Autentisera åtkomst till Azure-resurser med hanterade identiteter i Azure Logic Apps

  • Artikel
  • 26 minuter för att läsa

Vissa utlösare och åtgärder i logikapparbetsflöden stöder användning av en hanterad identitet ,som tidigare kallades hanterad tjänstidentitet (MSI), för att autentisera anslutningar till resurser som skyddas av Azure Active Directory (Azure AD). När logikappresursen har en hanterad identitet aktiverad behöver du inte ange autentiseringsuppgifter, hemligheter eller Azure AD-token. Azure hanterar den här identiteten och hjälper till att skydda autentiseringsinformation eftersom du inte behöver hantera den här känsliga informationen.

Azure Logic Apps stöder den systemtilldelningadehanterade identiteten , som du kan använda med endast en logikappresurs och den användar tilldelade hanterade identiteten ,som du kan dela mellan en grupp logikappresurser, baserat på var logikappens arbetsflöden körs.

Resurstyp för logikapp Miljö Description
Förbrukning – Flerklients-Azure Logic Apps

– Integration Service Environment (ISE)

 Du kan aktivera och använda antingen den systemtilldelningsidentiteten eller en enskild användar tilldelad identitet på logikappens resursnivå och anslutningsnivå.
Standard – En klientorganisations-Azure Logic Apps

– App Service-miljön v3 (ASEv3)

– Azure Arc aktiverat Logic Apps

 För närvarande kan du bara använda den system tilldelade identiteten, vilket aktiveras automatiskt. Den användar tilldelade identiteten är för närvarande inte tillgänglig.

Mer information om begränsningar för hanterade identiteter Azure Logic Apps finns i Gränser för hanterade identiteter för logikappar. Mer information om resurstyperna och miljöerna för förbruknings- och standardlogikappen finns i följande dokumentation:

Här kan du använda en hanterad identitet

Endast specifika inbyggda och hanterade anslutningsåtgärder som stöder Azure AD Open Authentication (Azure AD OAuth) kan använda en hanterad identitet för autentisering. Följande tabell innehåller bara ett exempelurval. En mer fullständig lista finns i Autentiseringstyper för utlösare och åtgärder som stöder autentisering och Azure-tjänster som stöder Azure AD-autentisering med hanterade identiteter.

I följande tabell visas de åtgärder där du kan använda antingen den systemtilldelningade hanterade identiteten eller den användar tilldelade hanterade identiteten i resurstypen Logikapp (förbrukning):

Åtgärdstyp Åtgärder som stöds
Inbyggd – Azure API Management
– Azure App Services
– Azure Functions
– HTTP
- HTTP + Webhook

Obs! HTTP-åtgärder kan autentisera anslutningar till Azure Storage-konton bakom Azure-brandväggar med den system tilldelade identiteten. De stöder dock inte den användar tilldelade hanterade identiteten för autentisering av samma anslutningar.
Hanterad anslutningsapp (förhandsversion) Enkel autentisering:
– Azure Automation
– Azure Event Grid
– Azure Key Vault
– Azure Resource Manager
- HTTP med Azure AD

Multiautentisering:
– Azure Blob Storage
– SQL Server

Den här artikeln visar hur du aktiverar och ställer in den systemtilldelningsidentitet eller användartilldelningsidentitet som baseras på om du använder resurstypen Logikapp (förbrukning) eller Logikapp (standard). Till skillnad från den systemtilldelningsidentitet som du inte behöver skapa manuellt, måste du skapa den användartilldelningsidentitet som tilldelats manuellt för resurstypen Logikapp (förbrukning). Den här artikeln innehåller stegen för att skapa den användar tilldelade identiteten med hjälp Azure Portal och Azure Resource Manager (ARM-mall). Mer Azure PowerShell, Azure CLI och Azure REST API finns i följande dokumentation:

Verktyg Dokumentation
Azure PowerShell Skapa användar tilldelad identitet
Azure CLI Skapa användar tilldelad identitet
REST-API för Azure Skapa användar tilldelad identitet

Förutsättningar

  • Ett Azure-konto och prenumeration. Om du inte har någon prenumeration kan du registrera ett kostnadsfritt Azure-konto. Både den hanterade identiteten och azure-målresursen där du behöver åtkomst måste använda samma Azure-prenumeration.

