Azure Logic Apps'da güvenli erişim ve Azure Logic Apps

Azure Logic Apps, azure Depolama depolar ve otomatik olarak şifreler. Bu şifreleme verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olur. