Memicu Logic Apps dengan ekstensi kustom dalam pengelolaan pemberian izin

  • Artikel

Azure Logic Apps dapat digunakan untuk mengotomatiskan alur kerja kustom dan menghubungkan aplikasi dan layanan di satu tempat. Pengguna dapat mengintegrasikan Logic Apps dengan pengelolaan pemberian hak untuk memperluas alur kerja tata kelola mereka di luar kasus penggunaan manajemen hak inti.

Logic Apps ini kemudian dapat dipicu untuk berjalan sesuai dengan kasus penggunaan pengelolaan pemberian hak seperti ketika paket akses diberikan atau diminta. Misalnya, admin dapat membuat dan menautkan Aplikasi Logika kustom ke pengelolaan pemberian hak, sehingga ketika pengguna meminta paket akses, Aplikasi Logika dipicu yang memastikan pengguna juga diberi karakteristik tertentu di aplikasi SAAS pihak ketiga (seperti Salesforce) atau dikirimi email kustom.

Kasus penggunaan pengelolaan pemberian izin yang dapat diintegrasikan dengan Logic Apps mencakup tahapan berikut. Ini adalah pemicu yang terkait dengan paket akses yang dapat meluncurkan ekstensi kustom Logic App:

  • Saat permintaan paket akses dibuat

  • Ketika permintaan paket akses disetujui

  • Saat penetapan paket akses diberikan

  • Saat penetapan paket akses dihapus

  • 14 hari sebelum penetapan paket akses kedaluwarsa otomatis

  • Satu hari sebelum penetapan paket akses kedaluwarsa otomatis

Pemicu ke Logic Apps ini dikontrol di tab dalam kebijakan paket akses yang disebut Aturan. Selain itu, tab Ekstensi Kustom di halaman Katalog memperlihatkan semua ekstensi Logic Apps yang ditambahkan untuk Katalog tertentu. Artikel ini menjelaskan cara membuat dan menambahkan aplikasi logika ke katalog dan mengakses paket dalam pengelolaan pemberian hak.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Membuat dan menambahkan alur kerja Aplikasi Logika ke katalog untuk digunakan dalam pengelolaan pemberian izin

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Peran prasyarat: Administrator global, administrator Tata Kelola Identitas, pemilik Katalog, atau Pemilik Grup Sumber Daya

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke Katalog tata kelola>identitas.

  3. Pilih katalog yang ingin Anda tambahkan ekstensi kustomnya lalu di menu sebelah kiri, pilih Ekstensi Kustom.

  4. Di bilah navigasi tajuk, pilih Tambahkan Ekstensi Khusus.

  5. Di tab Dasar , masukkan nama ekstensi kustom, yang seharusnya menjadi nama Aplikasi Logika yang Anda tautkan, dan deskripsi alur kerja. Bidang-bidang ini muncul di tab Ekstensi Kustom dari Katalog.

    Pane to create a custom extension

  6. Tab Jenis Ekstensi menentukan jenis kebijakan paket akses yang dapat Anda gunakan dengan ekstensi kustom. Jenis "Minta alur kerja" mendukung tahap kebijakan: paket akses yang diminta dibuat, ketika permintaan disetujui, saat penugasan diberikan, dan saat penugasan dihapus. Jenis ini juga mendukung Peluncuran dan tunggu. kapabilitas.

  7. Alur kerja pra-kedaluwarsa mendukung tahap kebijakan: 14 hari hingga penetapan paket akses kedaluwarsa, dan 1 hari hingga penetapan paket akses kedaluwarsa. Jenis ekstensi ini tidak mendukung Luncurkan dan Tunggu.

    Screenshot of launch and wait configuration options.

