Azure kaynaklarında yönetilen kimlikleri kullanarak Azure kaynaklarına erişimin Azure Logic Apps

Mantıksal uygulama iş akışlarında bazı tetikleyiciler ve eylemler,Azure Active Directory (Azure AD) tarafından korunan kaynaklara bağlanırken kimlik doğrulaması için daha önce Yönetilen Hizmet Kimliği (MSI) olarak bilinen yönetilen kimlik kullanmayı destekler. Mantıksal uygulama kaynağınız etkinleştirilmiş ve ayarlanmış bir yönetilen kimliğe sahipse, kendi kimlik bilgilerinizi, gizli dizilerinizi veya Azure AD belirteçlerinizi kullanmak zorunda olmazsınız. Azure bu kimliği yönetir ve gizli dizileri veya belirteçleri yönetmek zorunda olmadığınız için kimlik doğrulama bilgilerini güvende tutmaya yardımcı olur.

Bu makalede, mantıksal uygulamanız için her iki tür yönetilen kimliğin nasıl ayarlay olduğu açıklanmıştır. Daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

Yönetilen kimlikleri kullanma yeri

Azure Logic Apps, mantıksal uygulama iş akışlarının çalıştırdığı yere bağlı olarak bir grup mantıksal uygulama arasında paylaştırabilirsiniz hem sistem tarafından atanan yönetilen kimlikleri hem de kullanıcı tarafından atanan yönetilen kimlikleri destekler:

  • Çok kiracılı (Tüketim planı) tabanlı mantıksal uygulama hem sistem tarafından atanan kimliği hem de tek bir kullanıcı tarafından atanan kimliği destekler. Ancak mantıksal uygulama düzeyinde veya bağlantı düzeyinde yalnızca bir yönetilen kimlik türü kullanabilirsiniz çünkü her ikisini aynı anda etkinleştiresiniz.

    Tek kiracılı (Standart plan) tabanlı bir mantıksal uygulama şu anda yalnızca sistem tarafından atanan kimliği destekler.

    Çok kiracılı (Tüketim planı) ve tek kiracılı (Standart plan) hakkında daha fazla bilgi için, Tek kiracılı ve çok kiracılı ve tümleştirme hizmeti ortamı belgelerini gözden geçirebilirsiniz.

  • Kimlik doğrulaması için yalnızca Azure AD Açık Kimlik Doğrulamasını destekleyen belirli yerleşik ve yönetilen bağlayıcı işlemleri yönetilen kimlik kullanabilir. Aşağıdaki tabloda yalnızca örnek bir seçimi yer alır. Daha eksiksiz bir liste için kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için Kimlik doğrulaması türlerini gözden geçirebilirsiniz.

    İşlem türü Desteklenen işlemler
    Yerleşik - Azure API Management
    - Azure Uygulama Hizmetleri
    - Azure İşlevleri
    - HTTP
    - HTTP + Web Kancası

    Not: HTTP işlemleri, sistem tarafından atanan kimlikle Azure güvenlik duvarlarının arkasındaki Azure Depolama hesaplarına yönelik bağlantıların kimliğini doğrulasa da, aynı bağlantıların kimliğini doğrulamak için kullanıcı tarafından atanan yönetilen kimliği desteklemez.

    Yönetilen bağlayıcı (Önizleme) - Azure Otomasyonu
    - Azure Event Grid
    - Azure Key Vault
    - Azure Resource Manager
    - Azure AD ile HTTP

Önkoşullar

  • Bir Azure hesabı ve aboneliği Aboneliğiniz yoksa, ücretsiz bir Azure hesabı için kaydolun. Hem yönetilen kimlik hem de erişime ihtiyacınız olan hedef Azure kaynağının aynı Azure aboneliğini kullanması gerekir.

  • Bir Azure kaynağına yönetilen kimlik erişimi vermek için bu kimliğin hedef kaynağına bir rol eklemeniz gerekir. Rol eklemek için, ilgili Azure AD kiracısı içinde kimliklere rol atayabilirsiniz Azure AD yönetici izinlerine ihtiyacınız vardır.