  • Om du vill ge en hanterad identitet åtkomst till en Azure-resurs måste du lägga till en roll till målresursen för den identiteten. Om du vill lägga till roller behöver du Azure AD-administratörsbehörigheter som kan tilldela roller till identiteter i motsvarande Azure AD-klientorganisation.

  • Den Azure-målresurs som du vill komma åt. På den här resursen lägger du till en roll för den hanterade identiteten som hjälper logikappresursen eller anslutningen att autentisera åtkomsten till målresursen.

  • Logikappresursen där du vill använda utlösaren eller åtgärderna som stöder hanterade identiteter.

    Resurstyp för logikapp Stöd för hanterade identiteter
    Förbrukning System-tilldelad eller användar tilldelad identitet
    Standard System tilldelad identitet (automatiskt aktiverad)

Aktivera system tilldelad identitet i Azure Portal

  1. I Azure Portaldu logikappresursen.

  2. På logikappmenyn går du till Inställningar och väljer Identitet.

  3. I fönstret Identitet går du till System tilldelad och väljer > Spara. När Azure uppmanar dig att bekräfta väljer du Ja.

    Skärmbild som Azure Portal med förbrukningslogikappens fönster "Identitet" och fliken "System tilldelad" med "På" och "Spara" valt.

    Anteckning

    Om du får ett felmeddelande om att du bara kan ha en enda hanterad identitet är logikappresursen redan associerad med den användar tilldelade identiteten. Innan du kan lägga till den systemtilldelningade identiteten måste du först ta bort den användar tilldelade identiteten från logikappresursen.

    Logikappresursen kan nu använda den systemtilldelningsidentitet som är registrerad i Azure AD och representeras av ett objekt-ID.

    Skärmbild som visar logikappens fönster "Identity" (Identitet) med objekt-ID för system tilldelad identitet.

    Egenskap Värde Beskrivning
    Objekt-ID (huvudnamn) <identity-resource-ID> En globalt unik identifierare (GUID) som representerar den system tilldelade identiteten för logikappen i en Azure AD-klientorganisation.

  4. Följ nu stegen som ger identiteten åtkomst till resursen senare i det här avsnittet.

Aktivera system tilldelad identitet i en ARM-mall

Om du vill automatisera skapandet och distributionen av Azure-resurser, till exempel logikappar, kan du använda en ARM-mall. Om du vill aktivera den system tilldelade hanterade identiteten för logikappresursen i mallen lägger du till objektet och den underordnade egenskapen i identity type logikappens resursdefinition i mallen, till exempel:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

När Azure skapar din resursdefinition för logikappen identity hämtar objektet följande andra egenskaper:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Egenskap (JSON) Värde Beskrivning
principalId <principal-ID> Globalt unik identifierare (GUID) för tjänstens huvudnamnsobjekt för den hanterade identitet som representerar din logikapp i Azure AD-klientorganisationen. Detta GUID visas ibland som ett "objekt-ID" eller objectID .
tenantId <Azure-AD-tenant-ID> Globalt unik identifierare (GUID) som representerar Den Azure AD-klientorganisation där logikappen nu är medlem. I Azure AD-klientorganisationen har tjänstens huvudnamn samma namn som logikappinstansen.

Skapa användar tilldelad identitet i Azure Portal (endast förbrukning)

Innan du kan aktivera den användar tilldelade identiteten på din logikappresurs (förbrukning) måste du först skapa identiteten som en separat Azure-resurs.

  1. I Azure Portal sökrutan anger du managed identities . Välj Hanterade identiteter.

    Skärmbild som Azure Portal med "Hanterade identiteter" valt.

  2. I fönstret Hanterade identiteter väljer du Skapa.

    Skärmbild som visar fönstret "Hanterade identiteter" och "Skapa" markerat.

  3. Ange information om din hanterade identitet och välj sedan Granska + skapa, till exempel:

    Skärmbild som visar fönstret "Skapa användar tilldelad hanterad identitet" med information om hanterad identitet.

