Azure Logic Apps'da güvenli erişim ve Azure Logic Apps

Azure Logic Apps, azure Depolama depolar ve otomatik olarak şifreler. Bu şifreleme verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olur. Varsayılan olarak, Azure Depolama verilerinizi şifrelemek için Microsoft tarafından yönetilen anahtarları kullanır. Daha fazla bilgi için bkz. Azure Depolama beklemede veriler için şifreleme.

Veri kümelerinde erişimi daha fazla Azure Logic Apps ve hassas verileri korumak için şu alanlarda daha fazla güvenlik kurabilirsiniz:

• İstek tabanlı tetikleyicilere gelen çağrılara erişim
• Mantıksal uygulama işlemlerine erişim
• Çalıştırma geçmişi girişlerine ve çıkışlarına erişim
• Parametre girişlerine erişim
• Diğer hizmetlere ve sistemlere giden çağrılar için erişim
• Belirli bağlayıcılar için bağlantı oluşturmayı engelleme
• Mantıksal uygulamalar için yalıtım kılavuzu
• Azure Logic Apps için Azure Güvenlik Temeli

Azure'da güvenlik hakkında daha fazla bilgi için şu konulara bakın:

• Azure'da şifrelemeye genel bakış
• Beklemede Azure Veri Şifrelemesi
• Azure Güvenlik Karşılaştırması

İstek tabanlı tetikleyicilere gelen çağrılara erişim

İstek tetikleyicisi veya HTTP Web Kancası tetikleyicisi gibi bir mantıksal uygulamanın aldığı gelen çağrılar şifrelemeyi destekler ve daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen en az Aktarım Katmanı Güvenliği (TLS) 1.2ile güvenliği sağlandı. Logic Apps, İstek tetikleyicisi veya HTTP Web Kancası tetikleyicisi ya da eylemine yönelik bir geri arama alırken bu sürümü zorlar. TLS el sıkışma hataları alıyorsanız TLS 1.2'yi kullanmaya emin olun. Daha fazla bilgi için bkz. TLS 1.0 sorununu çözme.

Gelen çağrılar için aşağıdaki şifre paketlerini kullanın:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Aşağıdaki liste, mantıksal uygulamanıza gelen çağrıları alan tetikleyicilere erişimi sınırlandırarak mantıksal uygulamanıza yalnızca yetkili istemcilerin çağrılmalarını sağlamak için daha fazla yol içerir:

• Paylaşılan erişim imzaları (SAS) oluşturma
• Açık Azure Active Directory Doğrulamasını etkinleştirme (Azure AD OAuth)
• Azure API Management ile mantıksal uygulamanızı API Management
• Gelen IP adreslerini kısıtlama

Paylaşılan erişim imzaları (SAS) oluşturma

Mantıksal uygulamanın her istek uç noktasının URL'sinde şu biçimde bir Paylaşılan Erişim İmzası (SAS) vardır:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Her URL, sp bu tabloda açıklandığı gibi , ve sorgu sv sig parametresini içerir:

Bir istek uç noktasına gelen çağrılar, SAS veya Açık Kimlik Doğrulaması Azure Active Directory tek bir yetkilendirme şeması kullanabilir. Bir şema kullanmak diğer düzeni devre dışı bırakmasa da, her iki şemayı aynı anda kullanmak hataya neden olur çünkü hizmet hangi düzeni seçeceklerini bilmiyor.

SAS ile erişimin güvenliğini sağlama hakkında daha fazla bilgi için bu konudaki şu bölümlere bakın:

• Erişim anahtarlarını yeniden oluşturma
• Süresi dolan geri çağırma URL'leri oluşturma
• Birincil veya ikincil anahtarla URL oluşturma

Erişim anahtarlarını yeniden oluşturma

Herhangi bir zamanda yeni bir güvenlik erişim anahtarı oluşturmak için Azure REST API veya Azure portal. Eski anahtarı kullanan önceden oluşturulmuş tüm URL'ler geçersiz kılındı ve artık mantıksal uygulamayı tetikleme yetkisi yok. Yeniden oluşturma sonrasında alınan URL'ler yeni erişim anahtarıyla imzalanmıştır.

1. Uygulama Azure portal,yeniden oluşturmasını istediğiniz anahtarın yer alan mantıksal uygulamayı açın.

2. Mantıksal uygulamanın menüsünde, uygulamanın altında Ayarlar Erişim Anahtarları'ı seçin.

3. Yeniden üretip işlemi tamamlamak istediğiniz anahtarı seçin.

Süresi dolan geri çağırma URL'leri oluşturma

İstek tabanlı bir tetikleyicinin uç nokta URL'sini diğer taraflarla paylaşırsanız, belirli anahtarları kullanan ve sona erme tarihleri olan geri çağırma URL'leri oluşturabilirsiniz. Bu şekilde anahtarları sorunsuz bir şekilde toplayan veya erişimi belirli bir zaman süresine göre mantıksal uygulamanıza tetikleyen erişimi kısıtlarsınız. URL'nin sona erme tarihini belirtmek için Logic Apps REST API kullanın,örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdede, NotAfter JSON tarih dizesi kullanarak özelliğini dahil etmek. Bu özellik yalnızca tarih ve saat için geçerli olan bir geri çağırma NotAfter URL'si döndürür.

Birincil veya ikincil gizli anahtar ile URL oluşturma

İstek tabanlı bir tetikleyici için geri çağırma URL'leri ekleyebilirsiniz veya listeleyemezseniz, URL'yi imzalamak için kullanmak üzere anahtarı belirtebilirsiniz. Belirli bir anahtar tarafından imzalanmış bir URL oluşturmak için Logic Apps REST API kullanın,örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdede özelliğini veya KeyType olarak Primary dahil Secondary etmek. Bu özellik, belirtilen güvenlik anahtarı tarafından imzalanmış bir URL döndürür.

Açık Azure Active Directory Doğrulamasını etkinleştirme (Azure AD OAuth)

İstek tabanlı tetikleyici tarafından oluşturulan bir uç noktasına gelen çağrılar için, mantıksal uygulamanıza bir yetkilendirme ilkesi tanımlayarak veya ekleyerek Azure AD OAuth'ı etkinleştirebilirsiniz. Bu şekilde, gelen çağrılar yetkilendirme için OAuth erişim belirteçlerini kullanır.

