Toegang tot Azure-bronnen verifiëren door beheerde identiteiten te gebruiken in Azure Logic AppsAuthenticate access to Azure resources by using managed identities in Azure Logic Apps

Om toegang te krijgen tot andere bronnen die worden beveiligd door Azure Active Directory (Azure AD) en uw identiteit te verifiëren zonder zich aan te melden, kan uw logische app gebruikmaken van een beheerde identiteit (voorheen Managed Service Identity of MSI), in plaats van referenties of geheimen.To easily access other resources that are protected by Azure Active Directory (Azure AD) and authenticate your identity without signing in, your logic app can use a managed identity (formerly Managed Service Identity or MSI), rather than credentials or secrets. Azure beheert deze identiteit voor u en helpt u bij het beveiligen van uw referenties omdat u geen geheimen hoeft op te geven of te draaien.Azure manages this identity for you and helps secure your credentials because you don't have to provide or rotate secrets.

Azure Logic Apps ondersteunt zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten.Azure Logic Apps supports both system-assigned and user-assigned managed identities. Uw logische app kan gebruikmaken van de door het systeem toegewezen identiteit of één door de gebruiker toegewezen identiteit, die u kunt delen via een groep logische apps, maar niet beide.Your logic app can use either the system-assigned identity or a single user-assigned identity, which you can share across a group of logic apps, but not both. Momenteel ondersteunen alleen specifieke ingebouwde triggers en acties beheerde identiteiten, niet beheerde connectors of verbindingen, bijvoorbeeld:Currently, only specific built-in triggers and actions support managed identities, not managed connectors or connections, for example:

  • HTTPHTTP
  • Azure FunctionsAzure Functions
  • Azure API ManagementAzure API Management
  • Azure App ServicesAzure App Services

In dit artikel wordt beschreven hoe u beide soorten beheerde identiteiten instelt voor uw logische app.This article shows how to set up both kinds of managed identities for your logic app. Zie deze onderwerpen voor meer informatie:For more information, see these topics:

VereistenPrerequisites

  • Een Azure-abonnement.An Azure subscription. Als u nog geen abonnement hebt, meld u dan aan voor een gratis Azure-account.If you don't have a subscription, sign up for a free Azure account. Zowel de beheerde identiteit als de Azure-doel resource waarvoor u toegang nodig hebt, moeten hetzelfde Azure-abonnement gebruiken.Both the managed identity and the target Azure resource where you need access must use the same Azure subscription.

  • Als u een beheerde identiteit toegang wilt geven tot een Azure-resource, moet u een rol toevoegen aan de doel resource voor die identiteit.To give a managed identity access to an Azure resource, you need to add a role to the target resource for that identity. Om rollen toe te voegen, hebt u Azure AD-beheerders machtigingen nodig waarmee rollen kunnen worden toegewezen aan identiteiten in de bijbehorende Azure AD-Tenant.To add roles, you need Azure AD administrator permissions that can assign roles to identities in the corresponding Azure AD tenant.

  • De doel-Azure-resource waartoe u toegang wilt krijgen.The target Azure resource that you want to access. Op deze resource voegt u een rol toe voor de beheerde identiteit, waarmee de logische app de toegang tot de doel bron kan verifiëren.On this resource, you'll add a role for the managed identity, which helps the logic app authenticate access to the target resource.

  • De logische app waarvoor u de trigger of acties wilt gebruiken die beheerde identiteiten ondersteunenThe logic app where you want to use the trigger or actions that support managed identities

Beheerde identiteit inschakelenEnable managed identity

Als u de beheerde identiteit die u wilt gebruiken, wilt instellen, volgt u de koppeling voor die identiteit:To set up the managed identity that you want to use, follow the link for that identity:

Door het systeem toegewezen identiteit inschakelenEnable system-assigned identity

In tegens telling tot door de gebruiker toegewezen identiteiten hoeft u de door het systeem toegewezen identiteit niet hand matig te maken.Unlike user-assigned identities, you don't have to manually create the system-assigned identity. Als u de door het systeem toegewezen identiteit voor uw logische app wilt instellen, kunt u de volgende opties gebruiken:To set up the system-assigned identity for your logic app, here are the options that you can use:

Door het systeem toegewezen identiteit inschakelen in Azure PortalEnable system-assigned identity in Azure portal

  1. Open in de Azure Portaluw logische app in de ontwerp functie voor logische apps.In the Azure portal, open your logic app in Logic App Designer.