    Egenskap Krävs Värde Beskrivning
    Prenumeration Yes <Azure-subscription-name> Namnet på Azure-prenumerationen som ska användas
    Resursgrupp Yes <Azure-resource-group-name> Namnet på den Azure-resursgrupp som ska användas. Skapa en ny grupp eller välj en befintlig grupp. I det här exemplet skapas en ny grupp med namnet fabrikam-managed-identities-RG .
    Region Yes <Azure-region> Den Azure-region där du vill lagra information om din resurs. I det här exemplet används USA, västra.
    Namn Yes <user-assigned-identity-name> Namnet som ska ge den användar tilldelade identiteten. I det här exemplet används Fabrikam-user-assigned-identity.

    När informationen har verifierats skapar Azure din hanterade identitet. Nu kan du lägga till den användar tilldelade identiteten till din logikappresurs, som bara kan ha en användar tilldelad identitet.

  4. I Azure Portal du logikappresursen.

  5. På logikappmenyn går du till Inställningar och väljer Identitet.

  6. I fönstret Identitet väljer du Användar tilldelad Lägg > till.

    Skärmbild som visar fönstret "Identitet" med "Lägg till" markerat.

  7. I fönstret Lägg till användar tilldelad hanterad identitet följer du dessa steg:

    1. I listan Prenumeration väljer du din Azure-prenumeration, om du inte redan har valt den.

    2. I listan med alla hanterade identiteter i prenumerationen väljer du den användar tilldelade identiteten som du vill använda. Filtrera listan genom att i sökrutan Användartilldelningar för hanterade identiteter ange namnet på identiteten eller resursgruppen.

      Skärmbild som visar den användar tilldelade identiteten vald.

    3. När du är klar väljer du Lägg till.

      Anteckning

      Om du får ett felmeddelande om att du bara kan ha en enda hanterad identitet är logikappen redan associerad med den system tilldelade identiteten. Innan du kan lägga till den användar tilldelade identiteten måste du först inaktivera den system tilldelade identiteten.

    Logikappen är nu associerad med den användar tilldelade hanterade identiteten.

    Skärmbild som visar associationen mellan användartilldelningsidentitet och logikappresurs.

  8. Följ nu stegen som ger identiteten åtkomst till resursen senare i det här avsnittet.

Skapa användar tilldelad identitet i en ARM-mall (endast förbrukning)

Om du vill automatisera skapandet och distributionen av Azure-resurser, till exempel logikappar, kan du använda en ARM-mallsom stöder användar tilldelade identiteter för autentisering. I mallavsnittet resources kräver logikappens resursdefinition följande objekt:

  • Ett identity objekt med egenskapen inställd typeUserAssigned

  • Ett userAssignedIdentities underordnat objekt som anger den användar tilldelade resursen och namnet

Det här exemplet visar en resursdefinition för en logikapp för en HTTP PUT-begäran och innehåller ett icke-parametriserat identity objekt. Svaret på PUT-begäran och efterföljande GET-åtgärd har också det här identity objektet:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Om mallen även innehåller resursdefinitionen för den hanterade identiteten kan du parameterisera identity objektet. Det här exemplet visar hur det userAssignedIdentities underordnade objektet userAssignedIdentity refererar till en variabel som du definierar i mallens variables -avsnitt. Den här variabeln refererar till resurs-ID:t för din användartilldelningsidentitet.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Ge identitetsåtkomst till resurser

Innan du kan använda logikappens hanterade identitet för autentisering måste du, på den Azure-resurs där du vill använda identiteten, konfigurera åtkomst för din identitet med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Stegen i det här avsnittet omfattar hur du tilldelar lämplig roll till den identiteten på Azure-resursen med hjälp av Azure Portal och Azure Resource Manager (ARM-mall). Mer Azure PowerShell, Azure CLI och Azure REST API finns i följande dokumentation:

Verktyg Dokumentation
Azure PowerShell Lägg till rolltilldelning
Azure CLI Lägg till rolltilldelning
REST-API för Azure Lägg till rolltilldelning

Tilldela rollbaserad åtkomst för hanterad identitet i Azure Portal

På Den Azure-resurs där du vill använda den hanterade identiteten för autentisering måste du tilldela identiteten till en roll som har åtkomst till målresursen. Mer allmän information om den här uppgiften finns i Tilldela en hanterad identitetsåtkomst till en annan resurs med Hjälp av Azure RBAC.

