Azure Logic Apps yönetilen kimliklerle Azure kaynaklarına erişimi kimlik doğrulaması

  • Makale
  • Okumak için 24 dakika

Mantıksal uygulama iş akışlarında bazı Tetikleyiciler ve Eylemler, Azure Active Directory (Azure AD) tarafından korunan kaynaklarla kimlik doğrulaması yapmak için daha önce yönetilen hizmet kimliği (MSI) olarak bilinen yönetilen bir kimlikkullanmayı destekler. Mantıksal uygulama kaynağınız yönetilen bir kimliğe sahip olduğunda kimlik bilgileri, gizlilikler veya Azure AD belirteçleri sağlamanız gerekmez. Azure bu kimliği yönetir ve bu hassas bilgileri yönetmek zorunda olmadığınızdan kimlik doğrulama bilgilerini güvende tutmaya yardımcı olur.

Azure Logic Apps, mantıksal uygulama iş akışlarınızın çalıştığı yere bağlı olarak, bir mantıksal uygulama kaynakları grubu genelinde paylaşabileceğiniz, sistem tarafından atanan yönetilen kimliğive kullanıcı tarafından atananyönetilen kimliği destekler.

Mantıksal uygulama kaynak türü Ortam Description
Tüketim -Çok kiracılı Azure Logic Apps

-Tümleştirme hizmeti ortamı (ıSE)

 Mantıksal uygulama kaynak düzeyi ve bağlantı düzeyinde sistem tarafından atanan kimlik veya tek bir kullanıcı tarafından atanan kimlik etkinleştirebilir ve bunları kullanabilirsiniz.
Standart -Tek kiracılı Azure Logic Apps

-App Service Ortamı v3 (ASEv3)

-Azure Arc etkin Logic Apps

 Şu anda, otomatik olarak etkinleştirilen yalnızca sistem tarafından atanan kimliğini kullanabilirsiniz. Kullanıcı tarafından atanan kimlik Şu anda kullanılamıyor.

Azure Logic Apps yönetilen kimlik limitleri hakkında bilgi edinmek için, mantıksal uygulamalar için yönetilen kimliklerde bulunan limitlerigözden geçirin. Tüketim ve standart Logic App kaynak türleri ve ortamları hakkında daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

Yönetilen bir kimlik kullanabilirsiniz

Yalnızca Azure AD açma kimlik doğrulamasını (Azure AD OAuth) destekleyen belirli yerleşik ve yönetilen bağlayıcı işlemleri, kimlik doğrulaması için yönetilen bir kimlik kullanabilir. Aşağıdaki tabloda yalnızca bir örnek seçim verilmiştir. Daha kapsamlı bir liste için, yönetilen kimliklerle Azure AD kimlik doğrulamasını destekleyenkimlik doğrulama ve Azure hizmetlerini destekleyen Tetikleyiciler ve eylemler için kimlik doğrulama türlerini gözden geçirin.

Aşağıdaki tabloda, mantıksal uygulama (tüketim) kaynak türünde sistem tarafından atanan yönetilen kimliği veya Kullanıcı tarafından atanan yönetilen kimliği kullanabileceğiniz işlemler listelenmektedir:

İşlem türü Desteklenen işlemler
Yerleşik -Azure API Management
-Azure Uygulama Hizmetleri
-Azure Işlevleri
-HTTP
-HTTP + Web kancası

Note: HTTP işlemleri, azure güvenlik duvarları arkasındaki azure Depolama hesaplarına yapılan bağlantıların kimliğini sistem tarafından atanan kimlikle doğrulayabilir. Ancak, aynı bağlantıları doğrulamak için Kullanıcı tarafından atanan yönetilen kimliği desteklemezler.
Yönetilen bağlayıcı (Önizleme) Tek kimlik doğrulaması:
-Azure Otomasyonu
-Azure Event Grid
-Azure Key Vault
-Azure Resource Manager
-Azure AD ile HTTP

Çoklu kimlik doğrulaması:
- Azure Blob Depolama
-SQL Server

Bu makalede, mantıksal uygulama (tüketim) veya mantıksal uygulama (Standart) kaynak türünü kullanıp kullanmayacağınızı temel alarak sistem tarafından atanan kimliğin veya Kullanıcı tarafından atanan kimliğin nasıl etkinleştirileceği ve ayarlanacağı gösterilmektedir. El ile oluşturmanız gereken sistem tarafından atanan kimliğin aksine, mantıksal uygulama (tüketim) kaynak türü için Kullanıcı tarafından atanan kimliği el ile oluşturmanız gerekir. Bu makale, Azure portal ve Azure Resource Manager şablonunu (ARM şablonu) kullanarak Kullanıcı tarafından atanan kimlik oluşturma adımlarını içerir. Azure PowerShell, azure clı ve azure REST API için aşağıdaki belgeleri gözden geçirin:

Araç Belgeler
Azure PowerShell Kullanıcı tarafından atanan kimlik oluşturma
Azure CLI Kullanıcı tarafından atanan kimlik oluşturma
Azure REST API Kullanıcı tarafından atanan kimlik oluşturma

Önkoşullar

  • Bir Azure hesabı ve aboneliği Aboneliğiniz yoksa, ücretsiz bir Azure hesabı için kaydolun. Hem yönetilen kimlik hem de erişmeniz gereken hedef Azure kaynağının aynı Azure aboneliğini kullanması gerekir.