  • Erişmek istediğiniz hedef Azure kaynağı. Bu kaynakta, yönetilen kimlik için mantıksal uygulamanın hedef kaynağa erişimin kimliğini doğrulamasına yardımcı olan bir rol eksersiniz.

  • Yönetilen kimlikleri destekleyen tetikleyiciyi veya eylemleri kullanmak istediğiniz mantıksal uygulama.

Yönetilen kimliği etkinleştirme

Kullanmak istediğiniz yönetilen kimliği ayarlamak için bu kimliğin bağlantısını izleyin:

Sistem tarafından atanan kimliği etkinleştirme

Kullanıcı tarafından atanan kimliklerin aksine, sistem tarafından atanan kimliği el ile oluşturmanız gerekmez. Mantıksal uygulamanıza sistem tarafından atanan kimliği ayarlamak için kullanabileceğiniz seçenekler şunlardır:

Azure portal'de sistem tarafından atanan kimliği Azure portal

  1. uygulama Azure portalmantıksal uygulamanızı tasarımcı görünümünde açın.

  2. Mantıksal uygulama menüsündeki Uygulama'nın Ayarlar Kimlik'i seçin. Kaydet'e Atanan > Sistem'i > seçin. Azure onaylamanızı isteminde Evet'i seçin.

    Sistem tarafından atanan kimliği etkinleştirme

    Not

    Yalnızca tek bir yönetilen kimliğe sahip olduğunuzla ilgili bir hata alırsanız mantıksal uygulamanız kullanıcı tarafından atanan kimlikle zaten ilişkilendirildi. Sistem tarafından atanan kimliği ekleymeden önce mantıksal uygulamanıza kullanıcı tarafından atanan kimliği kaldırmanız gerekir.

    Mantıksal uygulamanız artık Azure AD'ye kayıtlı ve bir nesne kimliğiyle temsil edilen sistem tarafından atanan kimliği kullanabilir.

    Sistem tarafından atanan kimlik için Nesne Kimliği

    Özellik Değer Açıklama
    Nesne kimliği <identity-resource-ID> Azure AD kiracısı içinde mantıksal uygulamanıza yönelik sistem tarafından atanan kimliği temsil eden Genel Olarak Benzersiz Tanımlayıcı (GUID)
  3. Şimdi bu konunun ilerleyen adımlarında bu kimliğe kaynağa erişim izni verecek adımları izleyin.

ARM şablonunda sistem tarafından atanan kimliği etkinleştirme

Mantıksal uygulamalar gibi Azure kaynaklarını oluşturma ve dağıtma işlemini otomatikleştirmek için ARM şablonu kullanabilirsiniz. Şablonda mantıksal uygulamanıza sistem tarafından atanan yönetilen kimliği etkinleştirmek için nesneyi ve alt özelliği şablonda mantıksal uygulamanın kaynak tanımına identity type ekleyin, örneğin:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {
      "definition": {
         "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
         "actions": {},
         "parameters": {},
         "triggers": {},
         "contentVersion": "1.0.0.0",
         "outputs": {}
   },
   "parameters": {},
   "dependsOn": []
}

Azure mantıksal uygulama kaynak tanımınızı oluşturduğunda identity nesnesi şu diğer özellikleri alır:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Özellik (JSON) Değer Açıklama
principalId <principal-ID> Azure AD kiracısı içinde mantıksal uygulamanızı temsil eden yönetilen kimliğe yönelik hizmet sorumlusu nesnesinin Genel Benzersiz Tanımlayıcı (GUID). Bu GUID bazen "nesne kimliği" veya olarak objectID görünür.
tenantId <Azure-AD-kiracı kimliği> Mantıksal uygulamanın artık üye olduğu Azure AD kiracısını temsil eden Genel Benzersiz Tanımlayıcı (GUID). Azure AD kiracısı içinde hizmet sorumlusu, mantıksal uygulama örneğiyle aynı adı içerir.