Anteckning

När en hanterad identitet har åtkomst till en Azure-resurs i samma prenumeration kan identiteten bara komma åt den resursen. Men i vissa utlösare och åtgärder som stöder hanterade identiteter måste du först välja den Azure-resursgrupp som innehåller målresursen. Om identiteten inte har åtkomst på resursgruppsnivå visas inga resurser i den gruppen, trots att du har åtkomst till målresursen.

För att hantera det här beteendet måste du även ge identiteten åtkomst till resursgruppen, inte bara resursen. Om du måste välja din prenumeration innan du kan välja målresursen måste du ge identiteten åtkomst till prenumerationen.

  1. I Azure Portaldu den resurs där du vill använda identiteten.

  2. På resursens meny väljer du Åtkomstkontroll (IAM) Lägg till > Lägg till > rolltilldelning.

    Anteckning

    Om alternativet Lägg till rolltilldelning är inaktiverat har du inte behörighet att tilldela roller. Mer information finns i Inbyggda roller i Azure AD.

  3. Tilldela nu den nödvändiga rollen till din hanterade identitet. På fliken Roll tilldelar du en roll som ger din identitet nödvändig åtkomst till den aktuella resursen.

    I det här exemplet tilldelar du rollen med namnet Storage Blob Data Contributor, som innehåller skrivåtkomst för blobar i en Azure Storage container. Mer information om specifika roller för lagringscontainer finns i Roller som kan komma åt blobar i en Azure Storage container.

  4. Välj sedan den hanterade identitet där du vill tilldela rollen. Under Tilldela åtkomst till väljer du Hanterad identitet Lägg till > medlemmar.

  5. Välj eller ange följande värden baserat på typen av hanterad identitet:

    Typ Azure-tjänstinstans Prenumeration Medlem
    System-tilldelad Logikapp <Azure-subscription-name> <your-logic-app-name>
    Användar tilldelad (endast förbrukning) Inte tillämpligt <Azure-subscription-name> <your-user-assigned-identity-name>

    Mer information om hur du tilldelar roller finns i dokumentationen Tilldela roller med hjälp av Azure Portal.

  6. När du är klar med att konfigurera åtkomst för identiteten kan du sedan använda identiteten för att autentisera åtkomst för utlösare och åtgärder som stöder hanterade identiteter.

Autentisera åtkomst med hanterad identitet

När du aktiverar den hanterade identiteten för logikappresursen och ger identiteten åtkomst till målresursen eller entiteten kandu använda den identiteten i utlösare och åtgärder som stöder hanterade identiteter.

Viktigt

Om du har en Azure-funktion där du vill använda den system tilldelade identiteten aktiverar du först autentisering för Azure Functions.

De här stegen visar hur du använder den hanterade identiteten med en utlösare eller åtgärd via Azure Portal. Om du vill ange den hanterade identiteten i en utlösare eller åtgärds underliggande JSON-definition kan du läsa Hanterad identitetsautentisering.

  1. I Azure Portaldu logikappresursen.

  2. Om du inte har gjort det ännu lägger du till utlösaren eller åtgärden som stöder hanterade identiteter.

    Anteckning

    Det är inte alla utlösare och åtgärder som stöder att du lägger till en autentiseringstyp. Mer information finns i Autentiseringstyper för utlösare och åtgärder som stöder autentisering.

  3. Följ dessa steg för utlösaren eller åtgärden som du lade till:

    • Inbyggda åtgärder som stöder autentisering med hanterad identitet

      1. I listan Lägg till ny parameter lägger du till egenskapen Autentisering om egenskapen inte redan visas.

        Skärmbild som visar exempel på inbyggd åtgärd med listan "Lägg till ny parameter" öppen och "Autentisering" valt i Förbrukning.

      2. I listan Autentiseringstyp väljer du Hanterad identitet.

        Skärmbild som visar exempel på inbyggd åtgärd med listan "Autentiseringstyp" öppen och "Hanterad identitet" som valts i Förbrukning.