  2. Selecteer identiteitonder instellingenin het menu van de logische app.On the logic app menu, under Settings, select Identity. Selecteer systeem toegewezen > bij > Opslaan.Select System assigned > On > Save. Wanneer u wordt gevraagd om te bevestigen, selecteert u Ja.When Azure prompts you to confirm, select Yes.

    De door het systeem toegewezen identiteit inschakelen

    Notitie

    Als u een fout bericht krijgt dat u slechts één beheerde identiteit kunt hebben, is uw logische app al gekoppeld aan de door de gebruiker toegewezen identiteit.If you get an error that you can have only a single managed identity, your logic app is already associated with the user-assigned identity. Voordat u de door het systeem toegewezen identiteit kunt toevoegen, moet u eerst de door de gebruiker toegewezen identiteit verwijderen uit uw logische app.Before you can add the system-assigned identity, you must first remove the user-assigned identity from your logic app.

    Uw logische app kan nu gebruikmaken van de door het systeem toegewezen identiteit, die is geregistreerd bij Azure Active Directory en wordt vertegenwoordigd door een object-ID.Your logic app can now use the system-assigned identity, which is registered with Azure Active Directory and is represented by an object ID.

    Object-ID voor door het systeem toegewezen identiteit

    EigenschapProperty WaardeValue BeschrijvingDescription
    Object-idObject ID <identiteit-bron-ID><identity-resource-ID> Een GUID (Globally Unique Identifier) die de door het systeem toegewezen identiteit voor uw logische app vertegenwoordigt in een Azure AD-TenantA Globally Unique Identifier (GUID) that represents the system-assigned identity for your logic app in an Azure AD tenant
  3. Volg nu de stappen voor het verlenen van toegang tot de resource met de-id verderop in dit onderwerp.Now follow the steps that give that identity access to the resource later in this topic.

Door het systeem toegewezen identiteit in Azure Resource Manager sjabloon inschakelenEnable system-assigned identity in Azure Resource Manager template

U kunt Azure Resource Manager sjablonengebruiken om het maken en implementeren van Azure-resources zoals Logic apps te automatiseren.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates. Als u de door het systeem toegewezen beheerde identiteit voor uw logische app in de sjabloon wilt inschakelen, voegt identity u het object en de type onderliggende eigenschap toe aan de resource definitie van de logische app in de sjabloon, bijvoorbeeld:To enable the system-assigned managed identity for your logic app in the template, add the identity object and the type child property to the logic app's resource definition in the template, for example:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {
      "definition": {
         "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
         "actions": {},
         "parameters": {},
         "triggers": {},
         "contentVersion": "1.0.0.0",
         "outputs": {}
   },
   "parameters": {},
   "dependsOn": []
}

Wanneer Azure de resource definitie van de logische app maakt, identity krijgt het object de volgende aanvullende eigenschappen:When Azure creates your logic app resource definition, the identity object gets these additional properties:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Eigenschap (JSON)Property (JSON) WaardeValue BeschrijvingDescription
principalId <Principal-ID><principal-ID> De GUID (Globally Unique Identifier) van het Service-Principal-object voor de beheerde identiteit die uw logische app vertegenwoordigt in de Azure AD-Tenant.The Globally Unique Identifier (GUID) of the service principal object for the managed identity that represents your logic app in the Azure AD tenant. Deze GUID wordt soms weer gegeven als een ' object-ID ' of objectID .This GUID sometimes appears as an "object ID" or objectID.
tenantId <Azure-AD-Tenant-ID><Azure-AD-tenant-ID> De GUID (Globally Unique Identifier) die de Azure AD-Tenant vertegenwoordigt waarbij de logische app nu lid is.The Globally Unique Identifier (GUID) that represents the Azure AD tenant where the logic app is now a member. De Service-Principal in de Azure AD-Tenant heeft dezelfde naam als de logische app-instantie.Inside the Azure AD tenant, the service principal has the same name as the logic app instance.

Door gebruiker toegewezen identiteit inschakelenEnable user-assigned identity

Als u een door de gebruiker toegewezen beheerde identiteit voor uw logische app wilt instellen, moet u deze identiteit eerst als afzonderlijke zelfstandige Azure-resource maken.To set up a user-assigned managed identity for your logic app, you must first create that identity as a separate standalone Azure resource. Dit zijn de opties die u kunt gebruiken:Here are the options that you can use:

Een door de gebruiker toegewezen identiteit maken in de Azure PortalCreate user-assigned identity in the Azure portal

  1. Voer in het Azure Portal, in het zoekvak op een wille keurige pagina, de managed identities optie beheerde identiteitenin en selecteer deze.In the Azure portal, in the search box on any page, enter managed identities, and select Managed Identities.

