifejezések használatával rendelheti hozzá. Ezeket a kifejezéseket a rendszer az üzembe helyezéskor értékeli ki.

• A munkafolyamat-definíción belül egy parameters szakasz határozza meg a logikai alkalmazás futásidőben használt paramétereit. Ezután hivatkozhat ezekre a paraméterekre a logikai alkalmazás munkafolyamatában a futásidőben kiértékelt munkafolyamat-definíciós kifejezések használatával.

Ez a példasablon több biztonságos paraméterdefinícióval rendelkezik, amelyek a következő típust securestring használják:

Paraméter neve	Leírás
TemplatePasswordParam	Sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének basicAuthPasswordParam átadott jelszót
TemplateUsernameParam	Sablonparaméter, amely elfogadja a munkafolyamat-definíció paraméterének átadott felhasználónevet basicAuthUserNameParam
basicAuthPasswordParam	Egy munkafolyamat-definíciós paraméter, amely elfogadja az alapszintű hitelesítés jelszavát egy HTTP-műveletben
basicAuthUserNameParam	Egy munkafolyamat-definíciós paraméter, amely elfogadja a felhasználónevet az alapszintű hitelesítéshez egy HTTP-műveletben

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

A hitelesítést támogató eseményindítók és műveletek hitelesítési típusai

Az alábbi táblázat az eseményindítókon és műveleteken elérhető hitelesítési típusokat azonosítja, ahol kiválaszthatja a hitelesítési típust:

Hitelesítéstípus	Támogatott eseményindítók és műveletek
Basic	Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook
Ügyféltanúsítvány	Azure API Management, Azure-alkalmazás Services, HTTP, HTTP + Swagger, HTTP Webhook
Active Directory OAuth	Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Nyers	Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP + Swagger, HTTP Webhook
Kezelt identitás	Használatalapú logikai alkalmazás: - Beépített: Azure API Management, Azure-alkalmazás Services, Azure Functions, HTTP, HTTP Webhook - Felügyelt összekötő: Azure AD, Azure AD Identity Protection, Azure App Service, Azure Automation, Azure Blob Storage, Azure Container Instance, Azure Cosmos DB, Azure Data Explorer, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analytics, Azure Queues, Azure Resource Manager, Azure Service Bus , Azure Sentinel, Azure-beli virtuális gép, HTTP Azure AD, SQL Server ___________________________________________________________________________________________ Standard logikai alkalmazás: - Beépített: HTTP, HTTP-webhook - Felügyelt összekötő: Azure AD, Azure AD Identity Protection, Azure App Service, Azure Automation, Azure Blob Storage, Azure Container Instance, Azure Cosmos DB, Azure Data Explorer, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analytics, Azure Queues, Azure Resource Manager, Azure Service Bus , Azure Sentinel, Azure-beli virtuális gép, HTTP Azure AD, SQL Server

Hozzáférés kérésalapú eseményindítók bejövő hívásaihoz

A logikai alkalmazás által kérésalapú eseményindítón keresztül fogadott bejövő hívások, például a Kérés eseményindító vagy a HTTP-webhook eseményindító, támogatják a titkosítást, és legalább a Transport Layer Security (TLS) 1.2-es verziójával vannak védve, amelyet korábban Secure Sockets Layer (SSL) néven ismertek. Az Azure Logic Apps kényszeríti ezt a verziót, amikor bejövő hívást fogad a Kérés eseményindítóhoz, vagy visszahívást küld a HTTP-webhook eseményindítóhoz vagy művelethez. Ha TLS-kézfogási hibákba ütközik, győződjön meg arról, hogy a TLS 1.2-t használja. További információkért tekintse át a TLS 1.0-s probléma megoldását.

Bejövő hívásokhoz használja a következő titkosítócsomagokat:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Megjegyzés

A visszamenőleges kompatibilitás érdekében az Azure Logic Apps jelenleg néhány régebbi titkosítási csomagot támogat. Új alkalmazások fejlesztésekor azonban ne használjon régebbi titkosítócsomagokat, mert előfordulhat, hogy az ilyen csomagok a jövőben nem lesznek támogatottak.

Például a következő titkosítócsomagokat találhatja meg, ha megvizsgálja a TLS-kézfogási üzeneteket az Azure Logic Apps szolgáltatás használata közben vagy egy biztonsági eszköz használatával a logikai alkalmazás URL-címén. Ne használja ismét ezeket a régebbi csomagokat:

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_3DES_EDE_CBC_SHA

Az alábbi lista további módszereket tartalmaz, amelyekkel korlátozhatja a logikai alkalmazás bejövő hívásait fogadó eseményindítókhoz való hozzáférést, hogy csak a jogosult ügyfelek hívhassák meg a logikai alkalmazást:

• Közös hozzáférésű jogosultságkódok (SAS) létrehozása
• Az Azure Active Directory nyílt hitelesítésének engedélyezése (Azure AD OAuth)
• Logikai alkalmazás közzététele az Azure API Management
• Bejövő IP-címek korlátozása

Közös hozzáférésű jogosultságkódok (SAS) létrehozása

Egy logikai alkalmazás minden kérésvégpontja rendelkezik közös hozzáférésű jogosultságkóddal (SAS) a végpont URL-címében, amely a következő formátumot követi:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Minden URL tartalmazza a sp, sv, és sig lekérdezési paramétert az alábbi táblázatban leírtak szerint:

Lekérdezési paraméter	Leírás
sp	Megadja az engedélyezett HTTP-metódusok használatára vonatkozó engedélyeket.
sv	Megadja az aláírás létrehozásához használandó SAS-verziót.
sig	Megadja az eseményindítóhoz való hozzáférés hitelesítéséhez használandó aláírást. Ez az aláírás az SHA256 algoritmus és egy titkos hozzáférési kulcs használatával jön létre az összes URL-útvonalon és tulajdonságon. Ez a kulcs titkosítva van, a logikai alkalmazással együtt van tárolva, és soha nem lesz közzétéve vagy közzétéve. A logikai alkalmazás csak azokat az eseményindítókat engedélyezi, amelyek a titkos kulccsal létrehozott érvényes aláírást tartalmaznak.

A kérelemvégpontra irányuló bejövő hívások csak egy engedélyezési sémát használhatnak, sas vagy Azure Active Directory Open Authentication használatával. Bár az egyik séma használata nem tiltja le a másik sémát, a két séma egyidejű használata hibát okoz, mert a szolgáltatás nem tudja, melyik sémát válassza.