Kullanıcı tarafından atanan kimliği etkinleştirme

Mantıksal uygulamanıza kullanıcı tarafından atanan bir yönetilen kimlik ayarlamak için öncelikle bu kimliği ayrı bir tek başına Azure kaynağı olarak oluşturmanız gerekir. Kullanabileceğiniz seçenekler şunlardır:

Kullanıcı tarafından atanan kimliği Azure portal

  1. Herhangi Azure portalsayfasındaki arama kutusuna yazın ve Yönetilen managed identities Kimlikler'i seçin.

    Portalı "Yönetilen Kimlikler" seçili olarak gösteren ekran görüntüsü.

  2. Yönetilen Kimlikler altında Ekle'yi seçin.

    Yeni yönetilen kimlik ekleme

  3. Yönetilen kimliğiniz hakkında bilgi sağlamanın ardından Gözden geçir + Oluştur'ı seçin, örneğin:

    Kullanıcı tarafından atanan yönetilen kimlik oluşturma

    Özellik Gerekli Değer Açıklama
    Abonelik Yes <Azure aboneliği-adı> Kullanmak istediğiniz Azure aboneliğinin adı
    Kaynak grubu Yes <Azure-resource-group-name> Kaynak grubunun adı. Yeni bir grup oluşturun veya var olan bir grubu seçin. Bu örnek adlı yeni bir grup fabrikam-managed-identities-RG oluşturur.
    Bölge Yes <Azure bölgesi> Kaynağınız hakkında bilgilerin depolan Azure bölgesi. Bu örnekte "Batı ABD".
    Ad Yes <kullanıcı tarafından atanan-kimlik-adı> Kullanıcı tarafından atanan kimliğinizin atandığı ad. Bu örnekte Fabrikam-user-assigned-identity kullanılmıştır.

    Azure, bu ayrıntıları doğruladikten sonra yönetilen kimliğinizi oluşturur. Artık mantıksal uygulamanıza kullanıcı tarafından atanan kimliği ekleyebilirsiniz. Mantıksal uygulamanıza birden fazla kullanıcı tarafından atanan kimlik ek devredebilirsiniz.

  4. Mantıksal Azure portal tasarımcı görünümünde açın.

  5. Mantıksal uygulama menüsünde, uygulamanın Ayarlar Kimlik'i ve ardından Kullanıcı tarafından atanan Ekle'yi > seçin.

    Kullanıcı tarafından atanan yönetilen kimlik ekleme

  6. Kullanıcı tarafından atanan yönetilen kimlik ekle bölmesindeki Abonelik listesinden, henüz seçilmemişse Azure aboneliğinizi seçin. Abonelikte tüm yönetilen kimlikleri gösteren listeden, istediğiniz kullanıcı tarafından atanan kimliği seçin. Listeyi filtrelemek için Kullanıcı tarafından atanan yönetilen kimlikler arama kutusuna kimlik veya kaynak grubunun adını girin. Bitirerek Ekle'yi seçin.

    Kullanmak üzere kullanıcı tarafından atanan kimliği seçin

    Not

    Yalnızca tek bir yönetilen kimliğe sahip olduğunuzla ilgili bir hata alırsanız mantıksal uygulamanız sistem tarafından atanan kimlikle zaten ilişkilendirildi. Kullanıcı tarafından atanan kimliği ekleymeden önce mantıksal uygulamanıza sistem tarafından atanan kimliği devre dışı bırakmanız gerekir.

    Mantıksal uygulamanız artık kullanıcı tarafından atanan yönetilen kimlikle ilişkilendirildi.

    Kullanıcı tarafından atanan kimlikle ilişkilendirme

  7. Şimdi bu konunun ilerleyen adımlarında bu kimliğe kaynağa erişim izni verecek adımları izleyin.

