Toegang tot Azure-resources verifiëren met beheerde identiteiten in Azure Logic Apps
Sommige triggers en acties in werkstromen van logische apps ondersteunen het gebruik van een beheerde identiteit ,voorheen bekend als een Managed Service Identity (MSI), voor het verifiëren van verbindingen met resources die zijn beveiligd met Azure Active Directory (Azure AD). Wanneer voor uw logische app-resource een beheerde identiteit is ingeschakeld, hoeft u geen referenties, geheimen of Azure AD-tokens op te geven. Azure beheert deze identiteit en helpt bij het beveiligen van verificatiegegevens omdat u deze gevoelige informatie niet hoeft te beheren.
Azure Logic Apps ondersteunt de door het systeem toegewezen beheerde identiteit ,die u kunt gebruiken met slechts één logische app-resourceen de door de gebruiker toegewezen beheerde identiteit, die u kunt delen in een groep resources voor logische apps, op basis van waar de werkstromen van uw logische app worden uitgevoerd.
| Resourcetype logische app | Omgeving | Description |
|---|---|---|
| Verbruik | - Multi-tenant Azure Logic Apps - Integratieserviceomgeving (ISE) |
U kunt de door het systeem toegewezen identiteit of één door de gebruiker toegewezen identiteit inschakelen en gebruiken op resourceniveau en verbindingsniveau van de logische app. |
| Standard | - Een Azure Logic Apps - App Service Environment v3 (ASEv3) - Azure Arc ingeschakeld Logic Apps |
Op dit moment kunt u alleen de door het systeem toegewezen identiteit gebruiken, die automatisch wordt ingeschakeld. De door de gebruiker toegewezen identiteit is momenteel niet beschikbaar. |
Voor meer informatie over beheerde identiteitslimieten in Azure Logic Apps, bekijkt u Limieten voor beheerde identiteiten voor logische apps. Lees de volgende documentatie voor meer informatie over de resourcetypen en omgevingen van logische apps voor verbruik en standaard:
- Wat is Azure Logic Apps?
- Serviceomgeving met één tenant versus multi-tenant en integratieservice
- Azure Arc ingeschakeld Logic Apps
Waar u een beheerde identiteit kunt gebruiken
Alleen specifieke ingebouwde en beheerde connectorbewerkingen die Azure AD Open Authentication (Azure AD OAuth) ondersteunen, kunnen een beheerde identiteit gebruiken voor verificatie. De volgende tabel bevat alleen een voorbeeldselectie. Voor een volledigere lijst bekijkt u Verificatietypen voor triggers en acties die ondersteuning bieden voor verificatie en Azure-services die ondersteuning bieden voor Azure AD-verificatie met beheerde identiteiten.
De volgende tabel bevat de bewerkingen waar u de door het systeem toegewezen beheerde identiteit of door de gebruiker toegewezen beheerde identiteit in het resourcetype Logische app (verbruik) kunt gebruiken:
| Het type bewerking | Ondersteunde bewerkingen |
|---|---|
| Ingebouwd | - Azure API Management - Azure-app Services - Azure Functions - HTTP - HTTP + Webhook Opmerking: HTTP-bewerkingen kunnen verbindingen met Azure Storage Azure-firewalls verifiëren met de door het systeem toegewezen identiteit. Ze bieden echter geen ondersteuning voor de door de gebruiker toegewezen beheerde identiteit voor het verifiëren van dezelfde verbindingen. |
| Beheerde connector (Preview) | Eén verificatie: - Azure Automation - Azure Event Grid - Azure Key Vault - Azure Resource Manager - HTTP met Azure AD Meervoudige verificatie: |
In dit artikel wordt beschreven hoe u de door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit kunt inschakelen en instellen, op basis van of u het resourcetype Logische app (verbruik) of Logische app (standaard) gebruikt. In tegenstelling tot de door het systeem toegewezen identiteit, die u niet handmatig hoeft te maken, moet u de door de gebruiker toegewezen identiteit voor het resourcetype Logische app (verbruik) handmatig maken. Dit artikel bevat de stappen voor het maken van de door de gebruiker toegewezen identiteit met behulp van de Azure Portal en Azure Resource Manager -sjabloon (ARM-sjabloon). Voor Azure PowerShell, Azure CLI en Azure REST API, bekijkt u de volgende documentatie:
| Hulpprogramma | Documentatie |
|---|---|
| Azure PowerShell | Door de gebruiker toegewezen identiteit maken |
| Azure CLI | Door de gebruiker toegewezen identiteit maken |
| Azure REST API | Door de gebruiker toegewezen identiteit maken |
Vereisten
Een Azure-account en -abonnement. Als u nog geen abonnement hebt, meld u dan aan voor een gratis Azure-account. Zowel de beheerde identiteit als de Azure-doelresource waar u toegang nodig hebt, moeten hetzelfde Azure-abonnement gebruiken.