  8. Tab Konfigurasi Ekstensi memungkinkan Anda memutuskan apakah ekstensi Anda memiliki perilaku "luncurkan dan lanjutkan" atau "luncurkan dan tunggu". Dengan "Luncurkan dan lanjutkan" tindakan kebijakan tertaut pada paket akses, seperti permintaan, memicu Aplikasi Logika yang dilampirkan ke ekstensi kustom. Setelah Aplikasi Logika dipicu, proses pengelolaan pemberian hak yang terkait dengan paket akses akan berlanjut. Untuk "Luncurkan dan tunggu", kami akan menjeda tindakan paket akses terkait hingga setelah Aplikasi Logika yang ditautkan ke ekstensi menyelesaikan tugasnya, dan tindakan lanjutkan dikirim oleh admin untuk melanjutkan proses. Jika tidak ada respons yang dikirim kembali dalam periode waktu tunggu yang ditentukan, proses ini akan dianggap gagal. Proses ini dijelaskan lebih lanjut di bawah ini di bagiannya sendiri Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin.

  9. Di tab Detail , pilih apakah Anda ingin menggunakan Logic App paket konsumsi yang sudah ada. Memilih Ya di bidang "Buat aplikasi logika baru" (default) membuat Aplikasi Logika paket konsumsi kosong baru yang sudah ditautkan ke ekstensi kustom ini. Terlepas dari itu, Anda perlu menyediakan:

    1. Langganan Azure.

    2. Grup sumber daya yang memiliki izin pembuatan sumber daya Aplikasi Logika jika membuat Aplikasi Logika baru.

    3. Pilih "Buat Aplikasi Logika" jika menggunakan pengaturan tersebut.

      Screenshot of creating logic app detail selections.

    Catatan

    Saat membuat Aplikasi Logika baru dalam modal ini, panjang "/subscriptions/{SubscriptionId}/resourceGroups/{RG Name}/providers/Microsoft.Logic/workflows/{Logicapp Name}" tidak boleh melebihi 150 karakter.

  10. Di Tinjau dan Buat, tinjau ringkasan ekstensi kustom Anda dan pastikan detail untuk callout Aplikasi Logika Anda sudah benar. Lalu pilih Buat.

  11. Ekstensi kustom ini ke Aplikasi Logika tertaut ini sekarang muncul di tab Ekstensi Kustom Anda di bawah Katalog. Anda dapat memanggil ini dalam kebijakan paket akses.

Menampilkan dan Mengedit Ekstensi Kustom yang Ada untuk Katalog

Peran prasyarat: Administrator global, administrator Tata Kelola Identitas, atau pemilik Katalog

  1. Navigasi ke tab Ekstensi Kustom dalam Katalog seperti yang disebutkan sebelumnya.

  2. Di sini, Anda dapat melihat semua ekstensi kustom yang telah Anda buat, bersama dengan Aplikasi Logika terkait dan informasi tentang jenis ekstensi kustom. Screenshot of a list of custom extensions.

  3. Bersama dengan nama Aplikasi Logika, kolom Jenis menentukan apakah ekstensi kustom dibuat dalam model autentikasi V2 baru (setelah 17 Maret 2023), atau model asli. Jika ekstensi kustom dibuat dalam model baru, kolom Jenis cocok dengan jenis yang dipilih dari modal konfigurasi yang merupakan "permintaan penugasan" atau "pra-kedaluwarsa". Untuk ekstensi kustom yang lebih lama, jenis menunjukkan "paket akses kustom".

  4. Kolom Keamanan Token memperlihatkan kerangka kerja keamanan autentikasi terkait yang digunakan saat membuat ekstensi kustom. Ekstensi kustom V2 baru menunjukkan "proof-of-possession" (PoP) sebagai jenis keamanan token. Ekstensi kustom yang lebih lama menunjukkan "reguler".

  5. Ekstensi kustom gaya lama tidak lagi dapat dibuat dari UI, namun yang ada dapat dikonversi ke ekstensi kustom gaya baru dari UI. Screenshot of converting old security token to new.

  6. Memilih tiga titik di akhir baris ekstensi kustom lama memungkinkan Anda memperbarui ekstensi kustom ke jenis baru dengan cepat.