  • Azure kaynağına bir yönetilen kimlik erişimi sağlamak için, bu kimliğin hedef kaynağına bir rol eklemeniz gerekir. Rol eklemek için, ilgili Azure AD kiracısındaki kimliklere roller atayabilecek Azure ad Yöneticisi izinlerine sahip olmanız gerekir.

  • Erişmek istediğiniz hedef Azure kaynağı. Bu kaynakta, mantıksal uygulama kaynağına veya bağlantısına hedef kaynağa erişimi kimlik doğrulaması yapılmasına yardımcı olan yönetilen kimlik için bir rol ekleyeceksiniz.

  • Yönetilen kimlikleri destekleyen tetikleyiciyi veya eylemlerikullanmak istediğiniz mantıksal uygulama kaynağı.

    Mantıksal uygulama kaynak türü Yönetilen kimlik desteği
    Tüketim Sistem tarafından atanan veya Kullanıcı tarafından atanan kimlik
    Standart Sistem tarafından atanan kimlik (otomatik olarak etkin)

Azure portal 'de sistem tarafından atanan kimliği etkinleştirme

  1. Azure Portal, mantıksal uygulama kaynağınızı açın.

  2. mantıksal uygulama menüsünde, Ayarlar altında kimlik' i seçin.

  3. Kimlik bölmesinde, sistem atandı altında Kaydet ' i seçin > . Azure 'un onaylamanızı isterse, Evet' i seçin.

    Tüketim mantığı uygulamasının "kimlik" bölmesiyle birlikte Azure portal ve "açık" ve "Kaydet" seçiliyken "sistem atandı" sekmesi gösteren ekran görüntüsü.

    Not

    Yalnızca tek bir yönetilen kimliğiniz olduğunu belirten bir hata alırsanız, mantıksal uygulama kaynağınız Kullanıcı tarafından atanan kimlikle zaten ilişkilendirilmiş. Sistem tarafından atanan kimliği ekleyebilmeniz için önce mantıksal uygulama kaynağından Kullanıcı tarafından atanan kimliği kaldırmanız gerekir.

    Mantıksal uygulama kaynağınız artık Azure AD 'ye kayıtlı olan ve bir nesne KIMLIĞIYLE temsil edilen sistem tarafından atanan kimliği kullanabilir.

    Tüketim mantığı uygulamasının "kimlik" bölmesini sistem tarafından atanan kimliğin nesne KIMLIĞIYLE gösteren ekran görüntüsü.

    Özellik Değer Açıklama
    Nesne (asıl) KIMLIĞI <kimlik-kaynak KIMLIĞI> Bir Azure AD kiracısında mantıksal uygulamanız için sistem tarafından atanan kimliği temsil eden bir genel benzersiz tanımlayıcı (GUID).

  4. Şimdi bu konunun ilerleyen kısımlarında bu kimlik için kaynağa erişim sağlayan adımları izleyin.

ARM şablonunda sistem tarafından atanan kimliği etkinleştirme

Logic Apps gibi Azure kaynaklarını oluşturma ve dağıtmaya otomatik hale getirmek için ARM şablonunukullanabilirsiniz. Şablondaki mantıksal uygulama kaynağınız için sistem tarafından atanan yönetilen kimliği etkinleştirmek üzere, identity nesne ve type alt özelliği şablondaki mantıksal uygulamanın kaynak tanımına ekleyin, örneğin:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Azure mantıksal uygulama kaynak tanımınızı oluşturduğunda, identity nesne şu diğer özellikleri alır:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Özellik (JSON) Değer Açıklama
principalId <sorumlu KIMLIĞI> Azure AD kiracısında mantıksal uygulamanızı temsil eden yönetilen kimliğin hizmet sorumlusu nesnesinin genel benzersiz tanıtıcısı (GUID). Bu GUID bazen "nesne KIMLIĞI" veya olarak görünür objectID .
tenantId <Azure-AD-kiracı KIMLIĞI> Mantıksal uygulamanın artık bir üyesi olduğu Azure AD kiracısını temsil eden genel benzersiz tanımlayıcı (GUID). Azure AD kiracısı içinde hizmet sorumlusu, mantıksal uygulama örneğiyle aynı ada sahiptir.

Azure portal Kullanıcı tarafından atanan kimlik oluşturma (yalnızca tüketim)

Mantıksal uygulama (tüketim) kaynağınız üzerinde kullanıcı tarafından atanan kimliği etkinleştirebilmeniz için önce bu kimliği ayrı bir Azure kaynağı olarak oluşturmanız gerekir.

  1. Azure Portal arama kutusuna girin managed identities . Yönetilen kimlikler' i seçin.

    "Yönetilen kimlikler" i seçili Azure portal gösteren ekran görüntüsü.

  2. Yönetilen kimlikler bölmesinde Oluştur' u seçin.

    "Yönetilen kimlikler" bölmesini gösteren ekran görüntüsü ve "Oluştur" seçildi.

  3. Yönetilen Kimliğiniz hakkında bilgi sağlayın ve ardından gözden geçir + oluştur' u seçin, örneğin:

    Yönetilen kimlik ayrıntıları ile "Kullanıcı tarafından atanan yönetilen kimlik oluşturma" bölmesini gösteren ekran görüntüsü.

    Özellik Gerekli Değer Açıklama
    Abonelik Yes <Azure-abonelik-adı> Kullanılacak Azure aboneliğinin adı
    Kaynak grubu Yes <Azure-Resource-Group-Name> Kullanılacak Azure Kaynak grubunun adı. Yeni bir grup oluşturun veya mevcut bir grubu seçin. Bu örnek adlı yeni bir grup oluşturur fabrikam-managed-identities-RG .
    Bölge Yes <Azure-bölge> Kaynağınız hakkındaki bilgilerin depolanacağı Azure bölgesi. Bu örnek Batı ABD kullanır.
    Ad Yes <Kullanıcı tarafından atanan kimlik-adı> Kullanıcı tarafından atanan kimliğinize verilecek ad. Bu örnekte Fabrikam-user-assigned-identity kullanılmıştır.

    Bilgiler doğrulandıktan sonra Azure yönetilen kimliğinizi oluşturur. Artık Kullanıcı tarafından atanan kimliği mantıksal uygulama kaynağına ekleyebilirsiniz ve bu, yalnızca bir kullanıcı tarafından atanan kimliğe sahip olabilir.

  4. Azure portal, mantıksal uygulama kaynağınızı açın.

  5. mantıksal uygulama menüsünde, Ayarlar altında kimlik' i seçin.

  6. Kimlik bölmesinde Kullanıcı tarafından atanan > Ekle' yi seçin.

    "Ekle" seçiliyken "kimlik" bölmesini gösteren ekran görüntüsü.

  7. Kullanıcı tarafından atanan yönetilen kimlik Ekle bölmesinde şu adımları izleyin:

    1. Abonelik listesinden, henüz seçili değilse Azure aboneliğinizi seçin.

    2. Bu abonelikteki Tüm yönetilen kimliklerin bulunduğu listeden istediğiniz kullanıcı tarafından atanan kimliği seçin. Listeyi filtrelemek için, Kullanıcı tarafından atanan Yönetilen kimlikler arama kutusuna kimlik veya kaynak grubunun adını girin.

      Seçilen Kullanıcı tarafından atanan kimliği gösteren ekran görüntüsü.

    3. İşiniz bittiğinde Ekle' yi seçin.

      Not

      Yalnızca tek bir yönetilen kimliğiniz olduğunu belirten bir hata alırsanız, mantıksal uygulamanız zaten sistem tarafından atanan kimlikle ilişkilendirilmiş olur. Kullanıcı tarafından atanan kimliği ekleyebilmeniz için önce sistem tarafından atanan kimliği devre dışı bırakmanız gerekir.

    Mantıksal uygulamanız artık Kullanıcı tarafından atanan yönetilen kimlikle ilişkilendirilir.

    Kullanıcı tarafından atanan kimlik ve mantıksal uygulama kaynağı arasındaki ilişkiyi gösteren ekran görüntüsü.

  8. Şimdi bu konunun ilerleyen kısımlarında bu kimlik için kaynağa erişim sağlayan adımları izleyin.

ARM şablonunda Kullanıcı tarafından atanan kimlik oluşturma (yalnızca tüketim)

Logic Apps gibi Azure kaynaklarını oluşturma ve dağıtmaya otomatik hale getirmek için, kimlik doğrulaması için Kullanıcı tarafından atanan kimlikleridestekleyen bir ARM şablonukullanabilirsiniz. Şablonunuzun resources bölümünde mantıksal uygulamanızın kaynak tanımı şu öğeleri gerektirir:

  • identity type Özelliği olarak ayarlanmış bir nesneUserAssigned

  • userAssignedIdentitiesKullanıcı tarafından atanan kaynağı ve adı belirten bir alt nesne

Bu örnekte, bir HTTP PUT isteği için mantıksal uygulama kaynak tanımı ve parametreleştirilmiş olmayan bir nesne identity içerir. PUT isteğine ve sonraki GET işlemi yanıtını da şu nesne identity içerir:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Şablonunuz yönetilen kimliğin kaynak tanımını da içerirse, nesneyi identity parametreleştirebilirsiniz. Bu örnekte, alt userAssignedIdentities nesnesinin şablon bölümünde userAssignedIdentity tanımladığınız bir değişkene nasıl başvur başvurarak başvurabilirsiniz. variables Bu değişken, kullanıcı tarafından atanan kimliğinizin kaynak kimliğine başvurur.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Kaynaklara kimlik erişimi verme

Kimlik doğrulaması için mantıksal uygulamanın yönetilen kimliğini kullanamadan önce, kimliği kullanmak istediğiniz Azure kaynağında, Azure rol tabanlı erişim denetimi (Azure RBAC) kullanarak kimliğiniz için erişim ayarlamanız gerekir. Bu bölümdeki adımlar, Azure portal ve Azure Resource Manager (ARM şablonu) kullanarak Azure kaynağında bu kimliğe uygun rolü atamayı içerir. Azure Azure PowerShell, Azure CLI ve Azure REST API için aşağıdaki belgeleri gözden geçirin:

Araç Belgeler
Azure PowerShell Rol ataması ekle
Azure CLI Rol ataması ekle
Azure REST API Rol ataması ekle

Yönetilen kimlik rol tabanlı erişimi Azure portal

Kimlik doğrulaması için yönetilen kimliği kullanmak istediğiniz Azure kaynağında, bu kimliği bu hedef kaynağa erişen bir role atamanız gerekir. Bu görev hakkında daha fazla genel bilgi için Azure RBAC kullanarak başka bir kaynağa yönetilen kimlik erişimi atama'yı gözden geçirebilirsiniz.