    Zoek en selecteer beheerde identiteiten

  2. Selecteer onder beheerde identiteitende optie toevoegen.Under Managed Identities, select Add.

    Nieuwe beheerde identiteit toevoegen

  3. Geef informatie op over uw beheerde identiteit en selecteer vervolgens maken, bijvoorbeeld:Provide information about your managed identity, and then select Create, for example:

    Door de gebruiker toegewezen beheerde identiteit maken

    EigenschapProperty VereistRequired WaardeValue BeschrijvingDescription
    Resource naamResource Name JaYes <door de gebruiker toegewezen identiteits naam><user-assigned-identity-name> De naam om uw door de gebruiker toegewezen identiteit te geven.The name to give your user-assigned identity. In dit voor beeld wordt gebruikgemaakt van ' fabrikam-door de gebruiker toegewezen identiteit '.This example uses "Fabrikam-user-assigned-identity".
    AbonnementSubscription JaYes <Azure-abonnement-naam><Azure-subscription-name> De naam voor het Azure-abonnement dat moet worden gebruiktThe name for the Azure subscription to use
    ResourcegroepResource group JaYes <Azure-resource-group-name><Azure-resource-group-name> De naam voor de resource groep die moet worden gebruikt.The name for the resource group to use. Maak een nieuwe groep of selecteer een bestaande groep.Create a new group, or select an existing group. In dit voor beeld wordt een nieuwe groep gemaakt met de naam ' door fabrikam beheerde identiteiten-RG '.This example creates a new group named "fabrikam-managed-identities-RG".
    LocatieLocation JaYes <Azure-regio><Azure-region> De Azure-regio waar informatie over uw resource moet worden opgeslagen.The Azure region where to store information about your resource. In dit voor beeld wordt ' West US ' gebruikt.This example uses "West US".

    U kunt nu de door de gebruiker toegewezen identiteit toevoegen aan uw logische app.Now you can add the user-assigned identity to your logic app. U kunt niet meer dan één door de gebruiker toegewezen identiteit toevoegen aan uw logische app.You can't add more than one user-assigned identity to your logic app.

  4. Zoek in de Azure Portal uw logische app in de ontwerp functie voor logische apps en open deze.In the Azure portal, find and open your logic app in Logic App Designer.

  5. Selecteer onder instellingenin het menu van de logische app de optie identiteiten selecteer vervolgens aan gebruiker toegewezen > toevoegen.On the logic app menu, under Settings, select Identity, and then select User assigned > Add.

    Door de gebruiker toegewezen beheerde identiteit toevoegen

  6. Selecteer uw Azure-abonnement in het deel venster door de gebruiker toegewezen beheerde identiteit toevoegen in de lijst abonnement als dat nog niet is gebeurd.On the Add user assigned managed identity pane, from the Subscription list, select your Azure subscription if not already selected. Zoek in de lijst waarin alle beheerde identiteiten in het abonnement worden weer gegeven de door de gebruiker toegewezen identiteit en selecteer deze.From the list that shows all the managed identities in that subscription, find and select the user-assigned identity that you want. Als u de lijst wilt filteren, voert u in het zoekvak door de gebruiker toegewezen beheerde identiteiten de naam in voor de identiteit of de resource groep.To filter the list, in the User assigned managed identities search box, enter the name for the identity or resource group. Wanneer u klaar bent, selecteert u toevoegen.When you're done, select Add.

    De door de gebruiker toegewezen identiteit selecteren die moet worden gebruikt

    Notitie

    Als u een fout bericht krijgt dat u slechts één beheerde identiteit kunt hebben, is uw logische app al gekoppeld aan de door het systeem toegewezen identiteit.If you get an error that you can have only a single managed identity, your logic app is already associated with the system-assigned identity. Voordat u de door de gebruiker toegewezen identiteit kunt toevoegen, moet u eerst de door het systeem toegewezen identiteit uitschakelen in uw logische app.Before you can add the user-assigned identity, you must first disable the system-assigned identity on your logic app.

    Uw logische app is nu gekoppeld aan de door de gebruiker toegewezen beheerde identiteit.Your logic app is now associated with the user-assigned managed identity.

    Koppeling met door gebruiker toegewezen identiteit

  7. Volg nu de stappen voor het verlenen van toegang tot de resource met de-id verderop in dit onderwerp.Now follow the steps that give that identity access to the resource later in this topic.