Als u een beheerde identiteit toegang wilt geven tot een Azure-resource, moet u een rol toevoegen aan de doelresource voor die identiteit. Als u rollen wilt toevoegen, hebt u Azure AD-beheerdersmachtigingen nodig die rollen kunnen toewijzen aan identiteiten in de bijbehorende Azure AD-tenant.
De Azure-doelresource die u wilt openen. Aan deze resource voegt u een rol toe voor de beheerde identiteit, waarmee de resource of verbinding van de logische app de toegang tot de doelresource kan verifiëren.
De resource van de logische app waar u de trigger of acties wilt gebruiken die beheerde identiteiten ondersteunen.
Resourcetype logische app Ondersteuning voor beheerde identiteiten Verbruik Door het systeem toegewezen of door de gebruiker toegewezen identiteit Standard Door het systeem toegewezen identiteit (automatisch ingeschakeld)
Door het systeem toegewezen identiteit inschakelen in Azure Portal
Open in Azure Portalde resource van uw logische app.
Selecteer in het menu van de logische app Instellingen identiteit.
Selecteer in het deelvenster Identiteit onder Systeem toegewezen de optie > Opslaan. Wanneer Azure u vraagt om te bevestigen, selecteert u Ja.
Notitie
Als er een foutbericht wordt weergegeven dat u slechts één beheerde identiteit kunt hebben, is uw logische app-resource al gekoppeld aan de door de gebruiker toegewezen identiteit. Voordat u de door het systeem toegewezen identiteit kunt toevoegen, moet u eerst de door de gebruiker toegewezen identiteit verwijderen uit uw logische app-resource.
Uw logische app-resource kan nu gebruikmaken van de door het systeem toegewezen identiteit, die is geregistreerd bij Azure AD en wordt vertegenwoordigd door een object-id.
Eigenschap Waarde Beschrijving Object-id (principal) <identity-resource-ID> Een Globally Unique Identifier (GUID) die de door het systeem toegewezen identiteit voor uw logische app in een Azure AD-tenant vertegenwoordigt. Volg nu de stappen die die identiteit toegang geven tot de resource verder in dit onderwerp.
Door het systeem toegewezen identiteit inschakelen in een ARM-sjabloon
Als u het maken en implementeren van Azure-resources, zoals logische apps, wilt automatiseren, kunt u een ARM-sjabloon gebruiken. Als u de door het systeem toegewezen beheerde identiteit voor uw logische app-resource in de sjabloon wilt inschakelen, voegt u het object en de onderliggende eigenschap toe aan de resourcedefinitie van de logische app in de identity type sjabloon, bijvoorbeeld:
{
"apiVersion": "2016-06-01",
"type": "Microsoft.logic/workflows",
"name": "[variables('logicappName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "SystemAssigned"
},
"properties": {},
<...>
}
Wanneer Azure de resourcedefinitie van uw logische app maakt, krijgt identity het object de volgende andere eigenschappen:
"identity": {
"type": "SystemAssigned",
"principalId": "<principal-ID>",
"tenantId": "<Azure-AD-tenant-ID>"
}
| Eigenschap (JSON) | Waarde | Beschrijving |
|---|---|---|
principalId |
<principal-id> | De Globally Unique Identifier (GUID) van het service-principal-object voor de beheerde identiteit die uw logische app in de Azure AD-tenant vertegenwoordigt. Deze GUID wordt soms weergegeven als een 'object-id' of objectID . |
tenantId |
<Azure-AD-tenant-ID> | De Globally Unique Identifier (GUID) die staat voor de Azure AD-tenant waar de logische app nu lid is. In de Azure AD-tenant heeft de service-principal dezelfde naam als het exemplaar van de logische app. |
Door de gebruiker toegewezen identiteit maken in de Azure Portal (alleen verbruik)
Voordat u de door de gebruiker toegewezen identiteit kunt inschakelen voor uw logische app-resource (verbruik), moet u die identiteit eerst als een afzonderlijke Azure-resource maken.
Voer in Azure Portal zoekvak
managed identitiesin. Selecteer Beheerde identiteiten.
Selecteer in het deelvenster Beheerde identiteiten de optie Maken.
