Bloccare l'utilizzo del connettore in App per la logica di Azure

  • Articolo

Si applica a: App per la logica di Azure (consumo + standard)

Se l'organizzazione non consente la connessione a risorse limitate o non approvati usando i connettori gestiti in App per la logica di Azure, è possibile bloccare la funzionalità di creare e usare tali connessioni nei flussi di lavoro dell'app per la logica. Con Criteri di Azure è possibile definire e applicare criteri che impediscono la creazione o l'uso di connessioni per i connettori che si desidera bloccare. Ad esempio, per motivi di sicurezza, è possibile bloccare le connessioni a piattaforme di social media specifiche o ad altri servizi e sistemi.

Questo articolo illustra come configurare criteri che bloccano connessioni specifiche usando il portale di Azure, ma è possibile creare definizioni di criteri in altri modi. Ad esempio, è possibile usare l'API REST di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e i modelli di Azure Resource Manager. Per altre informazioni, vedere Esercitazione: Creare e gestire i criteri per applicare la conformità.

Prerequisiti

  • Account e sottoscrizione di Azure. Se non si ha una sottoscrizione, creare un account Azure gratuito.

  • ID di riferimento per il connettore che si vuole bloccare. Per altre informazioni, vedere Trovare l'ID di riferimento del connettore.

Trovare l'ID di riferimento del connettore

Se si dispone già di un'app per la logica con la connessione che si vuole bloccare, seguire la procedura per il portale di Azure. In caso contrario, seguire questa procedura:

documentazione di riferimento di Connessione or

  1. Esaminare Connessione ors per App per la logica di Azure.

  2. Trovare la pagina di riferimento per il connettore che si vuole bloccare.

    Ad esempio, se vuoi bloccare il connettore Instagram, che è deprecato, vai a questa pagina:

    https://learn.microsoft.com/connectors/instagram/

  3. Dall'URL della pagina copiare e salvare l'ID riferimento connettore alla fine senza la barra (/), ad esempio instagram.

    In seguito, quando si crea la definizione dei criteri, si usa questo ID nell'istruzione condition della definizione, ad esempio:

    "like": "*managedApis/instagram"

Azure portal

  1. Nella portale di Azure trovare e aprire il flusso di lavoro dell'app per la logica.

  2. Nel menu dell'app per la logica selezionare una delle opzioni seguenti:

    • App per la logica a consumo: in Strumenti di sviluppo selezionare Connessioni API.

    • App per la logica standard: in Flussi di lavoro selezionare Connessione ions. Nel riquadro Connessione ions selezionare Api Connessione ions se non è già selezionato.

    1. Nel riquadro Connessioni API selezionare la connessione. Quando si apre il riquadro di connessione, nell'angolo superiore destro selezionare Visualizzazione JSON.

    2. Trovare l'oggetto api , che contiene una proprietà e un id valore con il formato seguente:

      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

      L'esempio seguente mostra la proprietà e il id valore per una connessione Instagram:

      "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

    3. Dal valore della id proprietà copiare e salvare l'ID riferimento connettore alla fine, instagramad esempio .

      In seguito, quando si crea la definizione dei criteri, si usa questo ID nell'istruzione condition della definizione, ad esempio:

      "like": "*managedApis/instagram"

Creazione di connessioni in blocco

Per bloccare completamente la creazione di una connessione in un flusso di lavoro dell'app per la logica, seguire questa procedura:

  1. Nella casella di ricerca portale di Azure immettere i criteri e selezionare Criteri.

    Screenshot showing main Azure portal search box with

  2. Nel menu Criteri, in Creazione, selezionare Definizioni. Sulla barra degli strumenti del riquadro Definizioni selezionare Definizione dei criteri.

    Screenshot showing the

  3. Nel riquadro Definizione criteri specificare le informazioni per la definizione dei criteri, in base alle proprietà descritte nell'esempio:

    Screenshot showing the policy definition properties.