Een door de gebruiker toegewezen identiteit maken in een Azure Resource Manager sjabloonCreate user-assigned identity in an Azure Resource Manager template

Voor het automatiseren van het maken en implementeren van Azure-resources, zoals Logic apps, kunt u Azure Resource Manager sjablonengebruiken die door de gebruiker toegewezen identiteiten voor verificatieondersteunen.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates, which support user-assigned identities for authentication. In de sectie van uw sjabloon resources zijn de resource definitie van de logische app vereist voor de volgende items:In your template's resources section, your logic app's resource definition requires these items:

  • Een identity object waarvan de type eigenschap is ingesteld opUserAssignedAn identity object with the type property set to UserAssigned

  • Een onderliggend userAssignedIdentities object dat de resource-id van de identiteit specificeert. Dit is een ander onderliggend object met de principalId clientId Eigenschappen enA child userAssignedIdentities object that specifies the identity's resource ID, which is another child object that has the principalId and clientId properties

Dit voor beeld toont een resource definitie van een logische app voor een HTTP PUT-aanvraag en bevat een niet-geparametriseerde identity object.This example shows a logic app resource definition for an HTTP PUT request and includes a non-parameterized identity object. De reactie op de PUT-aanvraag en de volgende GET-bewerking hebben dit identity object ook:The response to the PUT request and subsequent GET operation also have this identity object:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {
                  "principalId": "<principal-ID>",
                  "clientId": "<client-ID>"
               }
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}
Eigenschap (JSON)Property (JSON) WaardeValue BeschrijvingDescription
principalId <Principal-ID><principal-ID> De GUID (Globally Unique Identifier) van de door de gebruiker toegewezen beheerde identiteit in de Azure AD-TenantThe Globally Unique Identifier (GUID) for the user-assigned managed identity in the Azure AD tenant
clientId <client-ID><client-ID> Een GUID (Globally Unique Identifier) voor de nieuwe identiteit van uw logische app die wordt gebruikt voor aanroepen tijdens runtimeA Globally Unique Identifier (GUID) for your logic app's new identity that's used for calls during runtime

Als uw sjabloon ook de resource definitie van de beheerde identiteit bevat, kunt u het identity object para meters.If your template also includes the managed identity's resource definition, you can parameterize the identity object. In dit voor beeld ziet u hoe het onderliggende userAssignedIdentities object verwijst naar een userAssignedIdentity variabele die u in de sectie van uw sjabloon definieert variables .This example shows how the child userAssignedIdentities object references a userAssignedIdentity variable that you define in your template's variables section. Met deze variabele wordt verwezen naar de resource-ID voor de door de gebruiker toegewezen identiteit.This variable references the resource ID for your user-assigned identity.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {
            "tenantId": "<tenant-ID>",
            "principalId": "<principal-ID>",
            "clientId": "<client-ID>"
         }
      }
  ]
}
Eigenschap (JSON)Property (JSON) WaardeValue BeschrijvingDescription
tenantId <Azure-AD-Tenant-ID><Azure-AD-tenant-ID> De GUID (Globally Unique Identifier) die de Azure AD-Tenant vertegenwoordigt waarbij de door de gebruiker toegewezen identiteit nu lid is.The Globally Unique Identifier (GUID) that represents the Azure AD tenant where the user-assigned identity is now a member. De Service-Principal in de Azure AD-Tenant heeft dezelfde naam als de door de gebruiker toegewezen identiteits naam.Inside the Azure AD tenant, the service principal has the same name as the user-assigned identity name.
principalId <Principal-ID><principal-ID> De GUID (Globally Unique Identifier) van de door de gebruiker toegewezen beheerde identiteit in de Azure AD-TenantThe Globally Unique Identifier (GUID) for the user-assigned managed identity in the Azure AD tenant
clientId <client-ID><client-ID> Een GUID (Globally Unique Identifier) voor de nieuwe identiteit van uw logische app die wordt gebruikt voor aanroepen tijdens runtimeA Globally Unique Identifier (GUID) for your logic app's new identity that's used for calls during runtime

Identiteits toegang geven tot resourcesGive identity access to resources

Voordat u de beheerde identiteit van de logische app voor verificatie kunt gebruiken, moet u de toegang instellen voor die identiteit op de Azure-resource waar u de identiteit wilt gebruiken.Before you can use your logic app's managed identity for authentication, set up access for that identity on the Azure resource where you plan to use the identity. Als u deze taak wilt volt ooien, wijst u de juiste rol toe aan die identiteit op de Azure-doel resource.To complete this task, assign the appropriate role to that identity on the target Azure resource. Dit zijn de opties die u kunt gebruiken:Here are the options that you can use:

Toegang toewijzen in de Azure PortalAssign access in the Azure portal

  1. Ga in het Azure Portalnaar de Azure-resource waar u de beheerde identiteit toegang wilt geven.In the Azure portal, go to the Azure resource where you want your managed identity to have access.