Mantıksal uygulamanız OAuth erişim belirteci içeren bir gelen isteği aldığında Azure Logic Apps her yetkilendirme ilkesi tarafından belirtilen taleplerle karşılaştırabilirsiniz. Belirtecin talepleri ile en az bir ilkede yer alan tüm talepler arasında bir eşleşme varsa, gelen istek için yetkilendirme başarılı olur. Belirteci yetkilendirme ilkesi tarafından belirtilen sayıdan daha fazla talep olabilir.

Azure AD OAuth'ı etkinleştirmeden önce dikkat edilmesi gerekenler

• İstek uç noktasına gelen bir çağrı, Azure AD OAuth veya Paylaşılan Erişim İmzası (SAS)olmak üzere yalnızca bir yetkilendirme şeması kullanabilir. Bir şema kullanmak diğer düzeni devre dışı bırakmasa da, her iki şemayı aynı anda kullanmak hataya neden olur çünkü Logic Apps hizmeti hangi düzenin seçeceklerini bilmiyor.

• Azure AD OAuth erişim belirteçleri için yalnızca Taşıyıcı türü yetkilendirme düzenleri de kullanılabilir. Bu, erişim belirteci üst bilgisinde türün belirticinin Authorization belirteci belirtmesi gerektiğini Bearer gösterir.

• Mantıksal uygulamanız en fazla sayıda Yetkilendirme ilkesiyle sınırlıdır. Her yetkilendirme ilkesinin Ayrıca en fazla sayıda talepvardır. Daha fazla bilgi için bkz. Azure Logic Apps Için sınırlar ve yapılandırma.

• Yetkilendirme ilkesi, https://sts.windows.net/ https://login.microsoftonline.com/ Azure AD veren kimliği olarak ya da (OAuth v2) ile başlayan bir değere sahip en az veren talebi içermelidir.

  Örneğin, mantıksal uygulamanızın iki talep türü, hedef kitle ve veren gerektiren bir yetkilendirme ilkesi olduğunu varsayalım. Kodu çözülen erişim belirtecinin Bu örnek Yük bölümü , hem aud hedef kitle değeri hem de iss veren değeri olan talep türlerini içerir:

  {
      "aud": "https://management.core.windows.net/",
      "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
      "iat": 1582056988,
      "nbf": 1582056988,
      "exp": 1582060888,
      "_claim_names": {
         "groups": "src1"
      },
      "_claim_sources": {
         "src1": {
            "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
         }
      },
      "acr": "1",
      "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
      "amr": [
         "rsa",
         "mfa"
      ],
      "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
      "appidacr": "2",
      "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
      "family_name": "Sophia Owen",
      "given_name": "Sophia Owen (Fabrikam)",
      "ipaddr": "167.220.2.46",
      "name": "sophiaowen",
      "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
      "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
      "puid": "1003000000098FE48CE",
      "scp": "user_impersonation",
      "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
      "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
      "unique_name": "SophiaOwen@fabrikam.com",
      "upn": "SophiaOwen@fabrikam.com",
      "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
      "ver": "1.0"
  }
  

Mantıksal uygulamanız için Azure AD OAuth 'ı etkinleştirin

Azure portal veya Azure Resource Manager şablonunuz için şu adımları izleyin:

"resources": [
   {
      // Start logic app resource definition
      "properties": {
         "state": "<Enabled-or-Disabled>",
         "definition": {<workflow-definition>},
         "parameters": {<workflow-definition-parameter-values>},
         "accessControl": {
            "triggers": {
               "openAuthenticationPolicies": {
                  "policies": {
                     "<policy-name>": {
                        "type": "AAD",
                        "claims": [
                           {
                              "name": "<claim-name>",
                              "value": "<claim-value>"
                           }
                        ]
                     }
                  }
               }
            },
         },
      },
      "name": "[parameters('LogicAppName')]",
      "type": "Microsoft.Logic/workflows",
      "location": "[parameters('LogicAppLocation')]",
      "apiVersion": "2016-06-01",
      "dependsOn": [
      ]
   }
   // End logic app resource definition
],

İstek tetikleyicisi çıktılarına ' Authorization ' üst bilgisini dahil et

istek tabanlı tetikleyicilere erişim için gelen çağrıları yetkilendirmek üzere Azure Active Directory açma kimlik doğrulamasını (Azure AD OAuth) etkinleştiren logic apps için, Authorization OAuth erişim belirtecinden üstbilgiyi dahil etmek üzere istek tetikleyicisi veya HTTP web kancası tetikleyicisi çıkışlarını etkinleştirebilirsiniz. Tetikleyicinin temel alınan JSON tanımında özelliği ekleyin ve öğesini operationOptions olarak ayarlayın IncludeAuthorizationHeadersInOutputs . Istek tetikleyicisi için bir örnek aşağıda verilmiştir:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

Daha fazla bilgi için şu konulara bakın:

• Tetikleyici ve eylem türleri için şema başvurusu-Istek tetikleyicisi
• Tetikleyici ve eylem türleri için şema başvurusu-HTTP Web kancası tetikleyicisi
• Tetikleyici ve eylem türleri için şema başvurusu-Işlem seçenekleri

Mantıksal uygulamanızı Azure API Management kullanıma sunma

Daha fazla kimlik doğrulama protokolü ve seçeneği için, Azure API Management kullanarak mantıksal uygulamanızı bir API olarak ortaya çıkarmak isteyebilirsiniz. Bu hizmet, herhangi bir uç nokta için zengin izleme, güvenlik, ilke ve belge olanakları sağlar. API Management mantıksal uygulamanız için ortak veya özel bir uç nokta sunabilir. bu uç noktaya erişim yetkisi vermek için Azure Active Directory açma kimlik doğrulaması (Azure AD OAuth), istemci sertifikası veya diğer güvenlik standartlarını kullanabilirsiniz. API Management bir istek aldığında, hizmet isteği mantıksal uygulamanıza gönderir ve tüm gerekli dönüştürmeleri veya kısıtlamaları bu şekilde yapar. Mantıksal uygulamanızı yalnızca API Management çağrısına izin vermek için, mantıksal uygulamanızın gelen IP adreslerini kısıtlayabilirsiniz.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• API Management hakkında
• Azure AD ile OAuth 2,0 yetkilendirmesini kullanarak Azure API Management Web API arka ucunu koruma
• API Management 'de istemci sertifikası kimlik doğrulaması kullanarak API 'Leri güvenli hale getirme
• API Management kimlik doğrulaması ilkeleri

Gelen IP adreslerini kısıtla

Paylaşılan erişim Imzası (SAS) ile birlikte, mantıksal uygulamanızı çağırabilen istemcileri özellikle sınırlandırmak isteyebilirsiniz. Örneğin, Azure API Managementkullanarak istek uç noktanızı yönetiyorsanız, mantıksal uygulamanızı yalnızca sizin oluşturduğunuz API Management hizmet örneğininIP adresinden gelen istekleri kabul edecek şekilde kısıtlayabilirsiniz.