Not

Yönetilen kimliğin aynı abonelikte bir Azure kaynağına erişimi olduğunda, kimlik yalnızca o kaynağa erişebilirsiniz. Ancak, yönetilen kimlikleri destekleyen bazı tetikleyicilerde ve eylemlerde öncelikle hedef kaynağı içeren Azure kaynak grubunu seçmeniz gerekir. Kimliğin kaynak grubu düzeyinde erişimi yoksa, hedef kaynağa erişimi olmasına rağmen o gruptaki hiçbir kaynak listelenmiyor.

Bu davranışı işlemek için yalnızca kaynağa değil kaynak grubuna kimlik erişimi de verebilirsiniz. Benzer şekilde, hedef kaynağı seçemeden önce aboneliğinizi seçmeniz gerekirse, aboneliğe kimlik erişimi verebilirsiniz.

  1. Bu Azure portal,kimliği kullanmak istediğiniz kaynağı açın.

  2. Kaynağın menüsünde Erişim denetimi (IAM) Rol ataması > ekle'yi > seçin.

    Not

    Rol ataması ekle seçeneği devre dışı bırakılırsa rol atama izniniz yok. Daha fazla bilgi için Azure AD yerleşik rolleri'ne bakın.

  3. Şimdi, yönetilen kimliğinize gerekli rolü attayin. Rol sekmesinde, kimliğinize geçerli kaynağa gerekli erişimi veren bir rol attayabilirsiniz.

    Bu örnekte, azure Depolama kapsayıcısında bloblar için yazma erişimi içeren Depolama Blob Verileri Katkıda Bulunanı adlı rolü attayın. Belirli depolama kapsayıcısı rolleri hakkında daha fazla bilgi için azure depolama kapsayıcısı içinde bloblara erişen Depolama gözden geçirebilirsiniz.

  4. Ardından rolü atamak istediğiniz yönetilen kimliği seçin. Erişim ata altında Yönetilen kimlik Üye ekle'yi > seçin.

  5. Yönetilen kimliğinizin türüne bağlı olarak aşağıdaki değerleri seçin veya snın:

    Tür Azure hizmet örneği Abonelik Üye
    Sistem tarafından atanan Mantıksal Uygulama <Azure aboneliği-adı> <mantıksal-uygulama-adınız>
    Kullanıcı tarafından atanan (Yalnızca tüketim) Uygulanamaz <Azure aboneliği-adı> <your-user-assigned-identity-name>

    Rol atama hakkında daha fazla bilgi için, Azure portal.

  6. Kimlik için erişimi ayarlamayı bitirdikten sonra, yönetilen kimlikleri destekleyen tetikleyiciler ve eylemler için erişimin kimliğini doğrulamak üzere kimliği kullanabilirsiniz.

Yönetilen kimlikle erişimin kimliğini doğrulama

Mantıksal uygulama kaynağınız için yönetilen kimliği etkinleştirdikten ve bu kimlike hedef kaynak veya varlığa erişim verdikten sonra,bu kimliği yönetilen kimlikleri destekleyen tetikleyicilerde ve eylemlerde kullanabilirsiniz.

Önemli

Sistem tarafından atanan kimliği kullanmak istediğiniz bir Azure işleviniz varsa önce kimlik doğrulaması için kimlik doğrulamasını Azure İşlevleri.

Bu adımlar, yönetilen kimliğin bir tetikleyici veya eylemle birlikte nasıl Azure portal. Bir tetikleyicide veya eylemin temel alınan JSON tanımında yönetilen kimliği belirtmek için Yönetilen kimlik doğrulaması'nın gözden geçirmesini gözden geçirme.

  1. uygulama Azure portalmantıksal uygulama kaynağınızı açın.

  2. Henüz bunu yapmadıysanız, yönetilen kimlikleri destekleyen tetikleyiciyi veya eylemi ekleyin.

    Not

    Tüm tetikleyiciler ve eylemler kimlik doğrulaması türü eklemenizi desteklemez. Daha fazla bilgi için kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulama türleri'ne bakın.

  3. Eklenen tetikleyicide veya eylemde şu adımları izleyin:

    • Yönetilen kimlik kimlik doğrulamasını destekleyen yerleşik işlemler

      1. Özellik henüz görünmüyorsa Yeni parametre ekle listesinden Authentication özelliğini ekleyin.

        "Yeni parametre ekle" listesi açık ve Tüketim'de "Kimlik Doğrulaması" seçilmiş örnek yerleşik eylemi gösteren ekran görüntüsü.