  2. Selecteer in het menu resource toegangs beheer (IAM) > roltoewijzingen waar u de huidige roltoewijzingen voor die resource kunt controleren.From the resource's menu, select Access control (IAM) > Role assignments where you can review the current role assignments for that resource. Selecteer opde werk balk de optie > roltoewijzingtoevoegen.On the toolbar, select Add > Add role assignment.

    Selecteer > functie toewijzing toevoegen.

    Tip

    Als de optie roltoewijzing toevoegen is uitgeschakeld, hebt u waarschijnlijk niet de juiste machtigingen.If the Add role assignment option is disabled, you most likely don't have permissions. Zie Administrator role permissions(Engelstalig) in azure Active Directory voor meer informatie over de machtigingen waarmee u rollen voor resources kunt beheren.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

  3. Selecteer onder roltoewijzing toevoegeneen rol die uw identiteit de benodigde toegang tot de doel resource geeft.Under Add role assignment, select a Role that gives your identity the necessary access to the target resource.

    Voor het voor beeld van dit onderwerp moet uw identiteit een rol hebben die toegang heeft tot de BLOB in een Azure storage-container.For this topic's example, your identity needs a role that can access the blob in an Azure Storage container.

    Selecteer de rol ' BLOB data Inzender voor opslag '

  4. Volg deze stappen voor uw beheerde identiteit:Follow these steps for your managed identity:

    • Door het systeem toegewezen identiteitSystem-assigned identity

      1. Selecteer in het vak toegang toewijzen aan de optie logische app.In the Assign access to box, select Logic App. Wanneer de eigenschap abonnement wordt weer gegeven, selecteert u het Azure-abonnement dat is gekoppeld aan uw identiteit.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Toegang selecteren voor door het systeem toegewezen identiteit

      2. Selecteer in het vak selecteren de logische app in de lijst.Under the Select box, select your logic app from the list. Als de lijst te lang is, gebruikt u het selectie vakje om de lijst te filteren.If the list is too long, use the Select box to filter the list.

        Logische app selecteren voor door het systeem toegewezen identiteit

    • Door gebruiker toegewezen identiteitUser-assigned identity

      1. Selecteer door de gebruiker toegewezen beheerde identiteitin het vak toegang toewijzen aan .In the Assign access to box, select User assigned managed identity. Wanneer de eigenschap abonnement wordt weer gegeven, selecteert u het Azure-abonnement dat is gekoppeld aan uw identiteit.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Toegang selecteren voor door de gebruiker toegewezen identiteit

      2. Selecteer in het vak selecteren uw identiteit in de lijst.Under the Select box, select your identity from the list. Als de lijst te lang is, gebruikt u het selectie vakje om de lijst te filteren.If the list is too long, use the Select box to filter the list.

        De door de gebruiker toegewezen identiteit selecteren

  5. Selecteer Opslaan als u klaar bent.When you're done, select Save.

    De lijst met roltoewijzingen van de doel resource bevat nu de geselecteerde beheerde identiteit en rol.The target resource's role assignments list now shows the selected managed identity and role. In dit voor beeld ziet u hoe u de door het systeem toegewezen identiteit kunt gebruiken voor één logische app en een door de gebruiker toegewezen identiteit voor een groep andere logische apps.This example shows how you can use the system-assigned identity for one logic app and a user-assigned identity for a group of other logic apps.

    Beheerde identiteiten en rollen toegevoegd aan doel bron

    Wijs een beheerde identiteits toegang toe aan een bron met behulp van de Azure Portalvoor meer informatie.For more information, Assign a managed identity access to a resource by using the Azure portal.

  6. Volg nu de stappen om toegang te verifiëren met de identiteit in een trigger of actie die beheerde identiteiten ondersteunt.Now follow the steps to authenticate access with the identity in a trigger or action that supports managed identities.

Toegang verifiëren met beheerde identiteitAuthenticate access with managed identity

Nadat u de beheerde identiteit voor uw logische app hebt ingeschakeld en deze identiteit toegang geeft tot de doel resource of entiteit, kunt u die identiteit gebruiken in Triggers en acties die beheerde identiteiten ondersteunen.After you enable the managed identity for your logic app and give that identity access to the target resource or entity, you can use that identity in triggers and actions that support managed identities.

Belangrijk

Als u een Azure-functie hebt waarbij u de door het systeem toegewezen identiteit wilt gebruiken, moet u eerst verificatie voor Azure functions inschakelen.If you have an Azure function where you want to use the system-assigned identity, first enable authentication for Azure functions.