Geef informatie op over uw beheerde identiteit en selecteer controleren en maken, bijvoorbeeld:
Eigenschap Vereist Waarde Beschrijving Abonnement Ja <Azure-subscription-name> De naam voor het te gebruiken Azure-abonnement Resourcegroep Ja <Naam-van-Azure-resourcegroep> De naam van de Azure-resourcegroep die u gaat gebruiken. Maak een nieuwe groep of selecteer een bestaande groep. In dit voorbeeld wordt een nieuwe groep gemaakt met de naam fabrikam-managed-identities-RG.Regio Ja <Azure-regio> De Azure-regio waar informatie over uw resource moet worden opgeslagen. In dit voorbeeld wordt US - west gebruikt. Naam Ja <user-assigned-identity-name> De naam die aan uw door de gebruiker toegewezen identiteit moet worden gegeven. In dit voorbeeld wordt Fabrikam-user-assigned-identitygebruikt.Na het valideren van de informatie maakt Azure uw beheerde identiteit. U kunt nu de door de gebruiker toegewezen identiteit toevoegen aan uw logische app-resource, die slechts één door de gebruiker toegewezen identiteit kan hebben.
Open in Azure Portal de resource van uw logische app.
Selecteer in het menu van de logische app Instellingen identiteit.
Selecteer in het deelvenster Identiteit de optie Door de gebruiker toegewezen > toevoegen.
Volg deze stappen in het deelvenster Door de gebruiker toegewezen beheerde identiteit toevoegen:
Selecteer uw Azure-abonnement in de lijst Abonnement, als dat nog niet is geselecteerd.
Selecteer in de lijst met alle beheerde identiteiten in dat abonnement de door de gebruiker toegewezen identiteit die u wilt. Als u de lijst wilt filteren, voert u in het zoekvak Door de gebruiker toegewezen beheerde identiteiten de naam in voor de identiteit of resourcegroep.
Wanneer u klaar bent, selecteert u Toevoegen.
Notitie
Als er een foutbericht wordt weergegeven dat u slechts één beheerde identiteit kunt hebben, is uw logische app al gekoppeld aan de door het systeem toegewezen identiteit. Voordat u de door de gebruiker toegewezen identiteit kunt toevoegen, moet u eerst de door het systeem toegewezen identiteit uitschakelen.
Uw logische app is nu gekoppeld aan de door de gebruiker toegewezen beheerde identiteit.
Volg nu de stappen die die identiteit toegang geven tot de resource verder in dit onderwerp.
Door de gebruiker toegewezen identiteit maken in een ARM-sjabloon (alleen verbruik)
Als u het maken en implementeren van Azure-resources, zoals logische apps, wilt automatiseren, kunt u een ARM-sjabloongebruiken die ondersteuning biedt voor door de gebruiker toegewezen identiteiten voor verificatie. In de sectie van uw sjabloon zijn de volgende items vereist voor de resourcedefinitie van uw logische resources app:
Een
identityobject met de eigenschap ingesteldtypeopUserAssignedEen onderliggend
userAssignedIdentitiesobject dat de door de gebruiker toegewezen resource en naam specificeert
In dit voorbeeld ziet u de resourcedefinitie van een logische app voor een HTTP PUT-aanvraag en een niet-geparameteriseerd identity object. Het antwoord op de PUT-aanvraag en de volgende GET-bewerking hebben ook dit identity object:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {<template-parameters>},
"resources": [
{
"apiVersion": "2016-06-01",
"type": "Microsoft.logic/workflows",
"name": "[variables('logicappName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
}
},
"properties": {
"definition": {<logic-app-workflow-definition>}
},
"parameters": {},
"dependsOn": []
},
],
"outputs": {}
}
Als uw sjabloon ook de resourcedefinitie van de beheerde identiteit bevat, kunt u het identity object parameteriseren. In dit voorbeeld ziet u hoe het userAssignedIdentities onderliggende object verwijst naar een userAssignedIdentity variabele die u definieert in de sectie van uw variables sjabloon. Deze variabele verwijst naar de resource-id voor uw door de gebruiker toegewezen identiteit.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"Template_LogicAppName": {
"type": "string"
},
"Template_UserAssignedIdentityName": {
"type": "securestring"
}
},
"variables": {
"logicAppName": "[parameters(`Template_LogicAppName')]",
"userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
},
"resources": [
{
"apiVersion": "2016-06-01",
"type": "Microsoft.logic/workflows",
"name": "[variables('logicAppName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
}
},
"properties": {
"definition": {<logic-app-workflow-definition>}
},
"parameters": {},
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
]
},
{
"apiVersion": "2018-11-30",
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[parameters('Template_UserAssignedIdentityName')]",
"location": "[resourceGroup().location]",
"properties": {}
}
]
}
Identiteit toegang geven tot resources
Voordat u de beheerde identiteit van uw logische app kunt gebruiken voor verificatie, moet u in de Azure-resource waar u de identiteit wilt gebruiken, toegang instellen voor uw identiteit met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). De stappen in deze sectie gaan over het toewijzen van de juiste rol aan die identiteit in de Azure-resource met behulp van de Azure Portal en Azure Resource Manager-sjabloon (ARM-sjabloon). Voor Azure PowerShell, Azure CLI en Azure REST API, bekijkt u de volgende documentatie:
| Hulpprogramma | Documentatie |
|---|---|
| Azure PowerShell | Roltoewijzing toevoegen |
| Azure CLI | Roltoewijzing toevoegen |
| Azure REST API | Roltoewijzing toevoegen |
Toegang op basis van beheerde identiteitsrol toewijzen in de Azure Portal
In de Azure-resource waar u de beheerde identiteit wilt gebruiken voor verificatie, moet u die identiteit toewijzen aan een rol die toegang heeft tot die doelresource. Bekijk Toegang tot een beheerde identiteit toewijzen aan een andere resource met behulp van Azure RBACvoor meer algemene informatie over deze taak.