Az SAS-hozzáférés biztonságossá tételével kapcsolatos további információkért tekintse át a jelen témakör következő szakaszait:

• Hozzáférési kulcsok újragenerálása
• Lejáró visszahívási URL-címek létrehozása
• URL-címek létrehozása elsődleges vagy másodlagos kulccsal

Hozzáférési kulcsok újragenerálása

Ha bármikor új biztonsági hozzáférési kulcsot szeretne létrehozni, használja az Azure REST API-t vagy a Azure Portal. A korábban létrehozott, a régi kulcsot használó URL-címek érvénytelenítve vannak, és már nem rendelkeznek engedéllyel a logikai alkalmazás aktiválásához. Az újragenerálás után lekért URL-címek az új hozzáférési kulccsal vannak aláírva.

1. A Azure Portal nyissa meg azt a logikai alkalmazást, amely az újragenerálni kívánt kulccsal rendelkezik.

2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Hozzáférési kulcsok lehetőséget.

3. Válassza ki az újragenerálni kívánt kulcsot, és fejezze be a folyamatot.

Lejáró visszahívási URL-címek létrehozása

Ha megosztja egy kérésalapú eseményindító végponti URL-címét más felekkel, létrehozhat visszahívási URL-címeket, amelyek meghatározott kulcsokat használnak, és lejárati dátummal rendelkeznek. Így zökkenőmentesen helyezheti el a kulcsokat, vagy korlátozhatja a hozzáférést a logikai alkalmazás aktiválásához egy adott időtartam alapján. Egy URL lejárati dátumának megadásához használja az Azure Logic Apps REST API-t, például:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

A törzsbe foglalja bele a NotAftertulajdonságot egy JSON-dátumsztring használatával. Ez a tulajdonság egy visszahívási URL-címet ad vissza, amely csak a dátumig és az NotAfter időpontig érvényes.

URL-címek létrehozása elsődleges vagy másodlagos titkos kulccsal

Amikor kérésalapú eseményindítóhoz hoz létre vagy listáz visszahívási URL-címeket, megadhatja az URL-cím aláírásához használandó kulcsot. Egy adott kulccsal aláírt URL-cím létrehozásához használja a Logic Apps REST API-t, például:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

A törzsbe foglalja bele a KeyType tulajdonságot vagy Primary a Secondary. Ez a tulajdonság a megadott biztonsági kulcs által aláírt URL-címet adja vissza.

Az Azure Active Directory nyílt hitelesítésének engedélyezése (Azure AD OAuth)

A kérésalapú triggerrel kezdődő használatalapú logikai alkalmazás munkafolyamatában hitelesítheti az eseményindító által létrehozott végpontra küldött bejövő hívásokat Azure AD OAuth engedélyezésével. A hitelesítés beállításához definiáljon vagy adjon hozzá egy engedélyezési szabályzatot a logikai alkalmazás szintjén. Így a bejövő hívások OAuth hozzáférési jogkivonatokat használnak az engedélyezéshez.

Amikor a logikai alkalmazás egy OAuth hozzáférési jogkivonatot tartalmazó bejövő kérést kap, az Azure Logic Apps összehasonlítja a jogkivonat jogcímeit az egyes engedélyezési szabályzatok által meghatározott jogcímekkel. Ha a jogkivonat jogcímei és az összes jogcím között legalább egy szabályzatban van egyezés, az engedélyezés sikeres lesz a bejövő kérelemhez. A jogkivonat több jogcímet tartalmazhat, mint az engedélyezési házirend által megadott szám.

A Kérés eseményindítóval (de nem webhook-eseményindítóval) kezdődő standard logikaialkalmazás-munkafolyamatban a Azure Functions kiépítés használatával hitelesítheti az eseményindító által létrehozott végpontra küldött bejövő hívásokat egy felügyelt identitás használatával. Ezt a rendelkezést "Easy Auth"-nak is nevezik. További információkért tekintse át a Standard logikai alkalmazások eseményindító munkafolyamatait az Easy Auth használatával.

Megfontolandó szempontok Azure AD OAuth engedélyezése előtt

• A kérelemvégpont bejövő hívásai csak egy engedélyezési sémát használhatnak, Azure AD OAuth vagy közös hozzáférésű jogosultságkód (SAS) használatával. Bár az egyik séma használata nem tiltja le a másik sémát, mindkét séma egyidejű használata hibát okoz, mivel az Azure Logic Apps nem tudja, melyik sémát válassza.

  Ha engedélyezni szeretné Azure AD OAuth-hitelesítést, hogy ez legyen az egyetlen módja a kérésvégpont meghívásának, kövesse az alábbi lépéseket:

  1. A Azure Portal nyissa meg a logikai alkalmazás munkafolyamatát a tervezőben.

  2. Az eseményindító jobb felső sarkában kattintson a három pontra (...), majd a Beállítások elemre.

  3. Az Eseményindító feltételei területen válassza a Hozzáadás lehetőséget. Az eseményindító feltétel mezőjébe írja be a következő kifejezést, és válassza a Kész lehetőséget.

     @startsWith(triggerOutputs()?['headers']?['Authorization'], 'Bearer')

  Megjegyzés

  Ha a megfelelő engedély nélkül hívja meg az eseményindító végpontot, a futtatási előzmények csak úgy jelenítik meg az eseményindítót, mintha Skipped az eseményindító feltétel meghiúsult volna.

• Csak a Tulajdonos típusú engedélyezési sémák támogatottak Azure AD OAuth hozzáférési jogkivonatokhoz, ami azt jelenti, hogy a Authorization hozzáférési jogkivonat fejlécének meg kell adnia a típustBearer.

• A logikai alkalmazás maximális számú engedélyezési szabályzatra van korlátozva. Minden engedélyezési szabályzathoz tartozik egy maximális számú jogcím is. További információkért tekintse át az Azure Logic Apps korlátait és konfigurációját.

• Az engedélyezési szabályzatnak tartalmaznia kell legalább a Kiállító jogcímet, amelynek értéke vagy https://login.microsoftonline.com/ (OAuth V2) Azure AD kiállítóazonosítóval kezdődikhttps://sts.windows.net/.