    Proprietà Richiesto Valore Descrizione
    Posizione della definizione <Azure-subscription-name> Sottoscrizione di Azure da usare per la definizione dei criteri

    1. Per trovare la sottoscrizione, selezionare il pulsante con i puntini di sospensione (...).
    2. Dall'elenco Sottoscrizioni trovare e selezionare la sottoscrizione.
    3. Al termine, selezionare Seleziona.
    Nome <policy-definition-name> Nome da usare per la definizione dei criteri
    Descrizione No <policy-definition-name> Descrizione per la definizione dei criteri
    Categoria App per la logica Nome di una categoria esistente o di una nuova categoria per la definizione dei criteri
    Applicazione dei criteri Abilitato Questa impostazione specifica se abilitare o disabilitare la definizione dei criteri quando si salva il lavoro.

  4. In REGOLA DEI CRITERI la casella di modifica JSON è prepopolata con un modello di definizione dei criteri. Sostituire questo modello con la definizione dei criteri in base alle proprietà descritte nella tabella seguente e seguendo questa sintassi:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Proprietà valore Descrizione
    mode All Modalità che determina i tipi di risorse valutati dai criteri.

    Questo scenario imposta su modeAll, che applica i criteri a gruppi di risorse, sottoscrizioni e tutti i tipi di risorse di Azure.

    Per altre informazioni, vedere Struttura della definizione dei criteri - modalità.
    if {condition-to-evaluate} Condizione che determina quando applicare la regola dei criteri

    In questo scenario, determina {condition-to-evaluate} se il api.id valore in corrisponde a Microsoft.Web/connections/api.id in *managedApis/{connector-name}, che specifica un valore con caratteri jolly (*) .

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    field Microsoft.Web/connections/api.id Valore field da confrontare con la condizione

    In questo scenario, field usa l'alias , Microsoft.Web/connections/api.idper accedere al valore nella proprietà del connettore , . api.id
    like *managedApis/{connector-name} Operatore logico e valore da usare per confrontare il field valore

    In questo scenario, l'operatore like e il carattere jolly (*) assicurano che la regola funzioni indipendentemente dall'area e la stringa, *managedApis/{connector-name}, è il valore da trovare {connector-name} dove corrisponde all'ID del connettore che si vuole bloccare.

    Si supponga, ad esempio, di voler bloccare la creazione di connessioni a piattaforme o database di social media:

    -Twitter: twitter
    -Instagram: instagram
    -Facebook: facebook
    -Pinterest: pinterest
    - SQL Server o Azure SQL: sql

    Per trovare questi ID connettore, vedere Trovare l'ID di riferimento del connettore più indietro in questo argomento.
    then {effect-to-apply} Effetto da applicare quando viene soddisfatta la if condizione

    In questo scenario, consiste nel {effect-to-apply} bloccare e non riuscire una richiesta o un'operazione che non è conforme ai criteri.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    effect deny effect consiste nel bloccare la richiesta, che consiste nel creare la connessione specificata

    Per altre informazioni, vedere Informazioni sugli effetti Criteri di Azure - Nega.

    Si supponga, ad esempio, di voler bloccare la creazione di connessioni con il connettore Instagram. Ecco la definizione dei criteri che è possibile usare:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    Ecco il modo in cui viene visualizzata la casella REGOLA CRITERI:

    Screenshot showing the

    Per più connettori, è possibile aggiungere altre condizioni, ad esempio:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/instagram"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/twitter"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Al termine, seleziona Salva. Dopo aver salvato la definizione dei criteri, Criteri di Azure genera e aggiunge altri valori di proprietà alla definizione dei criteri.

  6. Successivamente, per assegnare la definizione dei criteri in cui si vuole applicare i criteri, creare un'assegnazione di criteri.

Per altre informazioni sulle definizioni di Criteri di Azure, vedere gli argomenti seguenti:

Bloccare l'associazione di connessioni alle app per la logica

Quando si crea una connessione in un flusso di lavoro dell'app per la logica, questa connessione esiste come risorsa di Azure separata. Se si elimina solo il flusso di lavoro dell'app per la logica, la risorsa di connessione non viene eliminata automaticamente e continua a esistere fino a quando non viene eliminata. Potrebbe essere presente uno scenario in cui la risorsa di connessione esiste già o in cui è necessario creare la risorsa di connessione da usare all'esterno dell'app per la logica. È comunque possibile bloccare la funzionalità di associare la connessione a un flusso di lavoro diverso dell'app per la logica creando un criterio che impedisce il salvataggio dei flussi di lavoro dell'app per la logica che tentano di usare la connessione limitata o non approvata. Questo criterio influisce solo sui flussi di lavoro delle app per la logica che non usano già la connessione.