Notitie
Wanneer een beheerde identiteit toegang heeft tot een Azure-resource in hetzelfde abonnement, heeft de identiteit alleen toegang tot die resource. In sommige triggers en acties die beheerde identiteiten ondersteunen, moet u echter eerst de Azure-resourcegroep selecteren die de doelresource bevat. Als de identiteit geen toegang heeft op het niveau van de resourcegroep, worden er geen resources in die groep weergegeven, ondanks dat ze toegang hebben tot de doelresource.
Als u dit gedrag wilt afhandelen, moet u de identiteit ook toegang geven tot de resourcegroep, niet alleen de resource. En als u uw abonnement moet selecteren voordat u de doelresource kunt selecteren, moet u de identiteit toegang geven tot het abonnement.
Open in Azure Portalde resource waar u de identiteit wilt gebruiken.
Selecteer in het menu van de resource Toegangsbeheer (IAM) > Roltoewijzing > toevoegen.
Notitie
Als de optie Roltoewijzing toevoegen is uitgeschakeld, hebt u geen machtigingen om rollen toe te wijzen. Bekijk ingebouwde Azure AD-rollen voor meer informatie.
Wijs nu de benodigde rol toe aan uw beheerde identiteit. Wijs op het tabblad Rol een rol toe die uw identiteit de vereiste toegang geeft tot de huidige resource.
In dit voorbeeld wijst u de rol toe met de naam Storage Blob Data Contributor, waaronder schrijftoegang voor blobs in een Azure Storage container. Zie Rollen die toegang hebben tot blobs in een container voor meer informatie over specifieke Azure Storage containerrollen.
Kies vervolgens de beheerde identiteit waar u de rol wilt toewijzen. Selecteer onder Toegang toewijzen aan de optie Beheerde identiteit Leden > toevoegen.
Selecteer of geef op basis van het type van uw beheerde identiteit de volgende waarden op:
Type Azure-service-exemplaar Abonnement Lid Door het systeem toegewezen Logische app <Azure-subscription-name> <your-logic-app-name> Door de gebruiker toegewezen (alleen verbruik) Niet van toepassing <Azure-subscription-name> <your-user-assigned-identity-name> Voor meer informatie over het toewijzen van rollen, bekijkt u de documentatie Rollen toewijzen met behulp van de Azure Portal.
Nadat u klaar bent met het instellen van toegang voor de identiteit, kunt u de identiteit gebruiken om toegang te verifiëren voor triggers en acties die beheerde identiteiten ondersteunen.
Toegang verifiëren met beheerde identiteit
Nadat u de beheerde identiteit voor uw logische app-resource hebt ingeschakeld en die identiteit toegang hebt verlenen tot de doelresource of -entiteit, kunt u die identiteit gebruiken in triggers en acties die beheerde identiteiten ondersteunen.
Belangrijk
Als u een Azure-functie hebt waarin u de door het systeem toegewezen identiteit wilt gebruiken, moet u eerst verificatie inschakelen Azure Functions.
Deze stappen laten zien hoe u de beheerde identiteit gebruikt met een trigger of actie via de Azure Portal. Als u de beheerde identiteit wilt opgeven in de onderliggende JSON-definitie van een trigger of actie, bekijkt u Verificatie van beheerde identiteit.