  Tegyük fel például, hogy a logikai alkalmazás olyan engedélyezési szabályzattal rendelkezik, amelyhez két jogcímtípusra van szükség: Célközönség és Kiállító. A dekódolt hozzáférési jogkivonat hasznosadat-mintaszakasza mindkét jogcímtípust tartalmazza, ahol aud a Célközönség értéke és iss a Kiállító értéke:

  {
      "aud": "https://management.core.windows.net/",
      "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
      "iat": 1582056988,
      "nbf": 1582056988,
      "exp": 1582060888,
      "_claim_names": {
         "groups": "src1"
      },
      "_claim_sources": {
         "src1": {
            "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
         }
      },
      "acr": "1",
      "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
      "amr": [
         "rsa",
         "mfa"
      ],
      "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
      "appidacr": "2",
      "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
      "family_name": "Sophia Owen",
      "given_name": "Sophia Owen (Fabrikam)",
      "ipaddr": "167.220.2.46",
      "name": "sophiaowen",
      "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
      "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
      "puid": "1003000000098FE48CE",
      "scp": "user_impersonation",
      "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
      "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
      "unique_name": "SophiaOwen@fabrikam.com",
      "upn": "SophiaOwen@fabrikam.com",
      "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
      "ver": "1.0"
  }
  

Az Azure AD OAuth engedélyezése a logikai alkalmazáshoz

Kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablonhoz:

Portál

A Azure Portal adjon hozzá egy vagy több engedélyezési szabályzatot a logikai alkalmazáshoz:

1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

2. A logikai alkalmazás menüjének Beállítások területén válassza az Engedélyezés lehetőséget. Miután megnyílik az Engedélyezés panel, válassza a Szabályzat hozzáadása lehetőséget.

   

3. Adja meg az engedélyezési szabályzattal kapcsolatos információkat a logikai alkalmazás által elvárt jogcímtípusok és értékek megadásával a Kérés eseményindító minden bejövő hívása által bemutatott hozzáférési jogkivonatban:

   

   Tulajdonság	Kötelező	Leírás
   Házirend neve	Yes	Az engedélyezési szabályzathoz használni kívánt név
   Igénylések	Yes	A logikai alkalmazás által a bejövő hívásokból elfogadott jogcímtípusok és értékek. A jogcím értéke legfeljebb egy karakterből állhat. Az elérhető jogcímtípusok a következők: - Kibocsátó - Hallgatóság - Tárgy - JWT-azonosító (JSON webes jogkivonat azonosítója) A Jogcímek listájának legalább tartalmaznia kell a Kiállító jogcímet, amelynek értéke a kiállító azonosítójával https://sts.windows.net/ kezdődik vagy https://login.microsoftonline.com/ az Azure AD. Ezekről a jogcímtípusokról további információt Azure AD biztonsági jogkivonatok jogcímeinek áttekintésében talál. Saját jogcímtípust és -értéket is megadhat.

4. Másik jogcím hozzáadásához válasszon az alábbi lehetőségek közül:

   • Másik jogcímtípus hozzáadásához válassza a Standard jogcím hozzáadása lehetőséget, válassza ki a jogcím típusát, és adja meg a jogcím értékét.

   • Saját jogcím hozzáadásához válassza az Egyéni jogcím hozzáadása lehetőséget. További információért tekintse át, hogyan adhat meg opcionális jogcímeket az alkalmazásnak. Az egyéni jogcím ezután a JWT-azonosító részeként lesz tárolva; például "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47".

5. Másik engedélyezési szabályzat hozzáadásához válassza a Szabályzat hozzáadása lehetőséget. Ismételje meg az előző lépéseket a szabályzat beállításához.

6. Amikor elkészült, válassza a Mentés lehetőséget.

7. Ha a Authorization hozzáférési jogkivonat fejlécét fel szeretné venni a kérelemalapú triggerkimenetekbe, tekintse át az "Engedélyezés" fejléc belefoglalását a kérelem eseményindító-kimeneteibe.

A munkafolyamat tulajdonságai, például a szabályzatok nem jelennek meg a logikai alkalmazás kódnézetében a Azure Portal. A szabályzatok programozott eléréséhez hívja meg a következő API-t az Azure Resource Manager: https://management.azure.com/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Logic/workflows/{your-workflow-name}?api-version=2016-10-01&_=1612212851820. Győződjön meg arról, hogy lecseréli az Azure-előfizetés azonosítójának, az erőforráscsoport nevének és a munkafolyamat nevének helyőrző értékeit.

Resource Manager sablon

Az ARM-sablonban definiáljon egy engedélyezési szabályzatot az alábbi lépések és szintaxis szerint:

1. properties A logikai alkalmazás erőforrás-definíciójának szakaszában adjon hozzá egy accessControl objektumot tartalmazó triggers objektumot( ha nincs ilyen).

   Az objektummal kapcsolatos további információkért tekintse át a accessControlBejövő IP-tartományok korlátozása az Azure Resource Manager-sablonban és a Microsoft.Logic-munkafolyamatok sablonreferenciájában.

2. triggers Az objektumban adjon hozzá egy openAuthenticationPolicies objektumot, amely tartalmazza azt az policies objektumot, amelyben egy vagy több engedélyezési szabályzatot definiál.

3. Adjon nevet az engedélyezési házirendnek, állítsa a házirend típusát a következőre AAD, és adjon meg egy claims tömböt, ahol egy vagy több jogcímtípust adhat meg.

   A tömbnek legalább azt a kiállítói jogcímtípust kell tartalmaznia, claims ahol a jogcím tulajdonságát namevalueiss a Azure AD kiállítóazonosítójával https://sts.windows.net/https://login.microsoftonline.com/ vagy azonosítójával kell kezdenie. Ezekről a jogcímtípusokról további információt Azure AD biztonsági jogkivonatok jogcímeinek áttekintésében talál. Saját jogcímtípust és -értéket is megadhat.

4. Ha a Authorization hozzáférési jogkivonat fejlécét fel szeretné venni a kérelemalapú triggerkimenetekbe, tekintse át az "Engedélyezés" fejléc belefoglalását a kérelem eseményindító-kimeneteibe.

A következő szintaxist kell követni:

"resources": [
   {
      // Start logic app resource definition
      "properties": {
         "state": "<Enabled-or-Disabled>",
         "definition": {<workflow-definition>},
         "parameters": {<workflow-definition-parameter-values>},
         "accessControl": {
            "triggers": {
               "openAuthenticationPolicies": {
                  "policies": {
                     "<policy-name>": {
                        "type": "AAD",
                        "claims": [
                           {
                              "name": "<claim-name>",
                              "value": "<claim-value>"
                           }
                        ]
                     }
                  }
               }
            },
         },
      },
      "name": "[parameters('LogicAppName')]",
      "type": "Microsoft.Logic/workflows",
      "location": "[parameters('LogicAppLocation')]",
      "apiVersion": "2016-06-01",
      "dependsOn": [
      ]
   }
   // End logic app resource definition
],

Az "Engedélyezés" fejléc belefoglalása a kérelem eseményindítójának kimeneteibe

Azon logikai alkalmazások esetében, amelyek engedélyezik az Azure Active Directory Open Authenticationt (Azure AD OAuth) a kérelemalapú triggerek elérésére irányuló bejövő hívások engedélyezéséhez, engedélyezheti, hogy a Kérés vagy a HTTP Webhook-eseményindító kimenete tartalmazza az Authorization OAuth hozzáférési jogkivonat fejlécét. Az eseményindító mögöttes JSON-definíciójában adja hozzá és állítsa be a tulajdonságot a operationOptions következőre IncludeAuthorizationHeadersInOutputs: . Íme egy példa a Kérés eseményindítóra:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