Deze stappen laten zien hoe u de beheerde identiteit met een trigger of actie kunt gebruiken via de Azure Portal.These steps show how to use the managed identity with a trigger or action through the Azure portal. Zie beheerde identiteits verificatievoor het opgeven van de beheerde identiteit in een trigger of de onderliggende JSON-definitie van een actie.To specify the managed identity in a trigger or action's underlying JSON definition, see Managed identity authentication.

  1. Open in de Azure Portaluw logische app in de ontwerp functie voor logische apps.In the Azure portal, open your logic app in the Logic App Designer.

  2. Als u dit nog niet hebt gedaan, voegt u de trigger of actie toe die beheerde identiteiten ondersteunt.If you haven't done so yet, add the trigger or action that supports managed identities.

    De HTTP-trigger of actie kan bijvoorbeeld de door het systeem toegewezen identiteit gebruiken die u hebt ingeschakeld voor uw logische app.For example, the HTTP trigger or action can use the system-assigned identity that you enabled for your logic app. Over het algemeen gebruikt de HTTP-trigger of actie deze eigenschappen om de resource of entiteit op te geven waartoe u toegang wilt krijgen:In general, the HTTP trigger or action uses these properties to specify the resource or entity that you want to access:

    EigenschapProperty VereistRequired BeschrijvingDescription
    MethodeMethod JaYes De HTTP-methode die wordt gebruikt door de bewerking die u wilt uitvoerenThe HTTP method that's used by the operation that you want to run
    URIURI JaYes De eind punt-URL voor toegang tot de Azure-doel bron of-entiteit.The endpoint URL for accessing the target Azure resource or entity. De URI-syntaxis bevat doorgaans de resource-id voor de Azure-resource of-service.The URI syntax usually includes the resource ID for the Azure resource or service.
    KoptekstenHeaders NeeNo Eventuele header waarden die u nodig hebt of wilt toevoegen in de uitgaande aanvraag, zoals het inhouds typeAny header values that you need or want to include in the outgoing request, such as the content type
    Query'sQueries NeeNo Alle query parameters die u nodig hebt of wilt toevoegen in de aanvraag, zoals de para meter voor een specifieke bewerking of de API-versie voor de bewerking die u wilt uitvoerenAny query parameters that you need or want to include in the request, such as the parameter for a specific operation or the API version for the operation that you want to run
    VerificatieAuthentication JaYes Het verificatie type dat moet worden gebruikt voor het verifiëren van de toegang tot de doel bron of entiteitThe authentication type to use for authenticating access to the target resource or entity

    Stel dat u de bewerking voor het maken van een moment opname-BLOB wilt uitvoeren op een BLOB in het Azure Storage account waar u eerder toegang hebt ingesteld voor uw identiteit.As a specific example, suppose that you want to run the Snapshot Blob operation on a blob in the Azure Storage account where you previously set up access for your identity. De Azure Blob Storage-connector biedt deze bewerking echter momenteel niet.However, the Azure Blob Storage connector doesn't currently offer this operation. In plaats daarvan kunt u deze bewerking uitvoeren met behulp van de http-actie of een andere Blob-service rest API bewerking.Instead, you can run this operation by using the HTTP action or another Blob Service REST API operation.

    Belangrijk

    Om toegang te krijgen tot Azure Storage-accounts achter firewalls met behulp van HTTP-aanvragen en beheerde identiteiten, moet u ervoor zorgen dat u ook uw opslag account hebt ingesteld met de uitzonde ring die toegang verleent aan vertrouwde micro soft-Services.To access Azure storage accounts behind firewalls by using HTTP requests and managed identities, make sure that you also set up your storage account with the exception that allows access by trusted Microsoft services.

    Als u de BLOB-bewerking van de moment opnamewilt uitvoeren, geeft de http-actie deze eigenschappen op:To run the Snapshot Blob operation, the HTTP action specifies these properties:

    EigenschapProperty VereistRequired VoorbeeldwaardeExample value BeschrijvingDescription
    MethodeMethod JaYes PUT De HTTP-methode die wordt gebruikt door de BLOB-bewerking van de moment opnameThe HTTP method that the Snapshot Blob operation uses
    URIURI JaYes https://{storage-account-name}.blob.core.windows.net/{blob-container-name}/{folder-name-if-any}/{blob-file-name-with-extension} De resource-ID voor een Azure Blob Storage-bestand in de Azure Global (open bare) omgeving, die gebruikmaakt van deze syntaxisThe resource ID for an Azure Blob Storage file in the Azure Global (public) environment, which uses this syntax
    KoptekstenHeaders Ja, voor Azure StorageYes, for Azure Storage x-ms-blob-type = BlockBlob

    x-ms-version = 2019-02-02

    De- x-ms-blob-type en x-ms-version header-waarden die nodig zijn voor Azure Storage bewerkingen.The x-ms-blob-type and x-ms-version header values that are required for Azure Storage operations.