ARM şablonunda kullanıcı tarafından atanan kimlik oluşturma

Mantıksal uygulamalar gibi Azure kaynaklarını oluşturma ve dağıtmayı otomatikleştirmek için, kimlik doğrulaması için kullanıcı tarafından atanan kimlikleri destekleyen bir ARM şablonu kullanabilirsiniz. Şablonun bölümünde resources mantıksal uygulamanın kaynak tanımı şu öğeleri gerektirir:

  • özelliği identity olarak ayarlanmış bir type nesne UserAssigned

  • Kullanıcı userAssignedIdentities tarafından atanan kaynağı ve adı belirten bir alt nesne

Bu örnekte, bir HTTP PUT isteği için mantıksal uygulama kaynak tanımı ve parametreleştirilmiş olmayan bir nesne identity içerir. PUT isteğine ve sonraki GET işlemi yanıtını da şu nesne identity içerir:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Şablonunuz yönetilen kimliğin kaynak tanımını da içerirse, nesneyi identity parametreleştirebilirsiniz. Bu örnekte, alt userAssignedIdentities nesnesinin şablon bölümünde userAssignedIdentity tanımladığınız bir değişkene nasıl başvur başvurarak başvurabilirsiniz. variables Bu değişken, kullanıcı tarafından atanan kimliğinizin kaynak kimliğine başvurur.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Kaynaklara kimlik erişimi verme

Kimlik doğrulaması için mantıksal uygulamanın yönetilen kimliğini kullanamadan önce, kimliği kullanmak istediğiniz Azure kaynağında, Azure rol tabanlı erişim denetimi (Azure RBAC) kullanarak kimliğiniz için erişim ayarlamanız gerekir.

Bu görevi tamamlamak için aşağıdaki seçeneklerden herhangi birini kullanarak Azure kaynağında bu kimliğe uygun rolü attayın:

Yönetilen kimlik rol tabanlı erişimi Azure portal

Yönetilen kimliği kullanmak istediğiniz Azure kaynağında, kimliğinizi hedef kaynağa erişen bir role atamanız gerekir. Bu görev hakkında daha fazla genel bilgi için Azure RBAC kullanarak başka bir kaynağa yönetilen kimlik erişimi atama'yı gözden geçirebilirsiniz.

  1. Bu Azure portal,kimliği kullanmak istediğiniz kaynağı açın.

  2. Kaynağın menüsünde Erişim denetimi (IAM) Rol ataması > ekle'yi > seçin.

    Not

    Rol ataması ekle seçeneği devre dışı bırakılırsa rol atama izniniz yok. Daha fazla bilgi için Azure AD yerleşik rolleri'ne bakın.

  3. Şimdi, yönetilen kimliğinize gerekli rolü attayin. Rol sekmesinde, kimliğinize geçerli kaynağa gerekli erişimi veren bir rol attayabilirsiniz.

    Bu örnekte, azure Depolama kapsayıcısında bloblar için yazma erişimi içeren Depolama Blob Verileri Katkıda Bulunanı adlı rolü attayın. Belirli depolama kapsayıcısı rolleri hakkında daha fazla bilgi için azure depolama kapsayıcısı içinde bloblara erişen Depolama gözden geçirebilirsiniz.

  4. Ardından rolü atamak istediğiniz yönetilen kimliği seçin. Erişim ata altında Yönetilen kimlik Üye ekle'yi > seçin.

  5. Yönetilen kimliğinizin türüne bağlı olarak aşağıdaki değerleri seçin veya snın:

    Tür Azure hizmet örneği Abonelik Üye
    Sistem tarafından atanan Mantıksal Uygulama <Azure aboneliği-adı> <mantıksal-uygulama-adınız>
    Kullanıcı tarafından atanan Uygulanamaz <Azure aboneliği-adı> <your-user-assigned-identity-name>

    Rol atama hakkında daha fazla bilgi için, Azure portal.

  6. Kimlik için erişimi ayarlamayı bitirdikten sonra, yönetilen kimlikleri destekleyen tetikleyiciler ve eylemler için erişimin kimliğini doğrulamak üzere kimliği kullanabilirsiniz.

Yönetilen kimlikle erişimin kimliğini doğrulama

Mantıksal uygulamanız için yönetilen kimliği etkinleştirdikten ve bu kimlike hedef kaynak veya varlığa erişim verdikten sonra,bu kimliği yönetilen kimlikleri destekleyen tetikleyicilerde ve eylemlerde kullanabilirsiniz.