További információért tekintse át az alábbi témaköröket:

• Az eseményindítók és a művelettípusok sémareferenciája – Kérelem-eseményindító
• Eseményindító- és művelettípusok sémareferenciája – HTTP Webhook-eseményindító
• Sémareferenciák eseményindító- és művelettípusokhoz – Műveleti beállítások

Logikai alkalmazás közzététele az Azure API Management

További hitelesítési protokollok és lehetőségek érdekében fontolja meg a logikai alkalmazás API-ként való felfedét az Azure API Management használatával. Ez a szolgáltatás gazdag monitorozási, biztonsági, szabályzat- és dokumentációs képességeket biztosít minden végponthoz. API Management közzétehet egy nyilvános vagy privát végpontot a logikai alkalmazás számára. A végponthoz való hozzáférés engedélyezéséhez használhatja az Azure Active Directory nyílt hitelesítést (Azure AD OAuth), az ügyféltanúsítványt vagy más biztonsági szabványokat. Amikor API Management kap egy kérést, a szolgáltatás elküldi a kérést a logikai alkalmazásnak, és végrehajtja a szükséges átalakításokat vagy korlátozásokat. Ha csak API Management szeretné meghívni a logikai alkalmazást, korlátozhatja a logikai alkalmazás bejövő IP-címeit.

További információért tekintse át a következő dokumentációt:

• Az API Management ismertetése
• Webes API-háttérrendszer védelme az Azure API Management-ban OAuth 2.0-hitelesítéssel Azure AD
• API-k biztonságossá tétele ügyféltanúsítvány-hitelesítéssel a API Management
• API Management-hitelesítési szabályzatok

Bejövő IP-címek korlátozása

A közös hozzáférésű jogosultságkód (SAS) mellett érdemes lehet kifejezetten korlátozni azokat az ügyfeleket, amelyek meghívhatják a logikai alkalmazást. Ha például a kérésvégpontot az Azure API Management használatával kezeli, korlátozhatja, hogy a logikai alkalmazás csak a létrehozott API Management szolgáltatáspéldány IP-címéről fogadjon kérelmeket.

A megadott IP-címektől függetlenül továbbra is futtathat kérésalapú eseményindítóval rendelkező logikai alkalmazást a Logic Apps REST API: Munkafolyamat-eseményindítók – Futtatási kérelem vagy API Management használatával. Ez a forgatókönyv azonban továbbra is megköveteli az Azure REST API-val való hitelesítést . Minden esemény megjelenik az Azure auditnaplójában. Győződjön meg arról, hogy ennek megfelelően állította be a hozzáférés-vezérlési szabályzatokat.

A logikai alkalmazás bejövő IP-címeinek korlátozásához kövesse az alábbi lépéseket a Azure Portal vagy az Azure Resource Manager-sablon esetében:

Portál

A Azure Portal ez a szűrő az eseményindítókat és a műveleteket is érinti, ellentétben a portál Engedélyezett bejövő IP-címek szakaszának leírásával. Ha külön szeretné beállítani ezt a szűrőt az eseményindítókhoz és a műveletekhez, használja az accessControl objektumot egy Azure Resource Manager-sablonban a logikai alkalmazáshoz vagy az Azure Logic Apps REST API-hoz: Munkafolyamat – Létrehozás vagy frissítés művelethez.

1. A Azure Portal nyissa meg a logikai alkalmazást a munkafolyamat-tervezőben.

2. A logikai alkalmazás menüjében, a Beállítások területen válassza a Munkafolyamat-beállítások lehetőséget.

3. A Hozzáférés-vezérlés konfigurációs szakasz Engedélyezett bejövő IP-címek területén válassza ki a forgatókönyv elérési útját:

   • Ha a logikai alkalmazást csak beágyazott logikai alkalmazásként szeretné meghívni a beépített Azure Logic Apps-művelet használatával, válassza a Csak más Logic Apps-alkalmazásokat, amelyek csak akkor működnek, ha az Azure Logic Apps-műveletet használja a beágyazott logikai alkalmazás meghívásához.

     Ez a beállítás üres tömböt ír a logikai alkalmazás erőforrásához, és megköveteli, hogy csak a beépített Azure Logic Apps-műveletet használó szülő logikai alkalmazások hívásai aktiválják a beágyazott logikai alkalmazást.

   • Ha azt szeretné, hogy a logikai alkalmazás csak beágyazott alkalmazásként hívható legyen a HTTP-művelet használatával, válassza ki az Adott IP-címtartományokat, nemcsak a többi Logic Apps-alkalmazást. Amikor megjelenik az eseményindítók IP-tartományai mező, adja meg a szülő logikai alkalmazás kimenő IP-címét. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x.x/x vagy x.x.x.x-x.x.x.x.

     Megjegyzés

     Ha a Csak más Logic Apps lehetőséget és a HTTP-műveletet használja a beágyazott logikai alkalmazás meghívásához, a hívás le lesz tiltva, és a "401 Jogosulatlan" hibaüzenet jelenik meg.

   • Olyan forgatókönyvek esetén, amikor korlátozni szeretné a más IP-címekről érkező hívásokat, az eseményindítók IP-címtartományai mező megjelenésekor adja meg azokat az IP-címtartományokat, amelyeket az eseményindító elfogad. Egy érvényes IP-címtartomány a következő formátumokat használja: x.x.x.x.x/x vagy x.x.x.x-x.x.x.x.

4. Ha szeretné, a Hívások korlátozása a bemeneti és kimeneti üzenetek lekéréséhez a futtatási előzményekből a megadott IP-címekre területen megadhatja a bejövő hívások IP-címtartományait, amelyek hozzáférhetnek a bemeneti és kimeneti üzenetekhez a futtatási előzményekben.

Resource Manager sablon

Az ARM-sablonban adja meg az engedélyezett bejövő IP-címtartományokat a logikai alkalmazás erőforrás-definíciójában a accessControl szakasz használatával. Ebben a szakaszban szükség szerint használja a triggers, és az opcionális contents szakaszokat úgy, hogy belevesz egy allowedCallerIpAddresses szakaszt a addressRange tulajdonságba, és beállítja a tulajdonság értékét az engedélyezett IP-tartományra x.x.x.x/x vagy x.x.x.x-x.x.xactionsformátumban.

• Ha a beágyazott logikai alkalmazás a Csak más Logic Apps beállítást használja, amely csak a beépített Azure Logic Apps-műveletet használó más logikai alkalmazásokból engedélyezi a bejövő hívásokat, állítsa a allowedCallerIpAddresses tulajdonságot egy üres tömbre ([]), és hagyja ki a addressRange tulajdonságot.