      2. Kimlik doğrulama türü listesinden Yönetilen kimlik'i seçin.

        "Kimlik doğrulama türü" listesi açık ve Tüketim'de "Yönetilen kimlik" seçilmiş örnek yerleşik eylemi gösteren ekran görüntüsü.

      Daha fazla bilgi için Örnek: Yönetilen kimlikle yerleşik tetikleyici veya eylem kimliğini doğrulama'ya bakın.

    • Yönetilen kimlik kimlik doğrulamasını destekleyen yönetilen bağlayıcı işlemleri (önizleme)

      1. Kiracı seçimi sayfasında Yönetilen kimlikle Bağlan (önizleme) seçeneğini seçin, örneğin:

        Tüketim'Azure Resource Manager "yönetilen kimlikle Bağlan" eylem ve "yönetilen kimlikle yönet" eylemlerini gösteren ekran görüntüsü.

      2. Sonraki sayfada, Bağlantı adı için bağlantı için kullanmak üzere bir ad girin.

      3. Kimlik doğrulaması türü için yönetilen bağlayıcınıza bağlı olarak aşağıdaki seçeneklerden birini belirleyin:

        • Tek kimlik doğrulaması: Bu bağlayıcılar yalnızca bir kimlik doğrulama türünü destekler. Yönetilen kimlik listesinden, henüz seçili değilse o anda etkin olan yönetilen kimliği seçin ve ardından Oluştur'a tıklayın, örneğin:

          Tüketim'de seçilen bağlantı adı sayfasını ve tek yönetilen kimliği gösteren ekran görüntüsü.

        • Çoklu kimlik doğrulaması: Bu bağlayıcılar birden fazla kimlik doğrulama türünü destekler. Kimlik doğrulaması türü listesinden Yönetilen Logic Apps Oluştur'a > tıklayın, örneğin:

          Tüketim'de seçilen bağlantı adı sayfasını ve "Logic Apps Kimliği" gösteren ekran görüntüsü.

        Daha fazla bilgi için Örnek: Yönetilen bağlayıcı tetikleyicisi veya eyleminin kimliğini yönetilen kimlikle doğrulama'ya bakın.

Örnek: Yönetilen kimlikle yerleşik tetikleyicinin veya eylemin kimliğini doğrulama

Yerleşik HTTP tetikleyicisi veya eylemi, mantıksal uygulama kaynağınız üzerinde etkinleştiren sistem tarafından atanan kimliği kullanabilir. Genel olarak, HTTP tetikleyicisi veya eylemi erişmek istediğiniz kaynağı veya varlığı belirtmek için aşağıdaki özellikleri kullanır:

Özellik Gerekli Açıklama
Yöntem Yes Çalıştırmak istediğiniz işlem tarafından kullanılan HTTP yöntemi
URI Yes Hedef Azure kaynağına veya varlığa erişmek için uç nokta URL'si. URI söz dizimi genellikle Azure kaynağının veya hizmetinin kaynak kimliğini içerir.
Üst Bilgiler No İçerik türü gibi, giden i içeriğe ihtiyacınız olan veya eklemek istediğiniz tüm üst bilgi değerleri
Sorgular No belirli bir işlem için parametre veya çalıştırmak istediğiniz işlem için API sürümü gibi, ihtiyacınız olan veya istekte eklemek istediğiniz tüm sorgu parametreleri
Kimlik Doğrulaması Yes Hedef kaynağa veya varlığa erişimin kimlik doğrulamasını yapmak için kullanılan kimlik doğrulama türü

Belirli bir örnek olarak, daha önce kimliğiniz için erişim ayar istediğiniz Azure Depolama hesabı içinde bir blobda Snapshot Blob işlemi çalıştırmak istediğinizi varsayalım. Ancak, Azure Blob Depolama bağlayıcısı şu anda bu işlemi sunmaz. Bunun yerine bu işlemi HTTP eylemlerini veya başka bir Blob Hizmet REST API'si çalıştırabilirsiniz.

Önemli

HTTP isteklerini ve yönetilen kimlikleri kullanarak güvenlik duvarlarının arkasındaki Azure depolama hesaplarına erişmek için, depolama hesabınız için güvenilen kimlikler tarafından erişime izin veren özel durumla da ayar Microsoft hizmetleri.

Anlık Görüntü Blobu işlemi çalıştırmakiçin HTTP eylemi şu özellikleri belirtir:

Özellik Gerekli Örnek değer Description
Yöntem Yes PUT Anlık Görüntü Blobu işlemi tarafından kullanılan HTTP yöntemi
URI Yes https://<storage-account-name>/<folder-name>/{name} Azure Blob depolama Depolama Azure Genel (genel) ortamındaki bu söz dizimlerini kullanan kaynak kimliği
Üst Bilgiler Azure Depolama x-ms-blob-type = BlockBlob

x-ms-version = 2019-02-02

x-ms-date = @{formatDateTime(utcNow(),'r')}

 x-ms-blob-typeAzure x-ms-version güvenlik bilgileri işlemleri için , ve üst x-ms-date Depolama gereklidir.