Belirttiğiniz herhangi bir IP adresi ne olursa olsun, Logic Apps REST API: Iş akışı Tetikleyicileri-Çalıştır isteği veya API Management kullanarak istek tabanlı tetikleyicisine sahip bir mantıksal uygulamayı çalıştırmaya devam edebilirsiniz. Ancak, bu senaryo Azure REST API için de kimlik doğrulaması gerektirir. Tüm olaylar Azure denetim günlüğünde görüntülenir. Erişim denetim ilkelerini uygun şekilde ayarladığınızdan emin olun.

Mantıksal uygulamanızın gelen IP adreslerini kısıtlamak için Azure portal veya Azure Resource Manager şablonunuz için şu adımları izleyin:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": []
               },
               "actions": {
                  "allowedCallerIpAddresses": []
               },
               // Optional
               "contents": {
                  "allowedCallerIpAddresses": []
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               <workflow-definition>
            },
            "parameters": {
            },
            "accessControl": {
               "triggers": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               },
               "actions": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     }
                  ]
               }
            },
            "endpointsConfiguration": {}
         }
      }
   ],
   "outputs": {}
}

Mantıksal uygulama işlemlerine erişim

Mantıksal uygulamaları yönetme, düzenleme ve görüntüleme gibi belirli görevleri yalnızca belirli kullanıcılara veya gruplara çalıştırabilirsiniz. İzinlerini kontrol etmek için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanın. Azure aboneliğinize erişimi olan üyelere yerleşik veya özelleştirilmiş roller atabilirsiniz. Azure Logic Apps belirli rollere sahip:

• Mantıksal Uygulama Katılımcısı:Mantıksal uygulamaları yönetmenize olanak sağlar, ancak bu uygulamalara erişimi değiştiremezsiniz.

• Mantıksal Uygulama İşleci:Mantıksal uygulamaları okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar, ancak bunları düzenleyemez veya güncelleştireleyemezsiniz.

• KatkıdaBulunan: Tüm kaynakları yönetmek için tam erişim sağlar, ancak Azure RBAC'de rol atamanıza, Azure Blueprints atamaları yönetmenize veya görüntü galerilerini paylaşmanıza izin vermez.

  Örneğin, bu mantıksal uygulamanın iş akışı tarafından kullanılan bağlantıları oluşturmadan ve kimlik doğrulamasını yapmadan bir mantıksal uygulamayla çalışmanızı düşünün. Azure aboneliğiniz, bu mantıksal uygulama kaynağını içeren kaynak grubu için Katkıda Bulunan izinleri gerektirir. Mantıksal uygulama kaynağı ekleyebilirsiniz, otomatik olarak Katkıda Bulunan erişiminiz olur.

Başkalarının mantıksal uygulamanızı değiştirmesini veya silerek silinmesini önlemek için Azure Kaynak Kilidi'i kullanabilirsiniz. Bu özellik, başkalarının üretim kaynaklarını değiştirmesini veya silmesini önler. Bağlantı güvenliği hakkında daha fazla bilgi için bağlantı yapılandırması ve Bağlantı Azure Logic Apps ve şifreleme'ye bakın.

Çalıştırma geçmişi verilerine erişim

Mantıksal uygulama çalıştırılıyorsa aktarım sırasında aktarım Katmanı Güvenliği (TLS) ve diğer tüm veriler şifrelenir. Mantıksal uygulamanın çalışması tamam olduğunda, her bir eylemin durumu, süresi, girişleri ve çıkışları ile birlikte çalıştırılan adımlar da dahil olmak üzere bu çalıştırmanın geçmişini görüntüebilirsiniz. Bu zengin ayrıntı, mantıksal uygulamanın nasıl çalışma ve ortaya çıkan sorunları gidermeye nereden baş olabileceğiniz hakkında içgörü sağlar.

Mantıksal uygulamanın çalıştırma geçmişini görüntüle Logic Apps, erişiminizin kimliğini doğrular ve ardından her çalıştırma için istekler ve yanıtlar için giriş ve çıkışlara bağlantılar sağlar. Ancak, parolaları, gizli dizileri, anahtarları veya diğer hassas bilgileri işleyen eylemler için başkalarının bu verileri görüntülemesini ve bu verilere erişmesini engellemek istersiniz. Örneğin, mantıksal uygulamanız bir HTTP eyleminin Azure Key Vault için bir gizli bilgi alıyorsa bu gizli Azure Key Vault görünümden gizlemek istiyor.

Mantıksal uygulamanın çalıştırma geçmişinde girişlere ve çıkışlara erişimi kontrol etmek için şu seçenekleriniz vardır:

• ERIŞIMI IP adresi aralığına göre kısıtla.

  Bu seçenek, belirli bir IP adresi aralığından gelen isteklere göre çalıştırma geçmişine erişimin güvenliğini sağlamanıza yardımcı olur.

• Karartma kullanarak çalıştırma geçmişinde verilerin güvenliğini sağlama.

  Birçok tetikleyicide ve eylemde, mantıksal uygulamanın çalıştırma geçmişinde girişleri, çıkışları veya her ikisini birden güvenli hale ekleyebilirsiniz.

IP adresi aralığına göre erişimi kısıtlama

Yalnızca belirli IP adresi aralıklarından gelen isteklerin bu verileri görüntüley çalışması için mantıksal uygulama çalıştırma geçmişinizin giriş ve çıkışlarına erişimi sınırlandırabilirsiniz.

Örneğin, herkesin girişlere ve çıkışlara erişmesini engellemek için gibi bir IP adresi aralığı 0.0.0.0-0.0.0.0 belirtin. Yalnızca yönetici izinlerine sahip bir kişi bu kısıtlamayı kaldırabilir ve mantıksal uygulamanın verilerine "tam zamanında" erişim olanağı sağlar.