Önemli

Sistem tarafından atanan kimliği kullanmak istediğiniz bir Azure işleviniz varsa, önce Azure işlevleri için kimlik doğrulamasını etkinleştirin.

Bu adımlar, yönetilen kimliğin bir tetikleyici veya eylemle birlikte nasıl Azure portal. Bir tetikleyicide veya eylemin temel alınan JSON tanımında yönetilen kimliği belirtmek için bkz. Yönetilen kimlik doğrulaması.

  1. uygulama Azure portalmantıksal uygulamanızı tasarımcı görünümünde açın.

  2. Henüz bunu yapmadıysanız, yönetilen kimlikleri destekleyen tetikleyiciyi veya eylemi ekleyin.

    Not

    Tüm tetikleyiciler ve eylemler kimlik doğrulaması türü eklemenizi desteklemez. Daha fazla bilgi için bkz. Kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulaması türleri.

  3. Eklenen tetikleyicide veya eylemde şu adımları izleyin:

Örnek: Yönetilen kimlikle yerleşik tetikleyicinin veya eylemin kimliğini doğrulama

HTTP tetikleyicisi veya eylemi, mantıksal uygulamanız için etkinleştirmiş olduğunu sistem tarafından atanan kimliği kullanabilir. Genel olarak, HTTP tetikleyicisi veya eylemi, erişmek istediğiniz kaynağı veya varlığı belirtmek için şu özellikleri kullanır:

Özellik Gerekli Açıklama
Yöntem Yes Çalıştırmak istediğiniz işlem tarafından kullanılan HTTP yöntemi
URI Yes Hedef Azure kaynağına veya varlığa erişmek için uç nokta URL'si. URI söz dizimi genellikle Azure kaynağının veya hizmetinin kaynak kimliğini içerir.
Üst Bilgiler Hayır İçerik türü gibi, giden i içeriğe ihtiyacınız olan veya eklemek istediğiniz tüm üst bilgi değerleri
Sorgular Hayır belirli bir işlem için parametre veya çalıştırmak istediğiniz işlem için API sürümü gibi, ihtiyacınız olan veya istekte eklemek istediğiniz tüm sorgu parametreleri
Kimlik Doğrulaması Yes Hedef kaynağa veya varlığa erişimin kimlik doğrulamasını yapmak için kullanılan kimlik doğrulama türü

Belirli bir örnek olarak, daha önce kimliğiniz için erişim ayar istediğiniz Azure Depolama hesabı üzerinde Snapshot Blob işlemi çalıştırmak istediğiniz varsayalım. Ancak, Azure Blob Depolama bağlayıcısı şu anda bu işlemi sunmaz. Bunun yerine, HTTP eylemlerini veya başka bir Blob depolama alanı Hizmet REST API'si çalıştırabilirsiniz.

Önemli

HTTP isteklerini ve yönetilen kimlikleri kullanarak güvenlik duvarlarının arkasındaki Azure depolama hesaplarına erişmek için, depolama hesabınız için güvenilen kimlikler tarafından erişime izin veren özel durumla da ayar Microsoft hizmetleri.

Anlık Görüntü Blobu işlemi çalıştırmakiçin HTTP eylemi şu özellikleri belirtir:

Özellik Gerekli Örnek değer Açıklama
Yöntem Yes PUT Anlık Görüntü Blobu işlemi tarafından kullanılan HTTP yöntemi
URI Yes https://{storage-account-name}.blob.core.windows.net/{blob-container-name}/{folder-name-if-any}/{blob-file-name-with-extension} Azure Blob depolama Depolama Azure Genel (genel) ortamında bulunan ve bu söz dizimlerini kullanan kaynak kimliği
Üst Bilgiler Azure Depolama x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

x-ms-blob-typeAzure x-ms-version güvenlik bilgileri işlemleri için , ve üst x-ms-date Depolama gereklidir.