Open in Azure Portalde resource van uw logische app.
Als u dit nog niet hebt gedaan, voegt u de trigger of actie toe die beheerde identiteiten ondersteunt.
Notitie
Niet alle triggers en acties ondersteunen het toevoegen van een verificatietype. Bekijk Verificatietypen voor triggers en acties die ondersteuning bieden voor verificatie voor meer informatie.
Volg deze stappen voor de trigger of actie die u hebt toegevoegd:
Ingebouwde bewerkingen die verificatie van beheerde identiteiten ondersteunen
Voeg in de lijst Nieuwe parameter toevoegen de eigenschap Verificatie toe als de eigenschap nog niet wordt weergegeven.
Selecteer beheerde identiteit in de lijst Verificatietype.
Bekijk voor meer informatie Voorbeeld: Ingebouwde trigger of actie verifiëren met een beheerde identiteit.
Bewerkingen van beheerde connectors die verificatie van beheerde identiteiten ondersteunen (preview)
Selecteer op de selectiepagina van de tenant Verbinding maken beheerde identiteit (preview), bijvoorbeeld:
Geef op de volgende pagina bij Verbindingsnaam een naam op die moet worden gebruikt voor de verbinding.
Kies voor het verificatietype een van de volgende opties op basis van uw beheerde connector:
Eén verificatie: deze connectors ondersteunen slechts één verificatietype. Selecteer in de lijst Beheerde identiteit de momenteel ingeschakelde beheerde identiteit, als deze nog niet is geselecteerd, en selecteer vervolgens Maken, bijvoorbeeld:
Meervoudige verificatie: deze connectors ondersteunen meer dan één verificatietype. Selecteer in de lijst Verificatietype de Logic Apps Beheerde identiteit > maken, bijvoorbeeld:
Bekijk voor meer informatie Voorbeeld: Trigger of actie voor beheerde connector verifiëren met een beheerde identiteit.
Voorbeeld: Ingebouwde trigger of actie verifiëren met een beheerde identiteit
De ingebouwde HTTP-trigger of -actie kan gebruikmaken van de door het systeem toegewezen identiteit die u in uw logische app-resource inschakelen. Over het algemeen gebruikt de HTTP-trigger of -actie de volgende eigenschappen om de resource of entiteit op te geven die u wilt openen:
| Eigenschap | Vereist | Beschrijving |
|---|---|---|
| Methode | Yes | De HTTP-methode die wordt gebruikt door de bewerking die u wilt uitvoeren |
| URI | Yes | De eindpunt-URL voor toegang tot de Azure-doelresource of -entiteit. De URI-syntaxis bevat meestal de resource-id voor de Azure-resource of -service. |
| Kopteksten | No | Headerwaarden die u nodig hebt of wilt opnemen in de uitgaande aanvraag, zoals het inhoudstype |
| Query's | No | Queryparameters die u nodig hebt of wilt opnemen in de aanvraag, zoals de parameter voor een specifieke bewerking of de API-versie voor de bewerking die u wilt uitvoeren |
| Verificatie | Yes | Het verificatietype dat moet worden gebruikt voor verificatie van toegang tot de doelresource of entiteit |
Een specifiek voorbeeld: stel dat u de bewerking Momentopnameblob wilt uitvoeren op een blob in het Azure Storage-account waar u eerder toegang voor uw identiteit hebt ingesteld. De Azure Blob Storage-connector biedt deze bewerking momenteel echter niet. In plaats daarvan kunt u deze bewerking uitvoeren met behulp van de HTTP-actie of een andere Blob REST API voor services bewerking.
Belangrijk
Als u toegang wilt krijgen tot Azure Storage-accounts achter firewalls met behulp van HTTP-aanvragen en beheerde identiteiten, moet u ook uw opslagaccount instellen, met uitzondering van toegang door vertrouwde Microsoft-services.