• Ha a beágyazott logikai alkalmazás az Adott IP-tartományok beállítást használja más bejövő hívásokhoz, például a HTTP-műveletet használó más logikai alkalmazásokhoz, adja meg a allowedCallerIpAddresses szakaszt, és állítsa be a addressRange tulajdonságot az engedélyezett IP-címtartományra.

Ez a példa egy beágyazott logikai alkalmazás erőforrás-definícióját mutatja be, amely csak a beépített Azure Logic Apps-műveletet használó logikai alkalmazásokból engedélyezi a bejövő hívásokat:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": []
               },
               "actions": {
                  "allowedCallerIpAddresses": []
               },
               // Optional
               "contents": {
                  "allowedCallerIpAddresses": []
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

Ez a példa egy beágyazott logikai alkalmazás erőforrás-definícióját mutatja be, amely engedélyezi a HTTP-műveletet használó logikai alkalmazások bejövő hívásait:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               },
               "actions": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

Hozzáférés más szolgáltatásokba és rendszerekbe irányuló kimenő hívásokhoz

A célvégpont képességei alapján a HTTP-eseményindító vagy HTTP-művelet által küldött kimenő hívások támogatják a titkosítást, és a Transport Layer Security (TLS) 1.0, 1.1 vagy 1.2, korábbi nevén Secure Sockets Layer (SSL) használatával vannak védve. Az Azure Logic Apps a lehető legmagasabb támogatott verzióval egyeztet a célvégponttal. Ha például a célvégpont támogatja az 1.2-t, a HTTP-eseményindító vagy -művelet először az 1.2-t használja. Ellenkező esetben az összekötő a következő legmagasabb támogatott verziót használja.

Ez a lista a TLS/SSL önaláírt tanúsítványokkal kapcsolatos információkat tartalmazza:

• A több-bérlős Azure Logic Apps-környezetben használt logikai alkalmazások esetében a HTTP-műveletek nem engedélyezik az önaláírt TLS-/SSL-tanúsítványokat. Ha a logikai alkalmazás HTTP-hívást kezdeményez egy kiszolgálóhoz, és TLS/SSL önaláírt tanúsítványt jelenít meg, a HTTP-hívás hibaüzenettel TrustFailure meghiúsul.

• Az egybérlős Azure Logic Apps-környezet standard logikai alkalmazásai esetében a HTTP-műveletek támogatják az önaláírt TLS-/SSL-tanúsítványokat. Ehhez a hitelesítési típushoz azonban végre kell hajtania néhány további lépést. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős Azure Logic Apps TSL-/SSL-tanúsítványhitelesítését.

  Ha ehelyett ügyféltanúsítványt vagy nyílt Azure Active Directory-hitelesítést (Azure AD OAuth) szeretne használni "Tanúsítvány" típusú hitelesítő adatokkal, akkor is végre kell hajtania néhány további lépést ehhez a hitelesítési típushoz. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az ügyféltanúsítványt vagy az Azure Active Directory nyílt hitelesítést (Azure AD OAuth) az egybérlős Azure Logic Apps "Tanúsítvány" hitelesítőadat-típusával.

• Integrációs szolgáltatási környezetben (ISE) lévő logikai alkalmazások esetében a HTTP-összekötő engedélyezi az önaláírt tanúsítványokat a TLS-/SSL-kézfogásokhoz. Először azonban engedélyeznie kell az önaláírt tanúsítványok támogatását egy meglévő ISE-hez vagy egy új ISE-hez az Azure Logic Apps REST API használatával, és telepítenie kell a nyilvános tanúsítványt a TrustedRoot helyszínen.

Az alábbiakban további módszereket talál a logikai alkalmazásból küldött hívásokat kezelő végpontok biztonságossá tételéhez:

• Hitelesítés hozzáadása a kimenő kérésekhez.

  Ha a HTTP-eseményindítót vagy -műveletet kimenő hívások küldéséhez használja, hitelesítést adhat hozzá a logikai alkalmazás által küldött kéréshez. Kiválaszthatja például az alábbi hitelesítési típusokat:

  • Alapszintű hitelesítés

  • Ügyféltanúsítvány-hitelesítés

  • Active Directory OAuth-hitelesítés

  • Felügyelt identitás hitelesítése

• A logikai alkalmazás IP-címeinek hozzáférésének korlátozása.

  A logikai alkalmazások végpontjaira irányuló összes hívás a logikai alkalmazások régióin alapuló meghatározott IP-címekről származik. Hozzáadhat olyan szűrést, amely csak ezekről az IP-címekről fogad kérelmeket. Ezeknek az IP-címeknek a beszerzéséhez tekintse át az Azure Logic Apps korlátait és konfigurációját.

• A helyszíni rendszerekhez való csatlakozás biztonságának javítása.

  Az Azure Logic Apps integrációt biztosít ezekkel a szolgáltatásokkal, hogy biztonságosabb és megbízhatóbb helyszíni kommunikációt biztosítson.

  • Helyszíni adatátjáró

    Az Azure Logic Apps számos felügyelt összekötője biztonságos kapcsolatot tesz lehetővé a helyszíni rendszerekhez, például a fájlrendszerhez, az SQL-hez, a SharePointhoz és a DB2-höz. Az átjáró titkosított csatornákon küld adatokat a helyszíni forrásokból a Azure Service Bus keresztül. Minden forgalom az átjáróügynök biztonságos kimenő forgalmából származik. Ismerje meg a helyszíni adatátjáró működését.

  • Csatlakozás az Azure API Management-on keresztül

    Az Azure API Management helyszíni kapcsolati lehetőségeket biztosít, például helyek közötti virtuális magánhálózatot és ExpressRoute-integrációt a helyszíni rendszerekkel való biztonságos proxy- és kommunikációhoz. Ha rendelkezik olyan API-val, amely hozzáférést biztosít a helyszíni rendszerhez, és ezt az API-t egy API Management szolgáltatáspéldány létrehozásával tette elérhetővé, meghívhatja ezt az API-t a logikai alkalmazás munkafolyamatában a beépített API Management eseményindító vagy művelet kiválasztásával a munkafolyamat-tervezőben.

    Megjegyzés

    Az összekötő csak azokat a API Management szolgáltatásokat jeleníti meg, amelyek megtekintéséhez és csatlakoztatásához engedéllyel rendelkezik, de nem jeleníti meg a használatalapú API Management szolgáltatásokat.

    1. A munkafolyamat-tervezőben írja be api management a keresőmezőbe. Válassza ki a lépést attól függően, hogy eseményindítót vagy műveletet ad hozzá:

       • Ha olyan eseményindítót ad hozzá, amely mindig a munkafolyamat első lépése, válassza az Azure-API Management-eseményindító kiválasztása lehetőséget.