Önemli: Azure Depolama için giden HTTP tetikleyicisi ve eylem isteklerinde üst bilgi, çalıştırmak istediğiniz işlem için özelliği ve x-ms-version API sürümünü gerektirir. x-ms-dategeçerli tarih olmalıdır. Aksi takdirde mantıksal uygulama bir hatayla başarısız 403 FORBIDDEN olur. Geçerli tarihi gerekli biçimde almak için örnek değerde ifadesini kullanabilirsiniz.

Daha fazla bilgi için şu konulara bakın:

- İstek üst bilgileri - Anlık Görüntü Blobu
- Azure Depolama hizmetleri için sürüm

Sorgular Yalnızca Anlık Görüntü Blobu işlemi için comp = snapshot İşlem için sorgu parametresi adı ve değeri.

Bu özellik değerlerinin hepsini gösteren örnek HTTP eylemi şu şekildedir:

Azure kaynağına erişmek için HTTP eylemi ekleme

  1. HTTP eylemlerini ekledikten sonra Authentication özelliğini HTTP eylemine ekleyin. Yeni parametre ekle listesinden Kimlik Doğrulaması'ı seçin.

    HTTP eylemine "Kimlik Doğrulaması" özelliği ekleme

    Not

    Tüm tetikleyiciler ve eylemler kimlik doğrulaması türü eklemenizi desteklemez. Daha fazla bilgi için bkz. Kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulama türleri.

  2. Kimlik doğrulama türü listesinden Yönetilen Kimlik'i seçin.

    "Kimlik Doğrulaması" için "Yönetilen Kimlik"i seçin

  3. Yönetilen kimlik listesinden senaryoya göre kullanılabilir seçeneklerden birini belirleyin.

    • Sistem tarafından atanan kimliği ayarlamışsanız, henüz seçilmemişse Sistem Tarafından Atanan Yönetilen Kimlik'i seçin.

      "Sistem Tarafından Atanan Yönetilen Kimlik" öğesini seçin

    • Kullanıcı tarafından atanan bir kimlik ayarlamışsanız, henüz seçilmemişse bu kimliği seçin.

      Kullanıcı tarafından atanan kimliği seçin

    Bu örnek Sistem Tarafından Atanan Yönetilen Kimlik ile devam eder.

  4. Bazı tetikleyicilerde ve eylemlerde hedef kaynak kimliğini ayarlamak için Audience özelliği de görünür. Hedef kitle özelliğini hedef kaynağın veya hizmetin kaynak kimliğine ayarlayın. Aksi takdirde, Audience özelliği varsayılan olarak kaynak kimliğini kullanır ve bu da hedef https://management.azure.com/ kitlenin kaynak Azure Resource Manager.

    Örneğin, genel Azure buluttaki bir Key Vaultkimlik doğrulaması yapmak için Audience özelliğini tam olarak şu kaynak kimliğine ayarlayabilirsiniz: https://vault.azure.net . Bu kaynak kimliğinin sonda eğik çizgi olmadığını unutmayın. Hatta sonda eğik çizgi de dahil olmak üzere hata 400 Bad Request veya hataya neden 401 Unauthorized olabilir.

    Önemli

    Hedef kaynak kimliğinin, gerekli sonda eğik çizgi dahil olmak Azure Active Directory (AD) tarafından beklediğiniz değerle tam olarak eş olduğundan emin olun. Örneğin, tüm Azure Blob depolama hesapları için Depolama eğik çizgi gerekir. Ancak, belirli bir depolama hesabının kaynak kimliği, sonda eğik çizgi gerektirmez. Azure AD'yi destekleyen Azure hizmetlerinin kaynak kimliklerini kontrol edin.

    Bu örnek, kimlik doğrulaması için kullanılan erişim belirteçleri tüm depolama hesapları için geçerli olacak şekilde Audience özelliğini olarak https://storage.azure.com/ ayarlar. Ancak, belirli bir depolama hesabı için kök hizmet https://fabrikamstorageaccount.blob.core.windows.net URL'sini de belirtebilirsiniz.