İzin verilen IP aralıklarını belirtmek için Azure portal veya Azure Resource Manager izleyin:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {},
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {<workflow-definition>},
            "parameters": {},
            "accessControl": {
               "contents": {
                  "allowedCallerIpAddresses": [
                     {
                        "addressRange": "192.168.12.0/23"
                     },
                     {
                        "addressRange": "2001:0db8::/64"
                     }
                  ]
               }
            }
         }
      }
   ],
   "outputs": {}
}

Karartma kullanarak çalıştırma geçmişinde verilerin güvenliğini sağlama

Birçok tetikleyici ve eylem, mantıksal uygulamanın çalıştırma geçmişinden gelen girişlerin, çıkışların veya her ikisinin de güvenliğini sağlamak için ayarlara sahip olur. Tüm yönetilen bağlayıcılar ve özel bağlayıcılar bu seçenekleri destekler. Ancak, aşağıdaki yerleşik işlemler bu seçenekleri desteklemez:

Girişleri ve çıkışları güvenli hale getirme konusunda dikkat edilmesi gerekenler

Bu verilerin güvenliğini sağlamanıza yardımcı olmak için bu ayarları kullanmadan önce şu konuları gözden geçirebilirsiniz:

• Bir tetikleyicide veya eylemde girişleri veya çıkışları belirsiz Logic Apps, güvenli verileri Azure Log Analytics'e göndermez. Ayrıca, bu tetikleyiciye veya izleme eylemine izlenen özellikler ekleriz.

• İş Logic Apps işleme api'si güvenli çıkışlar getirmser.

• Bir eylemden gelen ve girişleri kapatan veya çıkışları açıkça kapatan çıkışların güvenliğini sağlamak için, bu eylemde Güvenli Çıkışları el ile açabilirsiniz.

• Aşağı akış eylemlerde, çalıştırma geçmişinin bu verileri karartmasını beklediğiniz Güvenli Girişler veya Güvenli Çıkışlar'ın açtırı olduğundan emin olun.

  Güvenli Çıkışlar ayarı

  Bir tetikleyicide veya eylemde Güvenli Çıkışları el ile Logic Apps çalıştırma geçmişinde bu çıkışları gizler. Aşağı akış eylemi bu güvenli çıkışları giriş olarak açıkça kullanıyorsa Logic Apps çalıştırma geçmişinde bu eylemin girişlerini gizler, ancak eylemin Güvenli Girişler ayarını etkinleştirmez.

  

  JSON Oluştur, Ayrıştır ve Yanıt eylemleri yalnızca Güvenli Girişler ayarına sahip olur. Bu ayar, açık olduğunda bu eylemlerin çıkışlarını da gizler. Bu eylemler yukarı akış güvenliğine sahip çıkışları giriş olarak açıkça kullanıyorsa Logic Apps bu eylemlerin giriş ve çıkışlarını gizler, ancak bu eylemlerin Güvenli Girişler ayarını etkinleştirmez. Aşağı akış eylemi Giriş olarak Oluştur, JSON Ayrıştır veya Yanıt eylemlerinden gelen gizli çıkışları açıkça kullanıyorsa Logic Apps bu aşağı akış eyleminin girişlerini veya çıkışlarını gizlemez.

  

  Güvenli Girişler ayarı

  Bir tetikleyicide veya eylemde Güvenli Girişleri el ile Logic Apps çalıştırma geçmişinde bu girişleri gizler. Bir aşağı akış eylemi, giriş olarak bu tetikleyici veya eylemden görünür çıkışları açıkça kullanıyorsa, Logic Apps bu aşağı akış eyleminin çalıştırma geçmişindeki girişlerini gizler, ancak bu eylemde güvenli girişleri etkinleştirmez ve bu eylemin çıktılarını gizlemez.

  

  Oluşturma, ayrıştırma JSON ve yanıt eylemleri, tetikleyici veya eylemden güvenli girişler içeren görünür çıktıları açıkça kullanıyorsa, Logic Apps bu eylemlerin girişlerini ve çıkışlarını gizler, ancak bu eylemin güvenli girişler ayarını etkinleştirmez . Bir aşağı akış eylemi, giriş olarak oluşturma, ayrıştırma JSON veya Yanıt eylemlerdeki gizli çıkışları açıkça kullanıyorsa, Logic Apps Bu aşağı akış eyleminin giriş veya çıkışlarını gizlemez.

  

Tasarımcıda güvenli girişler ve çıktılar

1. Azure Portalmantıksal uygulama tasarımcısında mantıksal uygulamanızı açın.

   

2. hassas verileri güvenli hale getirmek istediğiniz tetikleyici veya eylemde, üç nokta (...) düğmesini ve ardından Ayarlar' yi seçin.

   

3. Güvenli girişleri, güvenli çıktıları veya her ikisini açın. İşiniz bittiğinde Bitti'yi seçin.

   

   Eylem veya tetikleyici artık başlık çubuğunda bir kilit simgesi gösterir.

   

   Önceki eylemlerden gelen güvenli çıkışları temsil eden belirteçler de kilit simgeleri gösterir. Örneğin, bir eylemde kullanmak üzere dinamik içerik listesinden böyle bir çıktı seçtiğinizde, bu belirteç bir kilit simgesi gösterir.

   

4. Mantıksal uygulama çalıştıktan sonra, o çalıştırmanın geçmişini görüntüleyebilirsiniz.

   1. Mantıksal uygulamanın genel bakış bölmesinde, görüntülemek istediğiniz çalıştırmayı seçin.

   2. Mantıksal uygulama çalıştırma bölmesinde, gözden geçirmek istediğiniz eylemleri genişletin.

      Hem giriş hem de çıkışları gizlemeyi seçtiyseniz, bu değerler artık gizli olarak görünür.

      

Kod görünümünde güvenli girişler ve çıktılar

Temel tetikleyici veya eylem tanımında runtimeConfiguration.secureData.properties diziyi bu değerlerden birini ya da her ikisini birden ekleyin veya güncelleştirin:

• "inputs": Çalıştırma geçmişindeki girişlerin güvenliğini sağlar.
• "outputs": Çalıştırma geçmişindeki çıkışların güvenliğini sağlar.

"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Parametre girdilerine erişim

Farklı ortamlara dağıtırsanız, iş akışı tanımınızdaki bu ortamlara göre farklılık gösteren değerleri parametreleştirmeyi göz önünde bulundurun. Bu şekilde, mantıksal uygulamanızı dağıtmak, güvenli parametreleri tanımlayarak gizli verileri korumak ve bir parametre dosyasıkullanarak bu verileri şablon parametreleri aracılığıyla ayrı girişler olarak geçirmek için Azure Resource Manager şablonu kullanarak sabit kodlanmış verilerden kaçınabilirsiniz.