Als u de bewerking Momentopnameblob wiltuitvoeren, geeft de HTTP-actie de volgende eigenschappen op:
| Eigenschap | Vereist | Voorbeeldwaarde | Beschrijving |
|---|---|---|---|
| Methode | Yes | PUT |
De HTTP-methode die door de momentopnameblobbewerking wordt gebruikt |
| URI | Yes | https://<storage-account-name>/<folder-name>/{name} |
De resource-id voor een Azure Blob Storage-bestand in de globale (openbare) Azure-omgeving, die gebruikmaakt van deze syntaxis |
| Kopteksten | Voor Azure Storage | x-ms-blob-type = BlockBlob
|
De x-ms-blob-type x-ms-version headerwaarden , en x-ms-date zijn vereist voor Azure Storage bewerkingen. Belangrijk: in uitgaande HTTP-triggers en actieaanvragen voor Azure Storage vereist de header de eigenschap en de API-versie voor de bewerking die Lees de volgende onderwerpen voor meer informatie: - Aanvraagheaders - Momentopnameblob |
| Query's | Alleen voor de momentopnameblobbewerking | comp = snapshot |
De naam en waarde van de queryparameter voor de bewerking. |
In het volgende voorbeeld ziet u een voorbeeld van een HTTP-actie met alle eerder beschreven eigenschapswaarden die moeten worden gebruikt voor de bewerking Momentopnameblob:
Nadat u de HTTP-actie hebt toevoegen, voegt u de eigenschap Authentication toe aan de HTTP-actie. Selecteer verificatie in de lijst Nieuwe parameter toevoegen.
Notitie
Niet alle triggers en acties ondersteunen het toevoegen van een verificatietype. Bekijk Verificatietypen voor triggers en acties die ondersteuning bieden voor verificatie voor meer informatie.
Selecteer beheerde identiteit in de lijst Verificatietype.
Selecteer in de lijst met beheerde identiteiten een van de beschikbare opties op basis van uw scenario.
Als u de door het systeem toegewezen identiteit hebt ingesteld, selecteert u Door het systeem toegewezen beheerde identiteit als deze nog niet is geselecteerd.
Als u een door de gebruiker toegewezen identiteit hebt ingesteld, selecteert u die identiteit als deze nog niet is geselecteerd.
Dit voorbeeld gaat verder met de door het systeem toegewezen beheerde identiteit.
Bij sommige triggers en acties wordt ook de eigenschap Doelgroep weergegeven om de doelresource-id in te stellen. Stel de eigenschap Doelgroep in op de resource-id voor de doelresource of -service. Anders gebruikt de eigenschap Doelgroep standaard de
https://management.azure.com/resource-id. Dit is de resource-id voor Azure Resource Manager.Als u bijvoorbeeld de toegang tot een Key Vault-resource inde globale Azure-cloud wilt verifiëren, moet u de eigenschap Doelgroep instellen op exact de volgende resource-id:
https://vault.azure.net. Houd er rekening mee dat deze specifieke resource-id geen schuine streep heeft. Als u een schuine streep na een schuine streep op de streep opsyte, kan dit een400 Bad Requestfout of een fout401 Unauthorizedopleveren.Belangrijk
Zorg ervoor dat de doelresource-id exact overeenkomt met de waarde die Azure Active Directory (AD) verwacht, inclusief eventuele vereiste slashes. Voor de resource-id voor alle Azure Blob Storage-accounts is bijvoorbeeld een slash vereist. Voor de resource-id voor een specifiek opslagaccount is echter geen schuine streep nodig. Controleer de resource-ID's voor de Azure-services die ondersteuning bieden voor Azure AD.
In dit voorbeeld stelt u de eigenschap Doelgroep in op , zodat de toegangstokens die worden gebruikt voor verificatie geldig zijn voor
https://storage.azure.com/alle opslagaccounts. U kunt echter ook de URL van de hoofdservice,https://<your-storage-account>.blob.core.windows.net, opgeven voor een specifiek opslagaccount.
Voor meer informatie over het autoriseren van toegang met Azure AD Azure Storage, bekijkt u de volgende documentatie:
Ga door met het bouwen van de werkstroom zoals u dat wilt.
Voorbeeld: Trigger of actie van beheerde connector verifiëren met een beheerde identiteit
De Azure Resource Manager beheerde connector heeft een actie, Een resource lezen, die gebruik kan maken van de beheerde identiteit die u in uw logische app-resource inschakelen. In dit voorbeeld ziet u hoe u de door het systeem toegewezen beheerde identiteit gebruikt.
Nadat u de actie aan uw werkstroom hebt toevoegen en uw Azure AD-tenant hebt geselecteerd, selecteert Verbinding maken met beheerde identiteit (preview).
Geef op de pagina Verbindingsnaam een naam op voor de verbinding en selecteer de beheerde identiteit die u wilt gebruiken.
De Azure Resource Manager-actie is één verificatieactie, zodat in het deelvenster verbindingsgegevens een lijst met beheerde identiteiten wordt weergegeven waarmee automatisch de beheerde identiteit wordt geselecteerd die momenteel is ingeschakeld voor de resource van de logische app. Als u een door het systeem toegewezen beheerde identiteit hebt ingeschakeld, selecteert de lijst Beheerde identiteit de optie Door het systeem toegewezen beheerde identiteit. Als u in plaats daarvan een door de gebruiker toegewezen beheerde identiteit hebt ingeschakeld, selecteert de lijst die identiteit.