      Mer information finns i Exempel: Autentisera inbyggd utlösare eller åtgärd med en hanterad identitet.

    • Åtgärder för hanterad anslutningsapp som stöder autentisering av hanterad identitet (förhandsversion)

      1. På sidan för val av klientorganisation väljer Anslut med hanterad identitet (förhandsversion), till exempel:

        Skärmbild som Azure Resource Manager åtgärd och "Anslut med hanterad identitet" som valts i Förbrukning.

      2. På nästa sida, för Anslutningsnamn, anger du ett namn som ska användas för anslutningen.

      3. För autentiseringstypen väljer du något av följande alternativ baserat på din hanterade anslutningsapp:

        • Enkel autentisering: De här anslutningsapparna stöder endast en autentiseringstyp. I listan Hanterad identitet väljer du den hanterade identitet som är aktiverad, om den inte redan är markerad, och väljer sedan Skapa, till exempel:

          Skärmbild som visar sidan med anslutningsnamn och en enskild hanterad identitet som valts i Förbrukning.

        • Multiautentisering: De här anslutningsapparna stöder mer än en autentiseringstyp. I listan Autentiseringstyp väljer du Logic Apps Skapa hanterad > identitet, till exempel:

          Skärmbild som visar sidan anslutningsnamn och "Logic Apps hanterad identitet" som valts i Förbrukning.

        Mer information finns i Exempel: Autentisera utlösare för hanterad anslutningsapp eller åtgärd med en hanterad identitet.

Exempel: Autentisera inbyggd utlösare eller åtgärd med en hanterad identitet

Den inbyggda HTTP-utlösaren eller åtgärden kan använda den systemtilldelningsidentitet som du aktiverar på logikappresursen. I allmänhet använder HTTP-utlösaren eller åtgärden följande egenskaper för att ange den resurs eller entitet som du vill komma åt:

Egenskap Krävs Beskrivning
Metod Yes HTTP-metoden som används av den åtgärd som du vill köra
URI Yes Slutpunkts-URL för åtkomst till Azure-målresursen eller -entiteten. URI-syntaxen innehåller vanligtvis resurs-ID:t för Azure-resursen eller -tjänsten.
Sidhuvuden No Alla rubrikvärden som du behöver eller vill inkludera i den utgående begäran, till exempel innehållstypen
Frågor No Eventuella frågeparametrar som du behöver eller vill ta med i begäran, till exempel parametern för en specifik åtgärd eller API-versionen för den åtgärd som du vill köra
Autentisering Yes Den autentiseringstyp som ska användas för att autentisera åtkomsten till målresursen eller entiteten

Anta till exempel att du vill köra åtgärden Ögonblicksbildblob på en blob i det Azure Storage-konto där du tidigare konfigurerade åtkomst för din identitet. Men Azure Blob Storage anslutningsappen erbjuder för närvarande inte den här åtgärden. I stället kan du köra den här åtgärden med hjälp av HTTP-åtgärden eller en annan Blob Tjänst-REST-API åtgärd.

Viktigt

Om du vill komma åt Azure Storage-konton bakom brandväggar med hjälp av HTTP-begäranden och hanterade identiteter måste du också konfigurera ditt lagringskonto med undantag som tillåter åtkomst av betrodda Microsoft-tjänster.

Om du vill köra åtgärden Ögonblicksbildsblobanger HTTP-åtgärden följande egenskaper:

Egenskap Krävs Exempelvärde Description
Metod Yes PUT HTTP-metoden som ögonblicksbildblobåtgärden använder
URI Yes https://<storage-account-name>/<folder-name>/{name} Resurs-ID:t för en Azure Blob Storage fil i Azure Global-miljön (offentlig) som använder den här syntaxen
Sidhuvuden För Azure Storage x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 Värdena x-ms-blob-type , och huvudet krävs för Azure Storage x-ms-version x-ms-date åtgärder.

Viktigt! I utgående HTTP-utlösare och åtgärdsbegäranden Azure Storage kräver -huvudet egenskapen och API-versionen för den x-ms-version åtgärd som du vill köra. måste x-ms-date vara det aktuella datumet. Annars misslyckas arbetsflödet med ett 403 FORBIDDEN fel. Om du vill hämta aktuellt datum i det format som krävs kan du använda uttrycket i exempelvärdet.