    Catatan

    Ekstensi kustom hanya dapat dikonversi ke jenis baru jika tidak digunakan, atau jika ekstensi tersebut digunakan secara eksklusif untuk tahap kebijakan dari satu jenis ekstensi tertentu (tahap permintaan penugasan atau tahap pra-kedaluwarsa).

  7. Anda juga dapat mengedit ekstensi kustom apa pun. Ini memungkinkan Anda memperbarui nama, deskripsi, dan nilai bidang lainnya. Ini dapat dicapai dengan memilih Edit di dalam panel tiga titik untuk ekstensi kustom apa pun.

  8. Ekstensi kustom gaya lama dapat terus digunakan dan diedit meskipun tidak dikonversi, meskipun tidak dapat lagi dibuat.

  9. Jika ekstensi kustom gaya lama tidak dapat diperbarui ke jenis baru karena sedang digunakan untuk tahap kebijakan, permintaan penugasan dan jenis pra-kedaluwarsa, maka untuk memperbaruinya, Anda harus menghapusnya dari semua kebijakan tertaut atau memastikannya hanya digunakan untuk tahap kebijakan yang terkait dengan jenis ONE (permintaan penugasan, atau sebelum kedaluwarsa).  

Menambahkan ekstensi kustom pada kebijakan dalam paket akses

Peran prasyarat: Administrator global, administrator Tata Kelola Identitas, Pemilik katalog, atau pengelola paket akses

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pilih paket akses yang ingin Anda tambahkan ekstensi kustom (aplikasi logika) dari daftar paket akses yang telah dibuat.

    Catatan

    Pilih Paket akses baru jika Anda ingin membuat paket akses baru. Untuk informasi selengkapnya tentang cara membuat paket akses, lihat Membuat paket akses baru dalam pengelolaan pemberian hak. Untuk informasi selengkapnya tentang cara mengedit paket akses yang sudah ada, lihat Mengubah pengaturan permintaan untuk paket akses di pengelolaan pemberian hak Microsoft Entra.

  4. Ubah pada kebijakan tab, pilih kebijakan dan pilih Edit.

  5. Di pengaturan kebijakan, buka tab Ekstensi Kustom.

  6. Pada menu di bawah Tahapan, pilih peristiwa paket akses yang ingin Anda gunakan sebagai pemicu untuk ekstensi khusus ini (Aplikasi Logika). Misalnya, jika Anda hanya ingin memicu alur kerja Aplikasi Logika ekstensi khusus saat pengguna meminta paket akses, pilih Permintaan dibuat.

  7. Pada menu beriku Ekstensi Khusus, pilih ekstensi khusus (Aplikasi Logika) yang ingin Anda tambahkan ke paket akses. Tindakan yang Anda pilih dijalankan saat peristiwa dipilih di bidang kapan terjadi.

  8. Pilih Perbarui jika Anda ingin menambahkannya ke kebijakan paket akses yang ada.

    Add a Logic App to access package

Mengedit definisi alur kerja Aplikasi Logika tertaut

Peran prasyarat: Administrator global, administrator Tata Kelola Identitas, atau pemilik Katalog

Untuk Logic Apps yang baru dibuat yang ditautkan ke ekstensi kustom, Logic Apps ini mulai kosong. Untuk membuat alur kerja di Logic Apps yang akan dipicu oleh ekstensi saat kondisi kebijakan paket akses tertaut dipicu, Anda perlu mengedit definisi alur kerja Aplikasi Logika di perancang Aplikasi Logika. Untuk mencapai hal ini, Anda akan mengikuti langkah-langkah berikut:

  1. Navigasi ke tab Ekstensi Kustom dalam Katalog seperti yang disebutkan di bagian di atas.

  2. Pilih ekstensi kustom yang ingin Anda edit Aplikasi Logikanya.

  3. Pilih Aplikasi Logika di bawah kolom Aplikasi logika untuk baris ekstensi kustom terkait. Ini memungkinkan Anda mengedit atau membuat alur kerja di perancang Aplikasi Logika.