       • Ha műveletet ad hozzá, válassza az Azure-API Management-művelet kiválasztása lehetőséget.

       Ez a példa egy eseményindítót ad hozzá:

       

    2. Válassza ki a korábban létrehozott API Management szolgáltatáspéldányt.

       

    3. Válassza ki a használni kívánt API-hívást.

       

Hitelesítés hozzáadása kimenő hívásokhoz

A HTTP- és HTTPS-végpontok különböző típusú hitelesítést támogatnak. Bizonyos triggereken és műveleteken, amelyeket kimenő hívások vagy kérések küldéséhez használ ezekre a végpontokra, megadhat egy hitelesítési típust. A munkafolyamat-tervezőben a hitelesítési típus kiválasztását támogató eseményindítók és műveletek hitelesítési tulajdonságot kapnak. Előfordulhat azonban, hogy ez a tulajdonság nem mindig jelenik meg alapértelmezés szerint. Ezekben az esetekben az eseményindítón vagy műveleten nyissa meg az Új paraméter hozzáadása listát, és válassza a Hitelesítés lehetőséget.

Fontos

A logikai alkalmazás által kezelt bizalmas információk védelméhez használjon biztonságos paramétereket, és szükség szerint kódolja az adatokat. A paraméterek használatával és biztonságossá tételével kapcsolatos további információkért tekintse át a paraméterbemenetekhez való hozzáférést ismertető cikket.

Alapszintű hitelesítés

Ha az Alapszintű beállítás elérhető, adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező)	Tulajdonság (JSON)	Kötelező	Érték	Leírás
Hitelesítés	type	Yes	Alapszintű	A használni kívánt hitelesítési típus
Felhasználónév	username	Yes	<felhasználónév>	A célszolgáltatás végponthoz való hozzáférés hitelesítéséhez használt felhasználónév
Jelszó	password	Yes	<jelszó>	A célszolgáltatás végponthoz való hozzáférés hitelesítésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció megadja a hitelesítést typeBasic , és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

Ügyféltanúsítvány-hitelesítés

Ha az Ügyféltanúsítvány lehetőség elérhető, adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező)	Tulajdonság (JSON)	Kötelező	Érték	Leírás
Hitelesítés	type	Yes	Ügyféltanúsítvány vagy ClientCertificate	A használni kívánt hitelesítési típus. A tanúsítványokat az Azure API Management kezelheti. Megjegyzés: Az egyéni összekötők nem támogatják a tanúsítványalapú hitelesítést mind a bejövő, mind a kimenő hívások esetében.
Pfx	pfx	Yes	<encoded-pfx-file-content>	A személyes információcsere (PFX) fájlból származó base64 kódolású tartalom A PFX-fájl base64 kódolású formátumba konvertálásához használja a PowerShellt az alábbi lépések végrehajtásával: 1. Mentse a tanúsítvány tartalmát egy változóba: $pfx_cert = get-content 'c:\certificate.pfx' -Encoding Byte 2. Konvertálja a tanúsítvány tartalmát a ToBase64String() függvény használatával, és mentse a tartalmat egy szövegfájlba: [System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt' Hibaelhárítás: Ha a cert mmc/PowerShell parancsot használja, a következő hibaüzenet jelenhet meg: Could not load the certificate private key. Please check the authentication certificate password is correct and try again. A hiba elhárításához próbálja meg PEM-fájllá konvertálni a PFX-fájlt, majd a következő paranccsal térjen vissza ismét openssl : openssl pkcs12 -in certificate.pfx -out certificate.pem openssl pkcs12 -in certificate.pem -export -out certificate2.pfx Ezután, amikor megkapja a tanúsítvány újonnan konvertált PFX-fájljához tartozó Base64-kódolású sztringet, a sztring már működik az Azure Logic Appsben.
Jelszó	password	No	<password-for-pfx-file>	A PFX-fájl elérésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció megadja a hitelesítést typeClientCertificate , és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Fontos

Ha egy logikai alkalmazás (standard) erőforrással rendelkezik az egybérlős Azure Logic Appsben, és TSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Azure Active Directory Open Authentication (Azure AD OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusávalCertificate, mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további telepítési lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős környezetben történő hitelesítést.

A szolgáltatások ügyféltanúsítvány-hitelesítéssel történő védelmével kapcsolatos további információkért tekintse át az alábbi témaköröket:

• Az API-k biztonságának javítása ügyféltanúsítvány-hitelesítés használatával az Azure API Management
• A háttérszolgáltatások biztonságának javítása ügyféltanúsítvány-hitelesítés használatával az Azure API Management
• A RESTfuL szolgáltatás biztonságának javítása ügyféltanúsítványok használatával
• Tanúsítvány hitelesítő adatai az alkalmazáshitelesítéshez
• TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben

Azure Active Directory – Nyílt hitelesítés

Kéréses eseményindítók esetén az Azure Active Directory Open Authentication (Azure AD OAuth) használatával hitelesítheti a bejövő hívásokat, miután beállította Azure AD engedélyezési szabályzatokat a logikai alkalmazáshoz. Az Active Directory OAuth hitelesítési típust biztosító összes többi eseményindítóhoz és művelethez adja meg a következő tulajdonságértékeket:

Tulajdonság (tervező)	Tulajdonság (JSON)	Kötelező	Érték	Leírás
Hitelesítés	type	Yes	Active Directory OAuth vagy ActiveDirectoryOAuth	A használni kívánt hitelesítési típus. Az Azure Logic Apps jelenleg az OAuth 2.0 protokollt követi.
Authority	authority	No	<Szolgáltatói jogkivonat-kibocsátó URL-címe>	A hozzáférési jogkivonatot biztosító szolgáltató URL-címe, például https://login.microsoftonline.com/ az Azure globális szolgáltatási régióihoz. Más országos felhők esetében tekintse át Azure AD hitelesítési végpontokat – válassza ki az identitásszolgáltatóját.
Bérlő	tenant	Yes	<bérlőazonosító>	A Azure AD bérlő bérlőazonosítója
Célközönség	audience	Yes	<resource-to-authorize>	Az engedélyezéshez használni kívánt erőforrás, például: https://management.core.windows.net/
Ügyfél-azonosító	clientId	Yes	<ügyfél-azonosító>	Az engedélyezést kérő alkalmazás ügyfél-azonosítója
Hitelesítő adatok típusa	credentialType	Yes	Tanúsítvány vagy Titkos	Az ügyfél által az engedélyezés igényléséhez használt hitelesítőadat-típus. Ez a tulajdonság és érték nem jelenik meg a logikai alkalmazás mögöttes definíciójában, de meghatározza a kiválasztott hitelesítőadat-típushoz megjelenő tulajdonságokat.
Titkos	secret	Igen, de csak a "Titkos" típusú hitelesítő adatok esetében	<titkos ügyfélkód>	Az engedélyezés igénylésének titkos ügyfélkulcsa
Pfx	pfx	Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében	<encoded-pfx-file-content>	A személyes információcsere (PFX) fájlból származó base64 kódolású tartalom
Jelszó	password	Igen, de csak a "Tanúsítvány" típusú hitelesítő adatok esetében	<password-for-pfx-file>	A PFX-fájl elérésének jelszava