    "Hedef kitle" özelliğini hedef kaynak kimliği olarak ayarlayın

    Azure Depolama için Azure AD ile erişimi yetkilendirme hakkında daha fazla bilgi Depolama şu konulara bakın:

  5. Mantıksal uygulamayı istediğiniz gibi yapmaya devam edin.

Örnek: Yönetilen bağlayıcı tetikleyicisi veya eyleminin kimliğini yönetilen kimlikle doğrulama

Kaynak Azure Resource Manager eylemini kullanarak mantıksal uygulamanız için etkinleştirmiş olduğu yönetilen kimliği kullanabilirsiniz. Bu örnekte, sistem tarafından atanan yönetilen kimliğin nasıl kullanımı gösterir.

  1. Eylemi iş akışınız için ekledikten sonra kiracı seçimi sayfasında Yönetilen kimlikle Bağlan seçeneğini belirtin.

    Eylem ve "Azure Resource Manager kimliğiyle Bağlan" eylemlerini gösteren ekran görüntüsü.

    Eylem şimdi, mantıksal uygulamada etkin olan yönetilen kimlik türünü içeren yönetilen kimlik listesini içeren bağlantı adı sayfasını gösterir.

  2. Bağlantı adı sayfasında bağlantı için bir ad girin. Yönetilen kimlik listesinden, bu örnekte Sistem tarafından atanan yönetilen kimlik olan yönetilen kimliği seçin ve Oluştur'a tıklayın. Kullanıcı tarafından atanan yönetilen kimliği etkinleştirdiysek, bunun yerine bu kimliği seçin.

    Bağlantı adı Azure Resource Manager "Sistem tarafından atanan yönetilen kimlik" seçili olarak eylem eylemlerini gösteren ekran görüntüsü.

    Yönetilen kimlik etkin değilse, bağlantıyı oluşturma sırasında aşağıdaki hata görüntülenir:

    Mantıksal uygulamanız için yönetilen kimliği etkinleştirmeniz ve ardından hedef kaynakta gerekli kimliğe erişim izni verebilirsiniz.

    Yönetilen kimlik Azure Resource Manager hatayla birlikte eylem eylemlerini gösteren ekran görüntüsü.

  3. Bağlantı başarıyla oluşturulduktan sonra, tasarımcı yönetilen kimlik doğrulaması kullanarak tüm dinamik değerleri, içeriği veya şemayı getirebilirsiniz.

  4. Mantıksal uygulamayı istediğiniz gibi yapmaya devam edin.

Yönetilen kimlik kullanan mantıksal uygulama kaynak tanımı ve bağlantıları

Yönetilen kimliği sağlayan ve kullanan bir bağlantı, yalnızca yönetilen kimlikle çalışan özel bir bağlantı t t t'leridir. Çalışma zamanında bağlantı, mantıksal uygulamada etkinleştirilmiş yönetilen kimliği kullanır. Bu yapılandırma, kullanıcı tarafından atanan kimlik etkinse bağlantının kaynak kimliğinin işaretçilerini ve kimliğin kaynak kimliğini içeren nesneyi içeren mantıksal uygulama kaynak tanımının parameters $connections nesnesine kaydedilir.

Bu örnek, mantıksal uygulama sistem tarafından atanan yönetilen kimliği sağlarken yapılandırmanın nasıl göründüğünü gösterir:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Bu örnek, mantıksal uygulama kullanıcı tarafından atanan yönetilen kimliği sağlarken yapılandırmanın nasıl göründüğünü gösterir:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}",
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

çalışma zamanı sırasında, Logic Apps hizmeti mantıksal uygulamanın yönetilen kimliği kullanmak için herhangi bir yönetilen bağlayıcı tetikleyicisi ve eyleminin ayar olup olmadığını ve tetikleyici ve eylemler tarafından belirtilen hedef kaynaklara erişmek için yönetilen kimliği kullanmak üzere tüm gerekli izinlerin ayar olup olmadığını denetler. Başarılı olursa, Logic Apps hizmeti yönetilen kimlikle ilişkili Azure AD belirteci alır ve hedef kaynağa erişimin kimliğini doğrulamak ve tetikleyici ve eylemlerde yapılandırılmış işlemi gerçekleştirmek için bu kimliği kullanır.