Als u een trigger of actie voor meerdere verificaties gebruikt, zoals Azure Blob Storage, wordt in het deelvenster Verbindingsgegevens een lijst Met verificatietype weergegeven met de optie Logic Apps Managed Identity en andere verificatietypen.
In dit voorbeeld is door het systeem toegewezen beheerde identiteit de enige beschikbare selectie.
Notitie
Als de beheerde identiteit niet is ingeschakeld wanneer u de verbinding probeert te maken, de verbinding wijzigt of is verwijderd terwijl er nog een verbinding met beheerde identiteit is ingeschakeld, wordt er een foutbericht weergegeven dat u de identiteit moet inschakelen en toegang moet verlenen tot de doelresource.
Wanneer u klaar bent, selecteert u Maken.
Nadat de verbinding is gemaakt, kan de ontwerper dynamische waarden, inhoud of schema's ophalen met behulp van verificatie van beheerde identiteiten.
Ga door met het bouwen van de werkstroom zoals u dat wilt.
Resourcedefinitie van logische app en verbindingen die gebruikmaken van een beheerde identiteit (verbruik)
Een verbinding die een beheerde identiteit mogelijk maakt en gebruikt, is een speciaal verbindingstype dat alleen werkt met een beheerde identiteit. Tijdens runtime gebruikt de verbinding de beheerde identiteit die is ingeschakeld voor de resource van de logische app. Tijdens runtime controleert de Azure Logic Apps-service of triggers en acties van een beheerde connector in de werkstroom van de logische app zijn ingesteld om de beheerde identiteit te gebruiken en of alle vereiste machtigingen zijn ingesteld om de beheerde identiteit te gebruiken voor toegang tot de doelbronnen die zijn opgegeven door de trigger en acties. Als dit lukt, Azure Logic Apps het Azure AD-token opgehaald dat is gekoppeld aan de beheerde identiteit en gebruikt deze identiteit om de toegang tot de doelresource te verifiëren en de geconfigureerde bewerking uit te voeren in triggers en acties.
In een Resource voor logische app (verbruik) wordt de verbindingsconfiguratie opgeslagen in het object van de resourcedefinitie van de logische app, dat het object bevat dat aanwijzers bevat naar de resource-id van de verbinding, samen met de resource-id van de identiteit, als de door de gebruiker toegewezen identiteit parameters $connections is ingeschakeld.
In dit voorbeeld ziet u hoe de configuratie eruit ziet wanneer de logische app de door het systeem toegewezen beheerde identiteit in bedrijf stelt:
"parameters": {
"$connections": {
"value": {
"<action-name>": {
"connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
"connectionName": "{connection-name}",
"connectionProperties": {
"authentication": {
"type": "ManagedServiceIdentity"
}
},
"id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
}
}
}
}
In dit voorbeeld ziet u hoe de configuratie eruit ziet wanneer de logische app een door de gebruiker toegewezen beheerde identiteit in staat stelt:
"parameters": {
"$connections": {
"value": {
"<action-name>": {
"connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
"connectionName": "{connection-name}",
"connectionProperties": {
"authentication": {
"identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}",
"type": "ManagedServiceIdentity"
}
},
"id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
}
}
}
}
ARM-sjabloon voor beheerde verbindingen en beheerde identiteiten (verbruik)
Als u implementatie met een ARM-sjabloon automatiseert en uw werkstroom voor de logische app een trigger of actie voor een beheerde connector bevat die gebruikmaakt van een beheerde identiteit, controleert u of de onderliggende brondefinitie van de verbinding de eigenschap bevat met als parameterValueType Alternative eigenschapswaarde. Anders stelt uw ARM-implementatie de verbinding niet in voor het gebruik van de beheerde identiteit voor verificatie en werkt de verbinding niet in de werkstroom van uw logische app. Deze vereiste geldt alleen voor specifieke triggers en acties voor beheerde connectors waarbij u de optie Verbinding maken beheerde identiteit hebt geselecteerd.