Mer information finns i följande avsnitt:

- Begärandehuvuden – Ögonblicksbildblob
- Versionshantering för Azure Storage tjänster
Frågor Endast för åtgärden Ögonblicksbildsblob comp = snapshot Frågeparameterns namn och värde för åtgärden.

I följande exempel visas en HTTP-exempelåtgärd med alla tidigare beskrivna egenskapsvärden som ska användas för åtgärden Snapshot Blob:

Skärmbild som Azure Portal med arbetsflödet för logikappen Consumption och EN HTTP-åtgärd konfigurerad för åtkomst till resursen.

  1. När du har lagt till HTTP-åtgärden lägger du till egenskapen Autentisering i HTTP-åtgärden. I listan Lägg till ny parameter väljer du Autentisering.

    Skärmbild som visar arbetsflödet förbrukning med HTTP-åtgärden och listan "Lägg till ny parameter" öppen med egenskapen "Autentisering" markerad.

    Anteckning

    Det är inte alla utlösare och åtgärder som stöder att du lägger till en autentiseringstyp. Mer information finns i Autentiseringstyper för utlösare och åtgärder som stöder autentisering.

  2. I listan Autentiseringstyp väljer du Hanterad identitet.

    Skärmbild som visar arbetsflödet Förbrukning med HTTP-åtgärden och egenskapen "Autentisering" med värdet "Hanterad identitet" valt.

  3. I listan över hanterade identiteter väljer du bland de tillgängliga alternativen baserat på ditt scenario.

    • Om du ställer in den system tilldelade identiteten väljer du System-tilldelad hanterad identitet om du inte redan har valt den.

      Skärmbild som visar arbetsflödet förbrukning med HTTP-åtgärden och egenskapen "Hanterad identitet" med värdet "System-tilldelad hanterad identitet" valt.

    • Om du ställer in en användar tilldelad identitet väljer du den identiteten om du inte redan har valt den.

      Skärmbild som visar arbetsflödet Förbrukning med HTTP-åtgärden och egenskapen "Hanterad identitet" med användar tilldelad identitet vald.

    Det här exemplet fortsätter med den system tilldelade hanterade identiteten.

  4. På vissa utlösare och åtgärder visas även egenskapen Målgrupp där du kan ange målresurs-ID:t. Ange egenskapen Målgrupp till resurs-ID:t för målresursen eller tjänsten. Annars använder egenskapen Målgrupp som standard https://management.azure.com/ resurs-ID:t, som är resurs-ID:t för Azure Resource Manager.

    Om du till exempel vill autentisera åtkomsten till en Key Vault-resurs i det globala Azure-molnetmåste du ange egenskapen Målgrupp till exakt följande resurs-ID: https://vault.azure.net . Observera att det här specifika resurs-ID:t inte har några avslutande snedstreck. Att inkludera ett avslutande snedstreck kan i själva verket leda till 400 Bad Request antingen ett fel eller ett 401 Unauthorized fel.

    Viktigt

    Kontrollera att målresurs-ID:t exakt matchar det värde som Azure Active Directory (AD) förväntar sig, inklusive eventuella avslutande snedstreck som krävs. Resurs-ID:t för alla Azure Blob Storage-konton kräver till exempel ett avslutande snedstreck. Resurs-ID:t för ett specifikt lagringskonto kräver dock inte något avslutande snedstreck. Kontrollera resurs-ID:erna för de Azure-tjänster som stöder Azure AD.

    I det här exemplet anges egenskapen Målgrupp https://storage.azure.com/ till så att de åtkomsttoken som används för autentisering är giltiga för alla lagringskonton. Du kan dock även ange rottjänstens URL, https://<your-storage-account>.blob.core.windows.net , för ett specifikt lagringskonto.

    Skärmbild som visar arbetsflödet förbrukning med HTTP-åtgärden och egenskapen "Målgrupp" inställd på målresurs-ID.