Untuk informasi selengkapnya tentang membuat alur kerja aplikasi logika, lihat Mulai Cepat: Membuat contoh alur kerja Konsumsi di Azure Logic Apps multi-penyewa.

Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin

Pembaruan baru untuk fitur ekstensi kustom adalah kemampuan untuk menjeda proses kebijakan paket akses yang terkait dengan ekstensi kustom sampai setelah Aplikasi Logika selesai, dan payload permintaan resume dikirim kembali ke pengelolaan pemberian hak. Misalnya, jika ekstensi kustom untuk Aplikasi Logika dipicu dari kebijakan pemberian paket akses, dan "peluncuran dan tunggu" diaktifkan, setelah Aplikasi Logika dipicu proses pemberian tidak akan dilanjutkan sampai setelah Aplikasi Logika selesai, dan permintaan resume dikirim kembali ke pengelolaan pemberian hak.

Proses jeda ini memungkinkan admin memiliki kontrol alur kerja yang ingin mereka jalankan sebelum melanjutkan tugas siklus hidup akses dalam pengelolaan pemberian hak. Satu-satunya pengecualian untuk ini adalah jika waktu habis terjadi. Proses peluncuran dan tunggu memerlukan batas waktu hingga 14 hari yang dicatat dalam menit, jam, atau hari. Jika respons resume tidak dikirim kembali ke pengelolaan pemberian izin pada saat periode "batas waktu" berlalu, proses alur kerja permintaan pengelolaan pemberian izin akan dijeda.

Admin bertanggung jawab untuk mengonfigurasi proses otomatis yang dapat mengirim payload permintaan resume API kembali ke pengelolaan pemberian hak, setelah alur kerja Aplikasi Logika selesai. Untuk mengirim kembali payload permintaan resume, ikuti instruksi di sini di dokumen API grafik. Lihat informasi di sini tentang permintaan resume.

Secara khusus, ketika kebijakan paket akses telah diaktifkan untuk memanggil ekstensi kustom dan pemrosesan permintaan menunggu panggilan balik dari pelanggan, pelanggan dapat memulai tindakan resume. Ini dilakukan pada objek accessPackageAssignmentRequest yang requestStatus-nya dalam status WaitingForCallback.

Permintaan resume dapat dikirim kembali untuk tahap berikut:

microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestApproved microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestGranted microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestRemoved

Diagram alur berikut menunjukkan callout pengelolaan pemberian izin ke alur kerja Logic Apps: A diagram of the entitlement management call to the logic apps workflow.

Diagram alur diagram menunjukkan:

  1. Pengguna membuat titik akhir kustom yang dapat menerima panggilan dari Layanan Identitas
  2. Layanan identitas melakukan panggilan pengujian untuk mengonfirmasi titik akhir dapat dipanggil oleh Layanan Identitas
  3. Pengguna memanggil Graph API untuk meminta menambahkan pengguna ke paket akses
  4. Layanan Identitas ditambahkan ke antrean yang memicu alur kerja backend
  5. Pemrosesan permintaan Layanan Pengelolaan Pemberian Izin memanggil aplikasi logika dengan payload permintaan
  6. Alur kerja mengharapkan kode yang diterima
  7. Layanan Pengelolaan Pemberian Izin menunggu tindakan kustom pemblokiran dilanjutkan
  8. Sistem pelanggan memanggil API resume permintaan ke layanan identitas untuk melanjutkan pemrosesan permintaan
  9. Layanan identitas menambahkan pesan permintaan resume ke antrean Layanan Pengelolaan Pemberian Izin yang melanjutkan alur kerja backend
  10. Layanan Pengelolaan Pemberian Izin dilanjutkan dari status yang diblokir

Contoh payload permintaan resume adalah:

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/0e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "assignmentRequestCreated",
    "customExtensionStageInstanceId": "957d0c50-466b-4840-bb5b-c92cea7141ff",
    "customExtensionStageInstanceDetail": "This user is all verified"
  }
}

Dengan Peluncuran dan tunggu, admin juga memiliki kemampuan untuk menolak permintaan jika ekstensi ditautkan ke tahap paket akses "permintaan dibuat" atau "permintaan disetujui". Dalam kasus ini, Aplikasi Logika dapat mengirim kembali pesan "tolak" ke pengelolaan pemberian hak, yang akan mengakhiri proses sebelum pengguna akhir menerima paket akses.