örneğin, Azure Active Directory açık kimlik doğrulaması (Azure AD OAuth) ile HTTP eylemlerinin kimliğini doğruladıysanız, kimlik doğrulaması için kullanılan istemci kimliğini ve istemci gizli anahtarını kabul eden parametreleri tanımlayabilir ve gizlemelisiniz. Mantıksal uygulamanızda bu parametreleri tanımlamak için parameters mantıksal uygulamanızın iş akışı tanımının ve dağıtım için Kaynak Yöneticisi şablonun bölümünü kullanın. Mantıksal uygulamanızı düzenlenirken veya çalıştırma geçmişini görüntülerken görüntülenmesini istemediğiniz parametre değerlerinin güvenli hale getirilmesine yardımcı olmak için, veya türünü kullanarak parametreleri tanımlayın securestring secureobject ve kodlamayı gereken şekilde kullanın. Bu türe sahip parametreler kaynak tanımıyla döndürülmez ve dağıtımdan sonra kaynak görüntülenirken erişilebilir değildir. Çalışma zamanı sırasında bu parametre değerlerine erişmek için, @parameters('<parameter-name>') iş akışı tanımınızın içindeki ifadeyi kullanın. Bu ifade yalnızca çalışma zamanında değerlendirilir ve Iş akışı Tanım Dilitarafından açıklanmıştır.

Daha fazla bilgi için bu konudaki aşağıdaki bölümlere bakın:

• İş akışı tanımlarında güvenli parametreler
• Gizleme kullanarak çalıştırma geçmişindeki verileri güvenli hale getirme

Mantıksal uygulamalar için dağıtımı Kaynak Yöneticisi şablonları kullanarak otomatikleştirmenizdurumunda, ve türlerini kullanarak dağıtımda değerlendirilen güvenli şablon parametrelerinitanımlayabilirsiniz securestring secureobject . Şablon parametrelerini tanımlamak için, şablonunuzun en üst düzey bölümünü kullanın parameters , bu, iş akışı tanımınızdan ayrı ve farklı olan bölümdür parameters . Şablon parametrelerinin değerlerini sağlamak için ayrı bir parametre dosyasıkullanın.

Örneğin, gizli dizileri kullanıyorsanız, bu gizli dizileri dağıtım Azure Key Vault ' den alan güvenli şablon parametrelerini tanımlayabilir ve kullanabilirsiniz. Daha sonra, parametre dosyanızdaki anahtar kasasına ve gizli dizi ile gizli dizi oluşturabilirsiniz. Daha fazla bilgi için şu konulara bakın:

• Azure Key Vault kullanarak dağıtımda hassas değerler geçirin
• Bu konunun ilerleyen kısımlarında Azure Resource Manager şablonlarda güvenli parametreler

İş akışı tanımlarında güvenli parametreler

Mantıksal uygulamanızın iş akışı tanımındaki hassas bilgileri korumak için, mantıksal uygulamanızı kaydettikten sonra bu bilgilerin görünür olmaması için güvenli parametreleri kullanın. Örneğin, bir HTTP eyleminin, bir Kullanıcı adı ve parola kullanan temel kimlik doğrulaması gerektirdiğini varsayalım. İş akışı tanımında, parameters bölümü, basicAuthPasswordParam basicAuthUsernameParam türünü kullanarak ve parametrelerini tanımlar securestring . Sonra eylem tanımı, bölümünde bu parametrelere başvurur authentication .

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Azure Resource Manager şablonlarda güvenli parametreler

Mantıksal uygulama için bir Kaynak Yöneticisi şablonu birden çok parameters bölüme sahiptir. Parolaları, anahtarları, sırları ve diğer hassas bilgileri korumak için, veya türünü kullanarak şablon düzeyinde ve iş akışı tanımı düzeyinde güvenli parametreleri tanımlayın securestring secureobject . Daha sonra bu değerleri Azure Key Vault saklayabilir ve anahtar kasası ve gizli dizi için parametre dosyasını kullanabilirsiniz. Şablonunuz daha sonra bu bilgileri dağıtımda alır. Daha fazla bilgi için bkz. Azure Key Vault kullanarak dağıtımda gizli değerleri geçirme.

Bu bölümler hakkında daha fazla bilgi aşağıda verilmiştir parameters :

• Şablonun en üst düzeyinde bir parameters bölüm, şablonun dağıtımda kullandığı değerler için parametreleri tanımlar. Örneğin, bu değerler belirli bir dağıtım ortamı için bağlantı dizeleri içerebilir. Daha sonra bu değerleri ayrı bir parametre dosyasındasaklayabilirsiniz, bu da bu değerlerin değiştirilmesini kolaylaştırır.

• Mantıksal uygulamanızın kaynak tanımı içinde, ancak iş akışı tanımınızın dışında, bir parameters bölüm iş akışı tanımınızın parametrelerinin değerlerini belirtir. Bu bölümde, şablonunuzun parametrelerine başvuran şablon ifadelerini kullanarak bu değerleri atayabilirsiniz. Bu ifadeler dağıtımda değerlendirilir.

• İş akışı tanımınızın içinde, bir parameters bölüm mantıksal uygulamanızın çalışma zamanında kullandığı parametreleri tanımlar. Daha sonra bu parametrelere, çalışma zamanında değerlendirilen iş akışı Tanım ifadelerini kullanarak mantıksal uygulamanızın iş akışının içinde başvurabilirsiniz.

Bu örnek, türü kullanan birden çok güvenli parametre tanımına sahip olan şablon securestring :

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

Diğer hizmetlere ve sistemlere giden çağrılar için erişim

Hedef uç noktanın özelliğine, http tetikleyicisi veya http eylemitarafından gönderilen giden çağrılar, şifrelemeyi destekler ve daha önce GÜVENLI yuva KATMANı (SSL) olarak bilinen Aktarım KATMANı güvenliği (TLS) 1,0, 1,1 veya 1,2ile güvenli hale getirilir. Logic Apps, desteklenen en yüksek olası sürümü kullanarak hedef uç noktayla görüşür. Örneğin, hedef uç nokta 1,2 ' i destekliyorsa, HTTP tetikleyicisi veya eylemi önce 1,2 ' i kullanır. Aksi halde, bağlayıcı desteklenen bir sonraki en yüksek sürümü kullanır.

TLS/SSL otomatik olarak imzalanan sertifikalar hakkında bilgi aşağıda verilmiştir:

• genel, çok kiracılı Azure Logic Apps ortamındaki logic apps için, HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarına izin vermez. Mantıksal uygulamanız sunucuya HTTP çağrısı yapar ve bir TLS/SSL otomatik olarak imzalanan sertifika sunduğunda, HTTP çağrısı hata vererek başarısız olur TrustFailure .