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció a hitelesítést typeActiveDirectoryOAutha hitelesítő adatok típusaként Secrethatározza meg, és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Fontos

Ha egy logikai alkalmazás (standard) erőforrással rendelkezik az egybérlős Azure Logic Appsben, és TSL/SSL-tanúsítvánnyal, ügyféltanúsítvánnyal vagy Azure Active Directory Open Authentication (Azure AD OAuth) hitelesítéssel rendelkező HTTP-műveletet szeretne használni a hitelesítő adatok típusávalCertificate, mindenképpen végezze el az ehhez a hitelesítési típushoz szükséges további telepítési lépéseket. Ellenkező esetben a hívás meghiúsul. További információkért tekintse át az egybérlős környezetben történő hitelesítést.

Nyers hitelesítés

Ha a Nyers beállítás elérhető, akkor ezt a hitelesítési típust akkor használhatja, ha olyan hitelesítési sémákat kell használnia, amelyek nem követik az OAuth 2.0 protokollt. Ezzel a típussal manuálisan hozza létre az engedélyezési fejléc értékét, amelyet a kimenő kérelemmel együtt küld el, és ezt a fejlécértéket adja meg az eseményindítóban vagy a műveletben.

Az alábbi példa egy OAuth 1.0 protokollt követő HTTPS-kérés mintafejlécét mutatja be:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

A nyers hitelesítést támogató eseményindítóban vagy műveletben adja meg az alábbi tulajdonságértékeket:

Tulajdonság (tervező)	Tulajdonság (JSON)	Kötelező	Érték	Leírás
Hitelesítés	type	Yes	Nyers	A használni kívánt hitelesítési típus
Érték	value	Yes	<authorization-header-value>	A hitelesítéshez használandó engedélyezési fejlécérték

Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-példaművelet-definíció a hitelesítést type a következőképpen Rawhatározza meg, és a parameters() függvénnyel lekéri a paraméterértékeket:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Felügyelt identitás hitelesítése

Ha a felügyelt identitás beállítás elérhető a felügyelt identitás hitelesítését támogató eseményindítón vagy műveleten, a logikai alkalmazás ezt az identitást használhatja az Azure Active Directory (Azure AD) által védett Azure-erőforrásokhoz való hozzáférés hitelesítésére hitelesítő adatok, titkos kódok vagy Azure AD jogkivonatok helyett. Az Azure kezeli ezt az identitást, és segít a hitelesítő adatok védelmében, mivel nem kell titkos kulcsokat kezelnie, és nem kell közvetlenül használnia Azure AD jogkivonatokat. További információ az Azure AD-hitelesítés felügyelt identitását támogató Azure-szolgáltatásokról.

• A logikai alkalmazás (használat) erőforrástípus használhatja a rendszer által hozzárendelt identitást vagy egyetlen manuálisan létrehozott, felhasználó által hozzárendelt identitást.

• A Logikai alkalmazás (Standard) erőforrástípus támogatja, hogy a rendszer által hozzárendelt felügyelt identitás és több felhasználó által hozzárendelt felügyelt identitás egyszerre legyen engedélyezve, de bármikor csak egy identitást választhat ki.

  Megjegyzés

  Alapértelmezés szerint a rendszer által hozzárendelt identitás már engedélyezve van a kapcsolatok futásidőben történő hitelesítéséhez. Ez az identitás eltér a kapcsolat létrehozásakor használt hitelesítési hitelesítő adatoktól vagy kapcsolati sztring. Ha letiltja ezt az identitást, a kapcsolatok futásidőben nem fognak működni. A beállítás megtekintéséhez a logikai alkalmazás menüjében, a Beállítások területen válassza az Identitás lehetőséget.

1. Mielőtt a logikai alkalmazás használhatja a felügyelt identitást, kövesse az Azure-erőforrásokhoz való hozzáférés hitelesítése felügyelt identitások használatával az Azure Logic Appsben című témakör lépéseit. Ezek a lépések engedélyezik a felügyelt identitást a logikai alkalmazásban, és beállítják az identitás hozzáférését a cél Azure-erőforráshoz.

2. Mielőtt egy Azure-függvény használhatja a felügyelt identitást, először engedélyezze a hitelesítést az Azure Functions számára.

3. A felügyelt identitás használatát támogató eseményindítóban vagy műveletben adja meg az alábbi információkat:

   Beépített eseményindítók és műveletek

   Tulajdonság (tervező)	Tulajdonság (JSON)	Kötelező	Érték	Leírás
   Hitelesítés	type	Yes	Felügyelt identitás vagy ManagedServiceIdentity	A használni kívánt hitelesítési típus
   Felügyelt identitás	identity	No	<user-assigned-identity-ID>	A felhasználó által hozzárendelt felügyelt identitás, amelyet használni szeretne. Megjegyzés: Ne foglalja bele ezt a tulajdonságot a rendszer által hozzárendelt felügyelt identitás használatakor.
   Célközönség	audience	Yes	<cél-erőforrás-azonosító>	A elérni kívánt célerőforrás erőforrás-azonosítója. Például https://storage.azure.com/ az összes tárfiók esetében érvényessé teszi a hitelesítéshez szükséges hozzáférési jogkivonatokat . Megadhat azonban egy gyökérszolgáltatás URL-címét is, például https://fabrikamstorageaccount.blob.core.windows.net egy adott tárfiókhoz. Megjegyzés: Előfordulhat, hogy a Audience tulajdonság rejtett bizonyos eseményindítókban vagy műveletekben. Ha láthatóvá szeretné tenni ezt a tulajdonságot, nyissa meg az Új paraméter hozzáadása listát az eseményindítóban vagy a műveletben, és válassza a Célközönség lehetőséget. Fontos: Győződjön meg arról, hogy ez a célerőforrás-azonosító pontosan megegyezik az Azure AD várt értékkel, beleértve a szükséges záró perjeleket is. Ezért az https://storage.azure.com/ összes Azure Blob Storage fiók erőforrás-azonosítójának záró perjelre van szüksége. Egy adott tárfiók erőforrás-azonosítója azonban nem igényel záró perjelet. Az erőforrás-azonosítók megkereséséhez tekintse át az Azure AD támogató Azure-szolgáltatásokat.