    Mer information om hur du auktoriserar åtkomst med Azure AD för Azure Storage finns i följande dokumentation:

  5. Fortsätt att skapa arbetsflödet som du vill.

Exempel: Autentisera utlösare eller åtgärd för hanterad anslutningsapp med en hanterad identitet

Den Azure Resource Manager hanterade anslutningsappen har en åtgärd, Läs en resurs , som kan använda den hanterade identitet som du aktiverar på logikappresursen. Det här exemplet visar hur du använder den system tilldelade hanterade identiteten.

  1. När du har lagt till åtgärden i arbetsflödet och valt din Azure AD-klientorganisation väljer du Anslut hanterad identitet (förhandsversion).

    Skärmbild som Azure Resource Manager åtgärden och "Anslut med hanterad identitet" vald.

  2. På sidan anslutningsnamn anger du ett namn för anslutningen och väljer den hanterade identitet som du vill använda.

    Åtgärden Azure Resource Manager en enda autentiseringsåtgärd, så fönstret med anslutningsinformation visar en lista över hanterade identiteter som automatiskt väljer den hanterade identitet som för närvarande är aktiverad på logikappresursen. Om du har aktiverat en system tilldelad hanterad identitet väljer listan Hanterad identitet System-tilldelad hanterad identitet. Om du i stället hade aktiverat en användar tilldelad hanterad identitet väljer listan den identiteten i stället.

    Om du använder en utlösare eller åtgärd för flera autentiseringar, till exempel Azure Blob Storage, visar fönstret anslutningsinformation en lista med autentiseringstyp som innehåller alternativet Logic Apps hanterad identitet bland andra autentiseringstyper.

    I det här exemplet är System-tilldelad hanterad identitet det enda tillgängliga valet.

    Skärmbild som Azure Resource Manager åtgärd med anslutningsnamnet angivet och "System-tilldelad hanterad identitet" valt.

    Anteckning

    Om den hanterade identiteten inte är aktiverad när du försöker skapa anslutningen, ändrar anslutningen eller har tagits bort när det fortfarande finns en hanterad identitetsaktiverad anslutning visas ett felmeddelande om att du måste aktivera identiteten och bevilja åtkomst till målresursen.

  3. När du är klar väljer du Skapa.

  4. När anslutningen har skapats kan designern hämta dynamiska värden, innehåll eller scheman med hjälp av hanterad identitetsautentisering.

  5. Fortsätt att skapa arbetsflödet som du vill.

Resursdefinition och anslutningar för logikapp som använder en hanterad identitet (förbrukning)

En anslutning som aktiverar och använder en hanterad identitet är en särskild anslutningstyp som endast fungerar med en hanterad identitet. Vid körning använder anslutningen den hanterade identitet som är aktiverad på logikappresursen. Vid körning kontrollerar Azure Logic Apps-tjänsten om en hanterad anslutningsutlösare och åtgärder i logikappens arbetsflöde har ställts in för att använda den hanterade identiteten och att alla nödvändiga behörigheter har ställts in för att använda den hanterade identiteten för åtkomst till de målresurser som anges av utlösaren och åtgärderna. Om åtgärden lyckas Azure Logic Apps den Azure AD-token som är associerad med den hanterade identiteten och använder den identiteten för att autentisera åtkomsten till målresursen och utföra den konfigurerade åtgärden i utlösare och åtgärder.

I en logikappresurs (förbrukning) sparas anslutningskonfigurationen i logikappens resursdefinitionsobjekt, som innehåller objektet som innehåller pekare till anslutningens resurs-ID tillsammans med identitetens parameters resurs-ID, om den användar tilldelade identiteten $connections är aktiverad.

Det här exemplet visar hur konfigurationen ser ut när logikappen aktiverar den system tilldelade hanterade identiteten:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Det här exemplet visar hur konfigurationen ser ut när logikappen aktiverar en användar tilldelad hanterad identitet:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}",
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

ARM-mall för hanterade anslutningar och hanterade identiteter (förbrukning)

Om du automatiserar distributionen med en ARM-mall och logikappens arbetsflöde innehåller en utlösare eller åtgärd för hanterad anslutningsapp som använder en hanterad identitet, bekräftar du att den underliggande anslutningsresursdefinitionen innehåller egenskapen med som parameterValueType Alternative egenskapsvärde. Annars kommer ARM-distributionen inte konfigurera anslutningen till att använda den hanterade identiteten för autentisering och anslutningen fungerar inte i logikappens arbetsflöde. Det här kravet gäller endast för specifika utlösare för hanterade anslutningsappar och åtgärder där du valde Anslut med hanterad identitet.