• tek kiracılı Azure Logic Apps ortamındaki logic apps için, HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarını destekler. Ancak, bu kimlik doğrulama türü için birkaç ek adımı tamamlamalısınız. Aksi takdirde, çağrı başarısız olur. Daha fazla bilgi için, tek kiracılı Azure Logic Apps Için TSL/SSL sertifika kimlik doğrulamasınıgözden geçirin.

  istemci sertifikası kullanmak veya bunun yerine "sertifika" kimlik bilgisi türü ile kimlik doğrulaması (Azure AD OAuth) Azure Active Directory açmak istiyorsanız, bu kimlik doğrulama türü için birkaç ek adımı doldurmanız gerekir. Aksi takdirde, çağrı başarısız olur. daha fazla bilgi için, istemci sertifikası ' nı gözden geçirin veya tek kiracılı Azure Logic Apps için "sertifika" kimlik bilgisi türü ile kimlik doğrulaması (Azure AD OAuth) Azure Active Directory açın.

• Bir tümleştirme hizmeti ortamındaki (ıSE)Logic Apps için http BAĞLAYıCıSı, TLS/SSL el sıkışmaları için otomatik olarak imzalanan sertifikalara izin verir. Ancak, önce Logic Apps REST API kullanarak mevcut bir ıSE veya yeni bir ıSE için otomatik olarak imzalanan sertifika desteğini etkinleştirmeniz ve ortak sertifikayı konuma yüklemeniz gerekir TrustedRoot .

Mantıksal uygulamanızdan gönderilen çağrıları işleyen uç noktaların güvenli hale getirilmesine yardımcı olmak için daha fazla yol aşağıda verilmiştir:

• Giden isteklere kimlik doğrulaması ekleyin.

  Giden çağrıları göndermek için HTTP tetikleyicisi veya eylemini kullandığınızda, mantıksal uygulamanız tarafından gönderilen isteğe kimlik doğrulaması ekleyebilirsiniz. Örneğin, şu kimlik doğrulama türlerini seçebilirsiniz:

  • Temel kimlik doğrulaması

  • İstemci sertifikası kimlik doğrulaması

  • Active Directory OAuth kimlik doğrulaması

  • Yönetilen kimlik doğrulaması

• Mantıksal uygulama IP adreslerinden erişimi kısıtlama.

  Mantıksal uygulamalardan uç noktalara yapılan tüm çağrılar, mantıksal uygulama bölgelerinizi temel alan belirli belirlenmiş IP adreslerinden kaynaklandığı için. Yalnızca bu IP adreslerinden gelen istekleri kabul eden filtreleme ekleme. Bu IP adreslerini almak için bkz. Azure Logic Apps için sınırlar ve yapılandırma.

• Şirket içi sistemlere bağlantılar için güvenliği geliştirme.

  Azure Logic Apps daha güvenli ve güvenilir şirket içi iletişim sağlamak için bu hizmetlerle tümleştirme sağlar.

  • Şirket içi veri ağ geçidi

    Azure Logic Apps'daki birçok yönetilen bağlayıcı, Dosya Sistemi, SQL, SharePoint ve DB2 gibi şirket içi sistemlere güvenli bağlantıları kolaylaştırır. Ağ geçidi, şirket içi kaynaklardan şifrelenmiş kanallar üzerinden Azure Service Bus. Tüm trafik, ağ geçidi aracından güvenli giden trafik olarak kaynaklandı. Şirket içi veri ağ geçidinin nasıl çalıştığını öğrenin.

  • Bağlan Azure API Management

    Azure API Management, güvenli ara sunucu ve şirket içi sistemlerle iletişim için siteden siteye sanal özel ağ ve ExpressRoute tümleştirmesi gibi şirket içi bağlantı seçenekleri sağlar. Şirket içi sisteminize erişim sağlayan bir API'niz varsa ve bu API'yi bir API Managementhizmet örneği oluşturarak ortaya çıktınızsa, Mantıksal Uygulama Tasarımcısı'nda yerleşik API Management tetikleyicisini veya eylemini seçerek bu API'yi mantıksal uygulamanın iş akışında çağırabilirsiniz.

    Not

    Bağlayıcı yalnızca görüntüleme API Management bağlanma izinlerine sahip olduğunuz ancak tüketime dayalı hizmet API Management gösterir.

    1. Mantıksal Uygulama Tasarımcısı'nda arama api management kutusuna yazın. Tetikleyici veya eylem eklemeye bağlı olarak adımı seçin:

       • İş akışınız için her zaman ilk adım olan bir tetikleyici ekliyorsanız Bir Azure tetikleyicisi API Management seçin.

       • Eylem ekliyorsanız Bir Azure eylem seçin eylem API Management seçin.

       Bu örnek bir tetikleyici ekler:

       

    2. Daha önce oluşturduğunuz API Management örneğini seçin.

       

    3. Kullanmak üzere API çağrısını seçin.

       

Giden çağrılara kimlik doğrulaması ekleme

HTTP ve HTTPS uç noktaları çeşitli kimlik doğrulamalarını destekler. Bu uç noktalara giden çağrılar veya istekler göndermek için kullanılan bazı tetikleyicilerde ve eylemlerde bir kimlik doğrulama türü belirtebilirsiniz. Mantıksal Uygulama Tasarımcısı'nda, kimlik doğrulama türü seçmeyi destekleyen tetikleyiciler ve eylemler bir Kimlik Doğrulama özelliğine sahip olur. Ancak, bu özellik her zaman varsayılan olarak görüne görünebilir. Böyle durumlarda, tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve Kimlik Doğrulaması'ı seçin.

Kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulama türleri

Bu tablo, bir kimlik doğrulama türü seçerek tetikleyicilerde ve eylemlerde kullanılabilen kimlik doğrulama türlerini tanımlar:

Temel kimlik doğrulama

Temel seçeneği varsa şu özellik değerlerini belirtin:

Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı olarak kimlik doğrulamasını belirtir ve parametre değerlerini type Basic almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

İstemci Sertifikası kimlik doğrulaması

İstemci Sertifikası seçeneği varsa şu özellik değerlerini belirtin:

Gizli bilgileri işlemek ve güvenli hale getirmek için güvenli parametreleri kullandığınızda (örneğin, dağıtımı otomatikleştirmek için bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylemi tanımı, kimlik doğrulamasını type olarak belirtir ClientCertificate ve parametre değerlerini almak için Parameters () işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

İstemci sertifikası kimlik doğrulamasını kullanarak hizmetlerin güvenliğini sağlama hakkında daha fazla bilgi için şu konulara bakın:

• Azure API Management istemci sertifikası kimlik doğrulaması kullanarak API 'Leri güvenliği geliştirme
• Azure API Management istemci sertifikası kimlik doğrulaması kullanarak arka uç hizmetleri için güvenliği geliştirme
• İstemci sertifikalarını kullanarak, yeniden takip eden hizmetiniz için güvenliği geliştirme
• Uygulama kimlik doğrulaması için sertifika kimlik bilgileri
• Azure App Service'te kodunuzda TLS/SSL sertifikası kullanma

Azure Active Directory Kimlik doğrulaması aç

istek tetikleyicileri üzerinde, mantıksal uygulamanız için Azure AD yetkilendirme ilkeleri ayarladıktan sonra gelen çağrıların kimliğini doğrulamak için Azure Active Directory açma kimlik doğrulaması (Azure AD OAuth)kullanabilirsiniz. Seçmeniz için Active Directory OAuth kimlik doğrulaması türünü sağlayan diğer tüm tetikleyiciler ve eylemler için şu özellik değerlerini belirtin:

Gizli bilgileri işlemek ve güvenli hale getirmek için güvenli parametreleri kullandığınızda (örneğin, dağıtımı otomatikleştirmek için bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylemi tanımı, kimlik type ActiveDirectoryOAuth bilgisini olarak kimlik bilgisi türü olarak belirtir Secret ve parametre değerlerini almak için Parameters () işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Ham kimlik doğrulaması

Ham seçenek kullanılabiliyorsa, OAuth 2,0 protokolünüizleyen kimlik doğrulama düzenlerini kullanmanız gerektiğinde bu kimlik doğrulama türünü kullanabilirsiniz. Bu tür ile, giden istekle birlikte göndereceğiniz yetkilendirme üstbilgi değerini el ile oluşturursunuz ve bu üst bilgi değerini Tetikleyiciniz veya eyleminiz içinde belirtirsiniz.

Örneğin, OAuth 1,0 protokolünüIZLEYEN bir https isteği için örnek üst bilgi aşağıda verilmiştir:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

Ham kimlik doğrulamasını destekleyen tetikleyici veya eylemde, bu özellik değerlerini belirtin:

Gizli bilgileri işlemek ve güvenli hale getirmek için güvenli parametreleri kullandığınızda (örneğin, dağıtımı otomatikleştirmek için bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylemi tanımı, kimlik doğrulamasını type olarak belirtir Raw ve parametre değerlerini almak için Parameters () işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Yönetilen kimlik doğrulaması

yönetilen kimlik kimlik doğrulamasını destekleyen tetikleyici veya eylemüzerinde yönetilen kimlik doğrulama seçeneği kullanılabilir olduğunda, mantıksal uygulamanız kimlik bilgileri, gizlilikler veya Azure ad belirteçleri yerine Azure Active Directory (azure ad) tarafından korunan Azure kaynaklarına erişim kimliğini doğrulamak için bu kimliği kullanabilir. Azure bu kimliği sizin için yönetir ve gizli dizileri yönetmeniz veya doğrudan Azure AD belirteçlerini kullanabilmeniz için kimlik bilgilerinizi güvenli hale getirmeye yardımcı olur. Azure AD kimlik doğrulaması için yönetilen kimlikleri destekleyen Azure hizmetlerihakkında daha fazla bilgi edinin.

• Mantıksal uygulama (tüketim) kaynak türü, sistem tarafından atanan kimliği veya el ile oluşturulan tek bir kullanıcı tarafından atanan kimliği kullanabilir.

• Mantıksal Uygulama (Standart) kaynak türü yalnızca otomatik olarak etkinleştirilmiş sistem tarafından atanan kimliği kullanabilir. Kullanıcı tarafından atanan kimlik şu anda kullanılamıyor.

1. Mantıksal uygulamanın yönetilen kimlik kullanamadan önce, Azure Logic Apps'de yönetilen kimlikleri kullanarak Azure kaynaklarına erişimin kimliğini doğrulama. Bu adımlar mantıksal uygulamanıza yönetilen kimliğin erişmesi ve bu kimliğin hedef Azure kaynağına erişimini ayarlamanızı sağlar.

2. Bir Azure işlevinin yönetilen kimlik kullanamadan önce Azure işlevleri için kimlik doğrulamasını etkinleştirin.

3. Yönetilen kimlik kullanmayı destekleyen tetikleyicide veya eylemde şu bilgileri sağlar:

   Yerleşik tetikleyiciler ve eylemler

   Özellik (tasarımcı)	Özellik (JSON)	Gerekli	Değer	Açıklama
   Kimlik Doğrulaması	type	Yes	Yönetilen Kimlik veya ManagedServiceIdentity	Kullanmak için kimlik doğrulaması türü
   Yönetilen Kimlik	identity	Yes	* Sistem Tarafından Atanan Yönetilen Kimlik veya SystemAssigned * <-atanan-kimlik-kimliği>	Kullanmak için yönetilen kimlik
   Hedef kitle	audience	Yes	<target-resource-ID>	Erişmek istediğiniz hedef kaynağın kaynak kimliği. Örneğin, https://storage.azure.com/ kimlik doğrulaması için erişim belirteçlerini tüm depolama hesapları için geçerli yapar. Ancak, belirli bir depolama hesabı için gibi bir kök hizmet https://fabrikamstorageaccount.blob.core.windows.net URL'si de belirtebilirsiniz. Not: Hedef kitle özelliği bazı tetikleyicilerde veya eylemlerde gizlenmiş olabilir. Bu özelliği görünür yapmak için tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve Hedef Kitle'yi seçin. Önemli: Bu hedef kaynak kimliğinin, gerekli sonda eğik çizgi de dahil olmak üzere Azure AD'nin beklediğiniz değerle tam olarak eş olduğundan emin olun. Bu nedenle tüm https://storage.azure.com/ Azure Blob depolama hesaplarının Depolama eğik çizgi gerekir. Ancak, belirli bir depolama hesabının kaynak kimliği, sonda eğik çizgi gerektirmez. Bu kaynak kimliklerini bulmak için bkz. Azure AD'yi destekleyen Azure hizmetleri.

   Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Örneğin, bu HTTP eylem tanımı kimlik doğrulamasını olarak belirtir ve parametre değerlerini almak type ManagedServiceIdentity için parameters() işlevini kullanır:

   "HTTP": {
      "type": "Http",
      "inputs": {
         "method": "GET",
         "uri": "@parameters('endpointUrlParam')",
         "authentication": {
            "type": "ManagedServiceIdentity",
            "identity": "SystemAssigned",
            "audience": "https://management.azure.com/"
         },
      },
      "runAfter": {}
   }
   

   Yönetilen bağlayıcı tetikleyicileri ve eylemleri

   Özellik (tasarımcı)	Gerekli	Değer	Açıklama
   Bağlantı adı	Yes	<connection-name>
   Yönetilen kimlik	Yes	Sistem tarafından atanan yönetilen kimlik veya <kullanıcı tarafından atanan-yönetilen-kimlik-adı>	Kullanmak için kimlik doğrulaması türü

Bağlantı oluşturmayı engelleme

Kuruluş, Azure Logic Apps'de bağlayıcılarını kullanarak belirli kaynaklara bağlanmaya izin vermiyorsa, Azure İlkesi kullanarak mantıksal uygulama iş akışlarında belirli bağlayıcılar için bu bağlantıları oluşturma özelliğini engelleyebilirsiniz. Daha fazla bilgi için bkz. 'de belirli bağlayıcılar tarafından oluşturulan Azure Logic Apps.

Mantıksal uygulamalar için yalıtım kılavuzu

Etki Düzeyi Azure Logic Apps 5 Azure Kamu Kılavuzu tarafından açıklanan bölgelerdeki tüm etki düzeylerini destekleyen Azure Kamu'leri kullanabilirsiniz. Logic Apps, bu gereksinimleri karşılamak için, mantıksal uygulamalarınız üzerindeki diğer Azure kiracıları tarafından performans etkisini azaltabilirsiniz ve işlem kaynaklarını diğer kiracılarla paylaşmaktan kaçınabilirsiniz.

• Kendi kodunuzu çalıştırmak veya XML dönüşümü gerçekleştirmek için, satır içi kod özelliğini kullanmak veya sırasıyla eşleme olarak kullanmak üzere derlemeler sağlamak yerine bir Azureişlevi oluşturun ve çağırın. Ayrıca, yalıtım gereksinimlerinize uymak için işlev uygulamanıza barındırma ortamını ayarlayın.

  Örneğin, Etki Düzeyi 5 gereksinimlerini karşılamak için Yalıtılmış fiyatlandırma katmanını ve yalıtılmış fiyatlandırma katmanını da kullanan App Service Ortamı (ASE) kullanarak işlev uygulamalarınızı App Service planıyla oluşturun. Bu ortamda işlev uygulamaları, ayrılmış Azure sanal makinelerde ve ayrılmış Azure sanal ağlarında çalıştırarak uygulamalarınız için işlem yalıtımına ek olarak ağ yalıtımı ve maksimum ölçek geliştirme özellikleri sunar.

  Daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

  • Azure App Service planları
  • Azure İşlevleri ağ seçenekleri
  • Sanal makineler için Azure Ayrılmış Konakları
  • Azure'da sanal makine yalıtımı
  • Ayrılmış Azure hizmetlerini sanal ağlara dağıtma

• Çok kiracılı veya tek kiracılı birkiracı Azure Logic Apps bağlı olarak şu seçenekleriniz vardır:

  • Tek kiracılı tabanlı mantıksal uygulamalar ile gelen trafik için özel uç noktalar ayarp giden trafik için sanal ağ tümleştirmesi kullanarak mantıksal uygulama iş akışları ile Azure sanal ağı arasında özel ve güvenli bir şekilde iletişim kurabilirsiniz. Daha fazla bilgi için, özel uç noktaları kullanarak sanal ağlar ve tek kiracılı ağlar Azure Logic Apps güvenli trafik.

  • Çok kiracılı tabanlı mantıksal uygulamalar ile mantıksal uygulamalarınızı bir tümleştirme hizmeti ortamında (ISE) oluşturabilir ve çalıştırabilirsiniz. Bu şekilde mantıksal uygulamalarınız ayrılmış kaynaklarda çalıştırarak Bir Azure sanal ağı tarafından korunan kaynaklara erişebilirsiniz. Azure Depolama tarafından kullanılan şifreleme anahtarları üzerinde daha fazla denetim için, Azure Key Vault kullanarak kendi anahtarınızı Azure Key Vault. Bu özellik "Kendi Anahtarını Getir" (BYOK) olarak da bilinir ve anahtarınız "müşteri tarafından yönetilen anahtar" olarak da bilinir. Daha fazla bilgi için, Azure Logic Apps'de tümleştirme hizmeti ortamlarının (ISE) kalan verilerini şifrelemek için müşteri tarafından yönetilen anahtarları ayarlama'Azure Logic Apps.

  Önemli

  Bazı Azure sanal ağları Azure Depolama, AzureCosmosDB veya Azure SQL Veritabanı, iş ortağı hizmetleri veya Azure'da barındırılan müşteri hizmetleri gibi Azure PaaS hizmetlerine erişim sağlamak için özel uç noktaları (Azure Özel Bağlantı) kullanır.

  İş akışlarının özel uç noktaları kullanan sanal ağlara erişmesi gerekirse ve bu iş akışlarını Mantıksal Uygulama (Tüketim) kaynak türünü kullanarak geliştirmek için mantıksal uygulamalarınızı bir ISE içinde oluşturmanız ve çalıştırmanız gerekir. Ancak, Mantıksal Uygulama (Standart) kaynak türünü kullanarak bu iş akışlarını geliştirmek için ISE'ye ihtiyacınız yok. Bunun yerine, iş akışlarınız gelen trafik için özel uç noktaları ve giden trafik için sanal ağ tümleştirmesi kullanarak sanal ağlarla özel ve güvenli bir şekilde iletişim kurabilir. Daha fazla bilgi için, özel uç noktaları kullanarak sanal ağlar ve tek kiracılı ağlar Azure Logic Apps güvenli trafik.

Yalıtım hakkında daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

• Azure Genel Bulut'ta yalıtım
• Azure'da son derece hassas IaaS uygulamaları için güvenlik

Sonraki adımlar

• Azure Logic Apps için Azure güvenlik temeli
• Azure Logic Apps için dağıtımı otomatikleştirme
• Mantıksal uygulamaları izleme