   Ha biztonságos paraméterekkel kezeli és védi a bizalmas adatokat, például egy Azure Resource Manager-sablonban az üzembe helyezés automatizálásához, kifejezésekkel érheti el ezeket a paraméterértékeket futásidőben. Ez a HTTP-műveletdefiníció például megadja a hitelesítést typeManagedServiceIdentity , és a parameters() függvénnyel lekéri a paraméterértékeket:

   "HTTP": {
      "type": "Http",
      "inputs": {
         "method": "GET",
         "uri": "@parameters('endpointUrlParam')",
         "authentication": {
            "type": "ManagedServiceIdentity",
            "audience": "https://management.azure.com/"
         },
      },
      "runAfter": {}
   }
   

   Felügyelt összekötő eseményindítói és műveletei

   Tulajdonság (tervező)	Kötelező	Érték	Leírás
   Kapcsolat neve	Yes	<kapcsolat-név>
   Kezelt identitás	Yes	Rendszer által hozzárendelt felügyelt identitás vagy <user-assigned-managed-identity-name>	A használni kívánt hitelesítési típus

Kapcsolatok létrehozásának letiltása

Ha a szervezete nem engedélyezi adott erőforrásokhoz való csatlakozást az Azure Logic Apps-összekötőik használatával, letilthatja, hogy ezeket a kapcsolatokat adott összekötőkhöz hozza létre a logikaialkalmazás-munkafolyamatokban a Azure Policy használatával. További információ: Adott összekötők által létrehozott kapcsolatok blokkolása az Azure Logic Appsben.

Elkülönítési útmutató logikai alkalmazásokhoz

Az Azure Logic Apps Azure Government azAzure Government 5. hatásszintelkülönítési útmutatóban leírt régiók összes hatásszintjét támogatja. Ezen követelmények teljesítése érdekében az Azure Logic Apps támogatja, hogy dedikált erőforrásokkal rendelkező környezetben hozzon létre és futtasson munkafolyamatokat, így csökkentheti a logikai alkalmazások más Azure-bérlői által gyakorolt teljesítményt, és elkerülheti a számítási erőforrások más bérlőkkel való megosztását.

• Saját kód futtatásához vagy XML-átalakítás végrehajtásához hozzon létre és hívjon meg egy Azure-függvényt ahelyett, hogy a beágyazott kódképességet használna, vagy térképként használható szerelvényeket biztosít. Emellett állítsa be a függvényalkalmazás üzemeltetési környezetét, hogy megfeleljen az elkülönítési követelményeknek.

  Az 5. hatásszint követelményeinek való megfelelés érdekében például hozza létre a függvényalkalmazást a App Service csomaggal az Izolált tarifacsomag és egy App Service Environment (ASE) használatával, amely szintén az Izolált tarifacsomagot használja. Ebben a környezetben a függvényalkalmazások dedikált Azure-beli virtuális gépeken és dedikált Azure-beli virtuális hálózatokon futnak, amelyek hálózatelkülönítést biztosítanak az alkalmazások számítási elkülönítésén és a maximális felskálázási képességeken felül.

  További információért tekintse át a következő dokumentációt:

  • Azure App Service csomagok
  • Az Azure Functions hálózatkezelési lehetőségei
  • Azure Dedicated Hosts virtuális gépekhez
  • Virtuális gépek elkülönítése az Azure-ban
  • Dedikált Azure-szolgáltatások üzembe helyezése virtuális hálózatokban

• Attól függően, hogy használatalapú vagy Standard logikai alkalmazásokkal rendelkezik, az alábbi lehetőségek állnak rendelkezésére:

  • A standard logikai alkalmazások esetében privát és biztonságos kommunikációt végezhet a logikai alkalmazás munkafolyamatai és az Azure-beli virtuális hálózatok között, ha privát végpontokat állít be a bejövő forgalomhoz, és virtuális hálózati integrációt használ a kimenő forgalomhoz. További információkért tekintse át a virtuális hálózatok és az egybérlős Azure Logic Apps privát végpontok használatával történő biztonságos forgalmát.

  • Használatalapú logikai alkalmazások esetén létrehozhatja és üzembe helyezheti ezeket a logikai alkalmazásokat egy integrációs szolgáltatási környezetben (ISE). Így a logikai alkalmazások dedikált erőforrásokon futnak, és hozzáférhetnek egy Azure-beli virtuális hálózat által védett erőforrásokhoz. Az Azure Storage által használt titkosítási kulcsok nagyobb mértékű szabályozásához saját kulcsot állíthat be, használhat és kezelhet az Azure Key Vault használatával. Ezt a képességet "Saját kulcs használata" (BYOK) néven ismerjük, és a kulcs neve "ügyfél által felügyelt kulcs". További információ: Ügyfél által felügyelt kulcsok beállítása inaktív adatok titkosításához integrációs szolgáltatási környezetekhez (ISE-k) az Azure Logic Appsben.

  Fontos

  Egyes Azure-beli virtuális hálózatok privát végpontokat (Azure Private Link) használnak az Azure PaaS-szolgáltatásokhoz, például az Azure Storage-hoz, az Azure Cosmos DB-hez vagy Azure SQL Database-hez, partnerszolgáltatásokhoz vagy az Azure-ban üzemeltetett ügyfélszolgálatokhoz való hozzáféréshez.

  Ha a munkafolyamatoknak privát végpontokat használó virtuális hálózatokhoz kell hozzáférnie, és ezeket a munkafolyamatokat a Logic App (Használat) erőforrástípussal szeretné fejleszteni, létre kell hoznia és futtatnia kell a logikai alkalmazásokat egy ISE-ben. Ha azonban ezeket a munkafolyamatokat a Logic App (Standard) erőforrástípussal szeretné fejleszteni, nincs szükség ISE-re. Ehelyett a munkafolyamatok privát és biztonságos kommunikációt végezhetnek a virtuális hálózatokkal, ha privát végpontokat használnak a bejövő forgalomhoz, és virtuális hálózati integrációt a kimenő forgalomhoz. További információkért tekintse át a virtuális hálózatok és az egybérlős Azure Logic Apps privát végpontok használatával történő biztonságos forgalmát.

Az elkülönítésről az alábbi dokumentációban talál további információt:

• Elkülönítés az Azure nyilvános felhőben
• Fokozottan bizalmas IaaS-alkalmazások biztonsága az Azure-ban

Következő lépések

• Az Azure biztonsági alapkonfigurációja az Azure Logic Appshez
• Az Azure Logic Apps üzembe helyezésének automatizálása
• Logikai alkalmazások monitorozása