Önemli: Azure Depolama için giden HTTP tetikleyicisi ve eylem isteklerinde üst bilgi, çalıştırmak istediğiniz işlem için özelliği ve x-ms-version API sürümünü gerektirir. x-ms-dategeçerli tarih olmalıdır. Aksi takdirde, iş akışınız bir hatayla başarısız 403 FORBIDDEN olur. Geçerli tarihi gerekli biçimde almak için örnek değerde ifadesini kullanabilirsiniz.

Daha fazla bilgi için şu konuları gözden geçirebilirsiniz:

- İstek üst bilgileri - Anlık Görüntü Blobu
- Azure Depolama hizmetleri için sürüm
Sorgular Yalnızca Anlık Görüntü Blobu işlemi için comp = snapshot İşlem için sorgu parametresi adı ve değeri.

Aşağıdaki örnekte, Snapshot Blob işlemi için kullanmak üzere önceden açıklanan tüm özellik değerlerinin yer alan örnek bir HTTP eylemi yer almaktadır:

Tüketim mantıksal Azure portal iş akışının ve kaynağa erişmek için HTTP eyleminin ayar olduğunu gösteren ekran görüntüsü.

  1. HTTP eylemlerini ekledikten sonra Authentication özelliğini HTTP eylemine ekleyin. Yeni parametre ekle listesinden Kimlik Doğrulaması'ı seçin.

    HTTP eylemi ve "Yeni parametre ekle" listesinin "Kimlik Doğrulaması" özelliği seçili olarak açık şekilde tüketim iş akışını gösteren ekran görüntüsü.

    Not

    Tüm tetikleyiciler ve eylemler kimlik doğrulaması türü eklemenizi desteklemez. Daha fazla bilgi için kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulama türleri'ne bakın.

  2. Kimlik doğrulama türü listesinden Yönetilen kimlik'i seçin.

    HTTP eylemiyle Tüketim iş akışını ve "Yönetilen kimlik" değerinin seçili olduğu "Kimlik Doğrulaması" özelliğini gösteren ekran görüntüsü.

  3. Yönetilen kimlik listesinden senaryoya göre kullanılabilir seçeneklerden birini belirleyin.

    • Sistem tarafından atanan kimliği ayarlamışsanız, henüz seçilmemişse Sistem tarafından atanan yönetilen kimlik'i seçin.

      HTTP eylemiyle Tüketim iş akışını ve "Sistem tarafından atanan yönetilen kimlik" değerinin seçildiği "Yönetilen kimlik" özelliğini gösteren ekran görüntüsü.

    • Kullanıcı tarafından atanan bir kimlik ayarlamışsanız, henüz seçilmemişse bu kimliği seçin.

      HTTP eylemiyle Tüketim iş akışını ve kullanıcı tarafından atanan kimliğin seçili olduğu "Yönetilen kimlik" özelliğini gösteren ekran görüntüsü.

    Bu örnek, Sistem tarafından atanan yönetilen kimlik ile devam eder.

  4. Bazı tetikleyicilerde ve eylemlerde hedef kaynak kimliğini ayarlamak için Audience özelliği de görünür. Hedef kitle özelliğini hedef kaynağın veya hizmetin kaynak kimliğine ayarlayın. Aksi takdirde, Hedef Kitle özelliği varsayılan olarak kaynak kimliğini kullanır ve bu da hedef https://management.azure.com/ kitlenin kaynak Azure Resource Manager.

    Örneğin, genel Azure bulutunda bir Key Vaulterişim kimliğini doğrulamak için Audience özelliğini tam olarak aşağıdaki kaynak kimliğine ayarlayabilirsiniz: https://vault.azure.net . Bu kaynak kimliğinin sonda eğik çizgi olmadığını unutmayın. Hatta sonda eğik çizgi de dahil olmak üzere hata 400 Bad Request veya hataya neden 401 Unauthorized olabilir.

    Önemli

    Hedef kaynak kimliğinin, gerekli sonda eğik çizgi dahil olmak Azure Active Directory (AD) tarafından beklediğiniz değerle tam olarak eş olduğundan emin olun. Örneğin, tüm Azure Blob depolama hesapları için Depolama eğik çizgi gerekir. Ancak, belirli bir depolama hesabının kaynak kimliği, sonda eğik çizgi gerektirmez. Azure AD'yi destekleyen Azure hizmetlerinin kaynak kimliklerini kontrol edin.

    Bu örnek, kimlik doğrulaması için kullanılan erişim belirteçleri tüm depolama hesapları için geçerli olacak şekilde Audience özelliğini olarak https://storage.azure.com/ ayarlar. Ancak, belirli bir depolama hesabı için kök hizmet https://<your-storage-account>.blob.core.windows.net URL'sini de belirtebilirsiniz.

    HTTP eylemi ve "Hedef kitle" özelliği hedef kaynak kimliğine ayarlanmış Tüketim iş akışını gösteren ekran görüntüsü.

    Azure Depolama için Azure AD ile erişimi yetkilendirme hakkında daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

  5. İş akışını istediğiniz şekilde oluşturmaya devam edebilirsiniz.

Örnek: Yönetilen bağlayıcı tetikleyicisi veya eyleminin kimliğini yönetilen kimlikle doğrulama

Yönetilen Azure Resource Manager mantıksal uygulama kaynağında etkinleştiren yönetilen kimliği kullana bir eylem (Kaynağı oku) vardır. Bu örnekte, sistem tarafından atanan yönetilen kimliğin nasıl kullanımı gösterir.