  1. Nella casella di ricerca portale di Azure immettere i criteri e selezionare Criteri.

    Screenshot showing the Azure portal search box with

  2. Nel menu Criteri, in Creazione, selezionare Definizioni. Sulla barra degli strumenti del riquadro Definizioni selezionare Definizione dei criteri.

    Screenshot showing

  3. In Definizione dei criteri fornire le informazioni per la definizione dei criteri, in base alle proprietà descritte nell'esempio e continua usando Instagram come esempio:

    Screenshot showing policy definition properties.

    Proprietà Richiesto Valore Descrizione
    Posizione della definizione <Azure-subscription-name> Sottoscrizione di Azure da usare per la definizione dei criteri

    1. Per trovare la sottoscrizione, selezionare il pulsante con i puntini di sospensione (...).
    2. Dall'elenco Sottoscrizioni trovare e selezionare la sottoscrizione.
    3. Al termine, selezionare Seleziona.
    Nome <policy-definition-name> Nome da usare per la definizione dei criteri
    Descrizione No <policy-definition-name> Descrizione per la definizione dei criteri
    Categoria App per la logica Nome di una categoria esistente o di una nuova categoria per la definizione dei criteri
    Applicazione dei criteri Abilitato Questa impostazione specifica se abilitare o disabilitare la definizione dei criteri quando si salva il lavoro.

  4. In REGOLA DEI CRITERI la casella di modifica JSON è prepopolata con un modello di definizione dei criteri. Sostituire questo modello con la definizione dei criteri in base alle proprietà descritte nella tabella seguente e seguendo questa sintassi:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Proprietà valore Descrizione
    mode All Modalità che determina i tipi di risorse valutati dai criteri.

    Questo scenario imposta su modeAll, che applica i criteri a gruppi di risorse, sottoscrizioni e tutti i tipi di risorse di Azure.

    Per altre informazioni, vedere Struttura della definizione dei criteri - modalità.
    if {condition-to-evaluate} Condizione che determina quando applicare la regola dei criteri

    In questo scenario, determina {condition-to-evaluate} se l'output della stringa di [string(field('Microsoft.Logic/workflows/parameters'))]contiene la stringa , {connector-name}.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    value [string(field('Microsoft.Logic/workflows/parameters'))] Valore da confrontare con la condizione

    In questo scenario, value è l'output stringa di [string(field('Microsoft.Logic/workflows/parameters'))], che converte l'oggetto $connectors all'interno dell'oggetto Microsoft.Logic/workflows/parameters in una stringa.
    contains {connector-name} Operatore logico e valore da utilizzare per il confronto con la value proprietà

    In questo scenario, l'operatore contains verifica che la regola funzioni indipendentemente dalla posizione in cui {connector-name} viene visualizzata la stringa, {connector-name}, è l'ID del connettore che si vuole limitare o bloccare.

    Si supponga, ad esempio, di voler bloccare l'uso di connessioni a piattaforme o database di social media:

    -Twitter: twitter
    -Instagram: instagram
    -Facebook: facebook
    -Pinterest: pinterest
    - SQL Server o Azure SQL: sql

    Per trovare questi ID connettore, vedere Trovare l'ID di riferimento del connettore più indietro in questo argomento.
    then {effect-to-apply} Effetto da applicare quando viene soddisfatta la if condizione

    In questo scenario, consiste nel {effect-to-apply} bloccare e non riuscire una richiesta o un'operazione che non è conforme ai criteri.

    Per altre informazioni, vedere Struttura della definizione dei criteri - Regola dei criteri.
    effect deny effect deve deny o bloccare la richiesta di salvare un'app per la logica che usa la connessione specificata

    Per altre informazioni, vedere Informazioni sugli effetti Criteri di Azure - Nega.

    Si supponga, ad esempio, di voler bloccare il salvataggio delle app per la logica che usano connessioni Instagram. Ecco la definizione dei criteri che è possibile usare:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    Ecco il modo in cui viene visualizzata la casella REGOLA CRITERI:

    Screenshot showing policy definition rule.