Hier is bijvoorbeeld de onderliggende verbindingsresourcedefinitie voor een Azure Automation-actie die gebruikmaakt van een beheerde identiteit waarbij de definitie de eigenschap bevat, die is ingesteld op als de parameterValueType Alternative eigenschapswaarde:
{
"type": "Microsoft.Web/connections",
"name": "[variables('automationAccountApiConnectionName')]",
"apiVersion": "2016-06-01",
"location": "[parameters('location')]",
"kind": "V1",
"properties": {
"api": {
"id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
},
"customParameterValues": {},
"displayName": "[variables('automationAccountApiConnectionName')]",
"parameterValueType": "Alternative"
}
},
Beheerde identiteit uitschakelen
Als u wilt stoppen met het gebruik van de beheerde identiteit voor verificatie, verwijdert u eerst de toegang van de identiteit tot de doelresource. Schakel vervolgens in de resource van uw logische app de door het systeem toegewezen identiteit uit of verwijder de door de gebruiker toegewezen identiteit.
Wanneer u de beheerde identiteit voor uw logische app-resource uit schakelen, verwijdert u de mogelijkheid voor die identiteit om toegang aan te vragen voor Azure-resources waar de identiteit toegang had.
Notitie
Als u de door het systeem toegewezen identiteit uit schakelen, werken alle verbindingen die worden gebruikt door werkstromen in de werkstroom van die logische app niet tijdens runtime, zelfs niet als u de identiteit onmiddellijk opnieuw inschakelen. Dit gedrag teert omdat het uitschakelen van de identiteit de object-id verwijdert. Telkens wanneer u de identiteit inschakelen, genereert Azure de identiteit met een andere en unieke object-id. Om dit probleem op te lossen, moet u de verbindingen opnieuw maken, zodat ze de huidige object-id gebruiken voor de huidige door het systeem toegewezen identiteit.
Probeer te voorkomen dat de door het systeem toegewezen identiteit zo veel mogelijk wordt uitschakelen. Als u de toegang van de identiteit tot Azure-resources wilt verwijderen, verwijdert u de roltoewijzing van de identiteit uit de doelresource. Als u uw logische app-resource verwijdert, wordt de beheerde identiteit automatisch uit Azure AD verwijderd.
De stappen in deze sectie hebben betrekking op het gebruik Azure Portal en Azure Resource Manager -sjabloon (ARM-sjabloon). Voor Azure PowerShell, Azure CLI en Azure REST API, bekijkt u de volgende documentatie:
| Hulpprogramma | Documentatie |
|---|---|
| Azure PowerShell | 1. Roltoewijzing verwijderen. 2. Verwijder de door de gebruiker toegewezen identiteit. |
| Azure CLI | 1. Roltoewijzing verwijderen. 2. Verwijder de door de gebruiker toegewezen identiteit. |
| Azure REST API | 1. Roltoewijzing verwijderen. 2. Verwijder de door de gebruiker toegewezen identiteit. |
Beheerde identiteit in de Azure Portal
Als u de toegang voor de beheerde identiteit wilt verwijderen, verwijdert u de roltoewijzing van de identiteit uit de doelresource en schakelt u vervolgens de beheerde identiteit uit.
Roltoewijzing verwijderen
Met de volgende stappen wordt de toegang tot de doelresource verwijderd uit de beheerde identiteit:
Ga in Azure Portalnaar de Azure-doelresource waar u de toegang voor de beheerde identiteit wilt verwijderen.
Selecteer toegangsbeheer (IAM) in het menu van de doelresource. Selecteer roltoewijzingen onder de werkbalk.
Selecteer in de lijst met rollen de beheerde identiteiten die u wilt verwijderen. Selecteer Verwijderen op de werkbalk.
Tip
Als de optie Verwijderen is uitgeschakeld, hebt u waarschijnlijk geen machtigingen. Zie Beheerdersrolmachtigingen in Azure Active Directory voor meer informatie over de machtigingen die u kunt gebruiken om rollen voor resources te Azure Active Directory.
Beheerde identiteit uitschakelen voor logische app-resource
Open in Azure Portalde resource van uw logische app.
Selecteer in het navigatiemenu van de logische app Instellingen identiteit en volg de stappen voor uw identiteit:
Selecteer Systeem toegewezen > op > Opslaan. Wanneer Azure u vraagt om te bevestigen, selecteert u Ja.
Selecteer Door de gebruiker toegewezen en de beheerde identiteit en selecteer vervolgens Verwijderen. Wanneer Azure u vraagt om te bevestigen, selecteert u Ja.
Beheerde identiteit in een ARM-sjabloon uitschakelen
Als u de beheerde identiteit van de logische app hebt gemaakt met behulp van een ARM-sjabloon, stelt u de onderliggende eigenschap van het identity object type in op None .
"identity": {
"type": "None"
}