    Belang rijk: in uitgaande HTTP-trigger-en actie aanvragen voor Azure Storage vereist de header de x-ms-version eigenschap en de API-versie voor de bewerking die u wilt uitvoeren.Important: In outgoing HTTP trigger and action requests for Azure Storage, the header requires the x-ms-version property and the API version for the operation that you want to run.

    Zie deze onderwerpen voor meer informatie:For more information, see these topics:

    - Aanvraag headers-moment opname-BLOB- Request headers - Snapshot Blob
    - Versie beheer voor Azure Storage services- Versioning for Azure Storage services

    Query'sQueries Ja, voor deze bewerkingYes, for this operation comp = snapshot De naam en waarde van de query parameter voor de BLOB-bewerking van de moment opname.The query parameter name and value for the Snapshot Blob operation.

    Hier volgt een voor beeld van een HTTP-actie waarin al deze eigenschaps waarden worden weer gegeven:Here is the example HTTP action that shows all these property values:

    Een HTTP-actie toevoegen voor toegang tot een Azure-resource

  3. Voeg nu de eigenschap Authentication toe aan de http-actie.Now add the Authentication property to the HTTP action. Selecteer in de lijst nieuwe para meter toevoegen de optie verificatie.From the Add new parameter list, select Authentication.

    De eigenschap Authentication toevoegen aan de HTTP-actie

    Notitie

    Niet alle triggers en acties bieden ondersteuning voor het toevoegen van een verificatie type.Not all triggers and actions support letting you add an authentication type. Zie verificatie toevoegen aan uitgaande oproepenvoor meer informatie.For more information, see Add authentication to outbound calls.

  4. Selecteer beheerde identiteitin de lijst verificatie type .From the Authentication type list, select Managed Identity.

    Voor ' verificatie ' selecteert u ' beheerde identiteit '

  5. Selecteer in de lijst beheerde identiteit een van de beschik bare opties op basis van uw scenario.From the managed identity list, select from the available options based on your scenario.

    • Als u de door het systeem toegewezen identiteit hebt ingesteld, selecteert u door het systeem toegewezen beheerde identiteit als dat nog niet is gebeurd.If you set up the system-assigned identity, select System Assigned Managed Identity if not already selected.

      Selecteer de door het systeem toegewezen beheerde identiteit

    • Als u een door de gebruiker toegewezen identiteit instelt, selecteert u die identiteit als deze nog niet is geselecteerd.If you set up a user-assigned identity, select that identity if not already selected.

      De door de gebruiker toegewezen identiteit selecteren

    In dit voor beeld wordt de door het systeem toegewezen beheerde identiteitvoortgezet.This example continues with the System Assigned Managed Identity.

  6. Bij sommige triggers en acties wordt de eigenschap doel groep ook weer gegeven om de doel resource-id in te stellen.On some triggers and actions, the Audience property also appears for you to set the target resource ID. Stel de eigenschap doel groep in op de resource-id voor de doel resource of-service.Set the Audience property to the resource ID for the target resource or service. Anders wordt de eigenschap doel groep standaard gebruikt voor de https://management.azure.com/ resource-id. Dit is de resource-id voor Azure Resource Manager.Otherwise, by default, the Audience property uses the https://management.azure.com/ resource ID, which is the resource ID for Azure Resource Manager.

    Belangrijk

    Zorg ervoor dat de doel Resource-ID precies overeenkomt met de waarde die Azure Active Directory (AD) verwacht, inclusief alle vereiste afsluitende slashes.Make sure that the target resource ID exactly matches the value that Azure Active Directory (AD) expects, including any required trailing slashes. De resource-ID voor alle Azure Blob Storage-accounts vereist bijvoorbeeld een afsluitende slash.For example, the resource ID for all Azure Blob Storage accounts requires a trailing slash. De resource-ID voor een specifiek opslag account vereist echter geen afsluitende slash.However, the resource ID for a specific storage account doesn't require a trailing slash. Controleer de resource-id's voor de Azure-Services die ondersteuning bieden voor Azure AD.Check the resource IDs for the Azure services that support Azure AD.