  5. Al termine, seleziona Salva. Dopo aver salvato la definizione dei criteri, Criteri di Azure genera e aggiunge altri valori di proprietà alla definizione dei criteri.

  6. Successivamente, per assegnare la definizione dei criteri in cui si vuole applicare i criteri, creare un'assegnazione di criteri.

Per altre informazioni sulle definizioni di Criteri di Azure, vedere gli argomenti seguenti:

Crea assegnazione criteri

Successivamente, è necessario assegnare la definizione di criteri in cui si vuole applicare i criteri, ad esempio, a un singolo gruppo di risorse, a più gruppi di risorse, al tenant Microsoft Entra o alla sottoscrizione di Azure. Per questa attività, seguire questa procedura per creare un'assegnazione di criteri:

  1. Nella casella di ricerca portale di Azure portale immettere i criteri e selezionare Criteri.

    Screenshot showing Azure portal search box with

  2. Nel menu Criteri, in Creazione, selezionare Assegnazioni. Sulla barra degli strumenti del riquadro Assegnazioni selezionare Assegna criterio.

    Screenshot showing

  3. Nel riquadro Assegna criteri, in Informazioni di base, specificare queste informazioni per l'assegnazione dei criteri:

    Proprietà Richiesto Descrizione
    Scope Risorse in cui si vuole applicare l'assegnazione dei criteri.

    1. Accanto alla casella Ambito , selezionare il pulsante con i puntini di sospensione (...).
    2. Nell'elenco Sottoscrizioni selezionare la sottoscrizione di Azure.
    3. Facoltativamente, dall'elenco Gruppo di risorse selezionare il gruppo di risorse.
    4. Al termine, selezionare Seleziona.
    Esclusioni No Tutte le risorse di Azure da escludere dall'assegnazione dei criteri.

    1. Accanto alla casella Esclusioni, selezionare il pulsante con i puntini di sospensione (...).
    2. Nell'elenco Risorse selezionare la risorsa >Aggiungi all'ambito selezionato.
    3. Al termine, selezionare Salva.
    Definizione criteri Nome della definizione di criteri da assegnare e applicare. Questo esempio continua con i criteri Instagram di esempio, "Blocca connessioni Instagram".

    1. Accanto alla casella Definizione criteri , selezionare il pulsante con i puntini di sospensione (...).
    2. Trovare e selezionare la definizione dei criteri usando il filtro Tipo o la casella di ricerca .
    3. Al termine, selezionare Seleziona.
    Nome dell'assegnazione Nome da usare per l'assegnazione di criteri, se diverso dalla definizione dei criteri
    ID assegnazione ID generato automaticamente per l'assegnazione dei criteri
    Descrizione No Descrizione per l'assegnazione dei criteri
    Applicazione dei criteri Impostazione che abilita o disabilita l'assegnazione dei criteri
    Assegnato da No Nome della persona che ha creato e applicato l'assegnazione dei criteri

    Ad esempio, per assegnare i criteri a un gruppo di risorse di Azure usando l'esempio instagram:

    Screenshot showing policy assignment properties.

  4. Al termine, selezionare Rivedi e crea.

    Dopo aver creato un criterio, potrebbe essere necessario attendere fino a 15 minuti prima che il criterio abbia effetto. Le modifiche potrebbero anche avere effetti ritardati simili.

  5. Dopo l'applicazione del criterio, è possibile testare i criteri.

Per altre informazioni, vedere Avvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

Testare il criterio

Per provare i criteri, iniziare a creare una connessione usando il connettore con restrizioni nella finestra di progettazione del flusso di lavoro. Continuando con l'esempio instagram, quando si accede a Instagram, viene visualizzato questo errore che l'app per la logica non è riuscita a creare la connessione:

Screenshot showing connection failure due to applied policy.

Il messaggio include queste informazioni:

Descrizione Contenuto
Motivo dell'errore "Resource 'instagram' was disallowed by policy."
Nome dell'assegnazione "Block Instagram connections"
ID assegnazione "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID definizione criteri "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/b5ddcfec-1b24-4cac-a353-360846a59f24"

Passaggi successivi