Seperti disebutkan, ekstensi kustom yang dibuat dengan jenis alur kerja permintaan, yang mencakup empat tahap kebijakan terkait, dapat diaktifkan dengan "Luncurkan dan tunggu" jika diinginkan.

Berikut ini adalah contoh untuk melanjutkan pemrosesan permintaan penetapan paket akses dengan menolak permintaan yang menunggu panggilan balik. Permintaan tidak dapat ditolak pada tahap assignmentRequestCreated callout.

POST https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/9e60f18c-b2a0-4887-9da8-da2e30a39d99/resume

Content-Type: application/json

{
  "source": "Contoso.SodCheckProcess",
  "type": "microsoft.graph.accessPackageCustomExtensionStage.assignmentRequestCreated",
  "data": {
    "@odata.type": "microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "stage": "AssignmentRequestCreated",
    "customExtensionStageInstanceId": "857d0c50-466b-4840-bb5b-c92cea7141ff",
    "state": "denied",
    "customExtensionStageInstanceDetail": "Potential risk user based on the SOD check"
  }
}

Pengalaman pengguna akhir ekstensi

Pengalaman pemberi persetujuan

Pemberi izin melihat string yang ditentukan dalam payload permintaan resume di bawah customExtensionStageInstanceDetail seperti yang ditunjukkan pada payload yang terletak di Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin. Screenshot of the approver screen.

Pengalaman pemohon

Ketika paket akses memiliki ekstensi kustom dengan fungsi peluncuran dan tunggu, dan Aplikasi Logika dipicu saat permintaan paket akses dibuat, pemohon dapat melihat status permintaan mereka dalam riwayat permintaan di MyAccess.

Pembaruan status berikut ditampilkan kepada pengguna berdasarkan tahap ekstensi kustom mereka:

Tahap Ekstensi Kustom Pesan ditampilkan kepada pemohon dalam riwayat permintaan MyAccess
Ketika ekstensi sedang diproses Menunggu informasi sebelum melanjutkan
Ketika ekstensi gagal Proses kedaluwarsa
Saat ekstensi dilanjutkan Proses berlanjut

Ini adalah contoh riwayat permintaan MyAccess dari pemohon setelah ekstensi dilanjutkan:

Screenshot of the requestor screen.

Pemecahan masalah dan Validasi

Untuk ekstensi kustom yang terkait dengan permintaan, Anda dapat melihat detail tentang proses ekstensi kustom (dan luncurkan dan tunggu jika diaktifkan) dari tautan Detail riwayat permintaan dalam halaman detail permintaan dari paket akses terkait.

Screenshot of requesting history for a custom task extension.Screenshot of selection details for custom task extension.

Misalnya, di sini Anda dapat melihat waktu permintaan dikirimkan, dan waktu peluncuran dan proses tunggu (menunggu panggilan balik) dimulai. Permintaan disetujui, dan tahap pengelolaan pemberian izin "dilanjutkan", setelah Aplikasi Logika dijalankan dan permintaan resume dikembalikan pada pukul 12:15.

Selain itu, tautan instans ekstensi Kustom baru dalam detail permintaan menampilkan informasi tentang ekstensi kustom yang terkait dengan paket akses untuk permintaan tersebut.
Screenshot of selection details list items.

Ini menunjukkan ID ekstensi kustom dan statusnya. Informasi ini berubah berdasarkan apakah ada panggilan balik peluncuran dan tunggu terkait.

Untuk memverifikasi bahwa ekstensi kustom Anda telah memicu Logic App terkait dengan benar, Anda juga dapat melihat log Logic App, yang memiliki tanda waktu kapan Aplikasi Logika terakhir dijalankan.

Langkah berikutnya