Yönetilen bağlantılar ve yönetilen kimlikler için ARM şablonu

ARM şablonuyla dağıtımı otomatikleştirin ve mantıksal uygulamanız yönetilen kimlik kullanan bir yönetilen bağlayıcı tetikleyicisi veya eylemi içerirse, temel alınan bağlantı kaynağı tanımının özellik değeri olarak özelliğini içeren parameterValueType Alternative özelliğini onaylayın. Aksi takdirde ARM dağıtımınız bağlantıyı kimlik doğrulaması için yönetilen kimliği kullanmak üzere ayarlamaz ve bağlantı mantıksal uygulama iş akışında çalışmaz. Bu gereksinim yalnızca yönetilen kimlik seçeneğiyle seçilen belirli yönetilen bağlayıcı tetikleyicileri Bağlan eylemler için geçerlidir.

Örneğin, tanımın özellik değeri olarak ayarlanmış özelliğini içeren yönetilen Azure Otomasyonu kullanan bir Azure Otomasyonu eylemi için temel alınan bağlantı kaynağı tanımı parameterValueType Alternative şöyledir:

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('automationAccountApiConnectionName')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('automationAccountApiConnectionName')]",
        "parameterValueType": "Alternative"
    }
},

Yönetilen kimliği devre dışı bırakma

Mantıksal uygulamanıza yönetilen kimlik kullanmayı durdurmak için şu seçenekleriniz vardır:

Mantıksal uygulamanızı silersiniz, Azure yönetilen kimliği Azure AD'den otomatik olarak kaldırır.

Yönetilen kimliği devre dışı bırakma Azure portal

Bu Azure portal önce kimliğin hedef kaynağınıza erişimini kaldırın. Ardından sistem tarafından atanan kimliği kapatın veya mantıksal uygulamanıza kullanıcı tarafından atanan kimliği kaldırın.

Kaynaklardan kimlik erişimini kaldırma

  1. Bu Azure portalyönetilen kimlik erişimini kaldırmak istediğiniz hedef Azure kaynağına gidin.

  2. Hedef kaynağın menüsünde Erişim denetimi (IAM) öğesini seçin. Araç çubuğunun altında Rol atamaları'ı seçin.

  3. Roller listesinde, kaldırmak istediğiniz yönetilen kimlikleri seçin. Araç çubuğunda Kaldır'ı seçin.

    İpucu

    Kaldır seçeneği devre dışı bırakılırsa büyük olasılıkla izinlere sahip olmadığınız olur. Kaynaklar için rolleri yönetmenize izinler hakkında daha fazla bilgi için bkz.Azure Active Directory.

Yönetilen kimlik artık kaldırılır ve artık hedef kaynağa erişimi yoktur.

Mantıksal uygulamada yönetilen kimliği devre dışı bırakma

  1. uygulama Azure portalmantıksal uygulamanızı tasarımcı görünümünde açın.

  2. Mantıksal uygulama menüsünde, uygulamanın Ayarlar Kimlik'i seçin ve ardından kimliğiniz için adımları izleyin:

    • Kaydet'e Atanan > Sistem'i > seçin. Azure onaylamanızı isteminde Evet'i seçin.

      Sistem tarafından atanan kimliği devre dışı bırakma

    • Kullanıcı tarafından atanan ve yönetilen kimlik'i ve ardından Kaldır'ı seçin. Azure onaylamanızı isteminde Evet'i seçin.

      Kullanıcı tarafından atanan kimliği kaldırma

Yönetilen kimlik artık mantıksal uygulamanıza devre dışı bırakılmıştır.

ARM şablonunda yönetilen kimliği devre dışı bırakma

Mantıksal uygulamanın yönetilen kimliğini ARM şablonu kullanarak oluşturduysanız nesnenin alt identity özelliğini type olarak None ayarlayın.

"identity": {
   "type": "None"
}

Sonraki adımlar