  1. Eylemi iş akışınıza ekledikten ve Azure AD kiracınızı seçin, sonra yönetilen Bağlan (önizleme) seçeneğini belirtin.

    Eylem ve "Azure Resource Manager kimliğiyle Bağlan" eylemlerini gösteren ekran görüntüsü.

  2. Bağlantı adı sayfasında bağlantı için bir ad girin ve kullanmak istediğiniz yönetilen kimliği seçin.

    Azure Resource Manager eylem tek kimlik doğrulamalı bir eylemdir, bu nedenle bağlantı bilgileri bölmesinde mantıksal uygulama kaynağında o anda etkin olan yönetilen kimliği otomatik olarak seçen bir Yönetilen kimlik listesi gösterilir. Sistem tarafından atanan yönetilen kimliği etkinleştirdiyseniz, Yönetilen kimlik listesi Sistem tarafından atanan yönetilen kimlik'i seçer. Bunun yerine kullanıcı tarafından atanan yönetilen kimliği etkinleştirdiysek liste bu kimliği seçer.

    Azure Blob Depolama gibi çok kimlik doğrulamalı bir tetikleyici veya eylem kullanıyorsanız, bağlantı bilgileri bölmesinde diğer kimlik doğrulama türleri arasında Logic Apps Yönetilen Kimlik seçeneğini içeren bir Kimlik doğrulama türü listesi gösterilir.

    Bu örnekte, kullanılabilir tek seçim Sistem tarafından atanan yönetilen kimliktir.

    Bağlantı adı Azure Resource Manager "Sistem tarafından atanan yönetilen kimlik" seçili olarak eylem eylemlerini gösteren ekran görüntüsü.

    Not

    Bağlantıyı oluşturma, bağlantıyı değiştirme veya yönetilen kimlik özellikli bağlantı hala mevcutken kaldırılmış yönetilen kimlik etkinleştirilmemişse, kimliği etkinleştirmeniz ve hedef kaynağa erişim izni vermek zorunda olduğunuz bir hata alırsınız.

  3. Hazır olduğunda Oluştur'a seçin.

  4. Bağlantı başarıyla oluşturulduktan sonra, tasarımcı yönetilen kimlik doğrulaması kullanarak tüm dinamik değerleri, içeriği veya şemayı getirebilirsiniz.

  5. İş akışını istediğiniz şekilde oluşturmaya devam edebilirsiniz.

Yönetilen kimlik kullanan mantıksal uygulama kaynak tanımı ve bağlantıları (Tüketim)

Yönetilen kimliği sağlayan ve kullanan bir bağlantı, yalnızca yönetilen kimlikle çalışan özel bir bağlantı t t t'leridir. Çalışma zamanında bağlantı, mantıksal uygulama kaynağında etkinleştirilmiş yönetilen kimliği kullanır. çalışma zamanında, Azure Logic Apps hizmeti mantıksal uygulama iş akışında yönetilen bağlayıcı tetikleyicisi ve eylemlerinin yönetilen kimliği kullanmak üzere ayar olup olmadığını ve tetikleyici ve eylemler tarafından belirtilen hedef kaynaklara erişmek için yönetilen kimliği kullanmak üzere tüm gerekli izinlerin ayar olup olmadığını denetler. Başarılı olursa, Azure Logic Apps kimliğiyle ilişkili Azure AD belirteci alınır ve hedef kaynağa erişimin kimliğini doğrulamak için bu kimliği kullanır ve tetikleyici ve eylemlerde yapılandırılmış işlemi gerçekleştirin.

Mantıksal Uygulama (Tüketim) kaynağında bağlantı yapılandırması, kullanıcı tarafından atanan kimlik etkinse bağlantının kaynak kimliğine işaretçiler ve kimliğin kaynak kimliğiyle birlikte işaretçiler içeren nesneyi içeren mantıksal uygulama kaynak tanımının nesnesine parameters $connections kaydedilir.

Bu örnek, mantıksal uygulama sistem tarafından atanan yönetilen kimliği sağlarken yapılandırmanın nasıl göründüğünü gösterir:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Bu örnek, mantıksal uygulama kullanıcı tarafından atanan yönetilen kimliği sağlarken yapılandırmanın nasıl göründüğünü gösterir:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/connections/{connection-name}",
            "connectionName": "{connection-name}",
            "connectionProperties": {
               "authentication": {
                  "identity": "/subscriptions/{Azure-subscription-ID}/resourceGroups/{resourceGroupName}/providers/microsoft.managedidentity/userassignedidentities/{managed-identity-name}",
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{managed-connector-type}"
         }
      }
   }
}

Yönetilen bağlantılar ve yönetilen kimlikler için ARM şablonu (Tüketim)

ARM şablonuyla dağıtımı otomatikleştirin ve mantıksal uygulama iş akışınız yönetilen kimlik kullanan bir yönetilen bağlayıcı tetikleyicisi veya eylemi içerirse, temel alınan bağlantı kaynağı tanımının özelliğini özellik değeri olarak ile birlikte parameterValueType Alternative kullandığını onaylayın. Aksi takdirde ARM dağıtımınız bağlantıyı kimlik doğrulaması için yönetilen kimliği kullanmak üzere ayarlamaz ve bağlantı mantıksal uygulama iş akışında çalışmaz. Bu gereksinim yalnızca yönetilen kimlik seçeneğiyle seçilen belirli yönetilen bağlayıcı tetikleyicileri Bağlan eylemler için geçerlidir.