Här är till exempel den underliggande definitionen av anslutningsresursen för en Azure Automation-åtgärd som använder en hanterad identitet där definitionen innehåller egenskapen , som anges till parameterValueType Alternative som egenskapsvärde:

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('automationAccountApiConnectionName')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('automationAccountApiConnectionName')]",
        "parameterValueType": "Alternative"
    }
},

Inaktivera hanterad identitet

Om du vill sluta använda den hanterade identiteten för autentisering tar du först bort identitetens åtkomst till målresursen. På logikappresursen inaktiverar du sedan den systemtilldelningade identiteten eller tar bort den användar tilldelade identiteten.

När du inaktiverar den hanterade identiteten på logikappresursen tar du bort funktionen för identiteten för att begära åtkomst för Azure-resurser där identiteten hade åtkomst.

Anteckning

Om du inaktiverar den system tilldelade identiteten fungerar inte alla anslutningar som används av arbetsflöden i logikappens arbetsflöde vid körning, även om du omedelbart aktiverar identiteten igen. Det här beteendet beror på att objekt-ID:t tas bort om du inaktiverar identiteten. Varje gång du aktiverar identiteten genererar Azure identiteten med ett annat och unikt objekt-ID. För att lösa det här problemet måste du återskapa anslutningarna så att de använder det aktuella objekt-ID:t för den aktuella system tilldelade identiteten.

Försök att undvika att inaktivera den system tilldelade identiteten så mycket som möjligt. Om du vill ta bort identitetens åtkomst till Azure-resurser tar du bort identitetens rolltilldelning från målresursen. Om du tar bort logikappresursen tar Azure automatiskt bort den hanterade identiteten från Azure AD.

Stegen i det här avsnittet omfattar användning av Azure Portal och Azure Resource Manager mallen (ARM-mall). Mer Azure PowerShell, Azure CLI och Azure REST API finns i följande dokumentation:

Verktyg Dokumentation
Azure PowerShell 1. Ta bort rolltilldelningen.
2. Ta bort användar tilldelad identitet.
Azure CLI 1. Ta bort rolltilldelningen.
2. Ta bort användar tilldelad identitet.
REST-API för Azure 1. Ta bort rolltilldelningen.
2. Ta bort användar tilldelad identitet.

Inaktivera hanterad identitet i Azure Portal

Om du vill ta bort åtkomsten för den hanterade identiteten tar du bort identitetens rolltilldelning från målresursen och inaktiverar sedan den hanterade identiteten.

Ta bort rolltilldelning

Följande steg tar bort åtkomsten till målresursen från den hanterade identiteten:

  1. I den Azure Portaldu till Den Azure-målresurs där du vill ta bort åtkomsten för den hanterade identiteten.

  2. På målresursens meny väljer du Åtkomstkontroll (IAM). Under verktygsfältet väljer du Rolltilldelningar.

  3. I listan över roller väljer du de hanterade identiteter som du vill ta bort. Välj Ta bort i verktygsfältet.

    Tips

    Om alternativet Ta bort är inaktiverat har du förmodligen inte behörighet. Mer information om de behörigheter som gör att du kan hantera roller för resurser finns i Behörigheter för administratörsroll i Azure Active Directory.

Inaktivera hanterad identitet på logikappresurs

  1. I Azure Portaldu logikappresursen.

  2. På navigeringsmenyn för logikappen går Inställningar väljer du Identitet och följer sedan stegen för din identitet:

    • Välj System tilldelad > > Spara. När Azure uppmanar dig att bekräfta väljer du Ja.

    • Välj Användar tilldelad och den hanterade identiteten och välj sedan Ta bort. När Azure uppmanar dig att bekräfta väljer du Ja.

Inaktivera hanterad identitet i en ARM-mall

Om du har skapat logikappens hanterade identitet med hjälp av en ARM-mall anger du identity objektets type underordnade egenskap till None .

"identity": {
   "type": "None"
}

Nästa steg