    In dit voor beeld wordt de eigenschap doel groep ingesteld op https://storage.azure.com/ zodat de toegangs tokens die worden gebruikt voor verificatie geldig zijn voor alle opslag accounts.This example sets the Audience property to https://storage.azure.com/ so that the access tokens used for authentication are valid for all storage accounts. U kunt echter ook de URL van de basis service https://fabrikamstorageaccount.blob.core.windows.net voor een specifiek opslag account opgeven.However, you can also specify the root service URL, https://fabrikamstorageaccount.blob.core.windows.net, for a specific storage account.

    Eigenschap doel groep instellen op doel Resource-ID

    Zie de volgende onderwerpen voor meer informatie over het verlenen van toegang met Azure AD voor Azure Storage:For more information about authorizing access with Azure AD for Azure Storage, see these topics:

  7. Ga door met het bouwen van de logische app op de gewenste manier.Continue building the logic app the way that you want.

Beheerde identiteit uitschakelenDisable managed identity

Als u een beheerde identiteit voor uw logische app niet meer wilt gebruiken, hebt u de volgende opties:To stop using a managed identity for your logic app, you have these options:

Als u uw logische app verwijdert, wordt de beheerde identiteit door Azure automatisch uit Azure AD verwijderd.If you delete your logic app, Azure automatically removes the managed identity from Azure AD.

Beheerde identiteit in de Azure Portal uitschakelenDisable managed identity in the Azure portal

In de Azure Portal verwijdert u eerst de toegang van de identiteit tot uw doel resource.In the Azure portal, first remove the identity's access to your target resource. Schakel vervolgens de door het systeem toegewezen identiteit uit of verwijder de door de gebruiker toegewezen identiteit uit uw logische app.Next, turn off the system-assigned identity or remove the user-assigned identity from your logic app.

Identiteits toegang verwijderen uit resourcesRemove identity access from resources

  1. Ga in het Azure Portalnaar de doel-Azure-resource waar u de toegang tot de beheerde identiteit wilt verwijderen.In the Azure portal, go to the target Azure resource where you want to remove access for the managed identity.

  2. Selecteer toegangs beheer (IAM) in het menu van de doel resource.From the target resource's menu, select Access control (IAM). Selecteer op de werk balk roltoewijzingen.Under the toolbar, select Role assignments.

  3. Selecteer in de lijst rollen de beheerde identiteiten die u wilt verwijderen.In the roles list, select the managed identities that you want to remove. Selecteer verwijderenop de werk balk.On the toolbar, select Remove.

    Tip

    Als de optie verwijderen is uitgeschakeld, hebt u waarschijnlijk niet de juiste machtigingen.If the Remove option is disabled, you most likely don't have permissions. Zie Administrator role permissions(Engelstalig) in azure Active Directory voor meer informatie over de machtigingen waarmee u rollen voor resources kunt beheren.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

De beheerde identiteit wordt nu verwijderd en heeft geen toegang meer tot de doel resource.The managed identity is now removed and no longer has access to the target resource.

Beheerde identiteit voor logische app uitschakelenDisable managed identity on logic app

  1. Open in de Azure Portaluw logische app in de ontwerp functie voor logische apps.In the Azure portal, open your logic app in Logic App Designer.

  2. Selecteer onder instellingenin het menu van de logische app de optie identiteiten volg de stappen voor uw identiteit:On the logic app menu, under Settings, select Identity, and then follow the steps for your identity:

    • Selecteer systeem toegewezen > bij > Opslaan.Select System assigned > On > Save. Wanneer u wordt gevraagd om te bevestigen, selecteert u Ja.When Azure prompts you to confirm, select Yes.

      De door het systeem toegewezen identiteit uitschakelen

    • Selecteer de gebruiker die is toegewezen en de beheerde identiteit, en selecteer vervolgens verwijderen.Select User assigned and the managed identity, and then select Remove. Wanneer u wordt gevraagd om te bevestigen, selecteert u Ja.When Azure prompts you to confirm, select Yes.

      De door de gebruiker toegewezen identiteit verwijderen

De beheerde identiteit is nu uitgeschakeld in uw logische app.The managed identity is now disabled on your logic app.

Beheerde identiteit in Azure Resource Manager sjabloon uitschakelenDisable managed identity in Azure Resource Manager template

Als u de beheerde identiteit van de logische app hebt gemaakt met behulp van een Azure Resource Manager sjabloon, stelt u de identity onderliggende eigenschap van het object type in op None .If you created the logic app's managed identity by using an Azure Resource Manager template, set the identity object's type child property to None. Voor de door het systeem beheerde identiteit verwijdert deze actie ook de principal-ID van Azure AD.For the system-managed identity, this action also deletes the principal ID from Azure AD.

"identity": {
   "type": "None"
}

Volgende stappenNext steps