Örneğin, tanımın özellik değeri olarak ayarlanmış özelliğini içeren yönetilen Azure Otomasyonu kullanan bir Azure Otomasyonu eylemi için temel alınan bağlantı kaynağı parameterValueType Alternative tanımı şu şekildedir:

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('automationAccountApiConnectionName')]",
    "apiVersion": "2016-06-01",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "customParameterValues": {},
        "displayName": "[variables('automationAccountApiConnectionName')]",
        "parameterValueType": "Alternative"
    }
},

Yönetilen kimliği devre dışı bırakma

Kimlik doğrulaması için yönetilen kimliği kullanmayı durdurmak için önce kimliğin hedef kaynağına erişimini kaldırın. Ardından mantıksal uygulama kaynağında sistem tarafından atanan kimliği kapatın veya kullanıcı tarafından atanan kimliği kaldırın.

Mantıksal uygulama kaynağında yönetilen kimliği devre dışı bırakarak bu kimliğin, kimliğin erişimi olan Azure kaynakları için erişim isteğine izin veresiniz.

Not

Sistem tarafından atanan kimliği devre dışı bıraksanız, bu mantıksal uygulamanın iş akışında iş akışları tarafından kullanılan tüm bağlantılar, kimliği hemen yeniden etkinleştirse bile çalışma zamanında çalışmaz. Bu davranış, kimliğin devre dışı bırakılmasının nesne kimliğini silmesi nedeniyle gerçekleşir. Kimliği etkinleştir her etkinleştir her etkinleştirilde Azure, kimliği farklı ve benzersiz bir nesne kimliğiyle oluşturur. Bu sorunu çözmek için, geçerli sistem tarafından atanan kimliğin geçerli nesne kimliğini kullanmaları için bağlantıları yeniden oluşturmanız gerekir.

Sistem tarafından atanan kimliği mümkün olduğunca devre dışı bırakmaktan kaçınmaya çalışma. Kimliğin Azure kaynaklarına erişimini kaldırmak için kimliğin rol ataması hedef kaynaktan kaldırabilirsiniz. Mantıksal uygulama kaynağınızı silersiniz, Azure yönetilen kimliği Azure AD'den otomatik olarak kaldırır.

Bu bölümdeki adımlar, Azure portal ve Azure Resource Manager (ARM şablonu) kullanmayı içerir. Azure Azure PowerShell, Azure CLI ve Azure REST API için aşağıdaki belgeleri gözden geçirin:

Araç Belgeler
Azure PowerShell 1. Rol atamayı kaldırın.
2. Kullanıcı tarafından atanan kimliği silin.
Azure CLI 1. Rol atamayı kaldırın.
2. Kullanıcı tarafından atanan kimliği silin.
Azure REST API 1. Rol atamayı kaldırın.
2. Kullanıcı tarafından atanan kimliği silin.

Yönetilen kimliği Azure portal

Yönetilen kimliğe erişimi kaldırmak için kimliğin rol atamasını hedef kaynaktan kaldırın ve ardından yönetilen kimliği devre dışı bırakmanız gerekir.

Rol atamayı kaldırma

Aşağıdaki adımlar yönetilen kimlikten hedef kaynağa erişimi kaldırır:

  1. Uygulama Azure portalyönetilen kimliğin erişimini kaldırmak istediğiniz hedef Azure kaynağına gidin.

  2. Hedef kaynağın menüsünde Erişim denetimi (IAM) öğesini seçin. Araç çubuğunun altında Rol atamaları'ı seçin.

  3. Roller listesinde, kaldırmak istediğiniz yönetilen kimlikleri seçin. Araç çubuğunda Kaldır'ı seçin.

    İpucu

    Kaldır seçeneği devre dışı bırakılırsa büyük olasılıkla izinlere sahip olmadığınız olur. Kaynaklar için rolleri yönetmenize izinler hakkında daha fazla bilgi için, Azure Active Directory.

Mantıksal uygulama kaynağında yönetilen kimliği devre dışı bırakma

  1. Azure Portal, mantıksal uygulama kaynağınızı açın.

  2. mantıksal uygulama gezinti menüsünde, Ayarlar altında kimlik' i seçin ve ardından kimliğinize ilişkin adımları izleyin:

    • Kayıt sırasında atanan sistem > ' i seçin > . Azure 'un onaylamanızı isterse, Evet' i seçin.

    • Kullanıcı atandı ve yönetilen kimlik ' i seçin ve ardından Kaldır' ı seçin. Azure 'un onaylamanızı isterse, Evet' i seçin.

ARM şablonunda yönetilen kimliği devre dışı bırakma

Bir ARM şablonu kullanarak mantıksal uygulamanın yönetilen kimliğini oluşturduysanız, identity nesnenin type alt özelliğini olarak ayarlayın None .

"identity": {
   "type": "None"
}

Sonraki adımlar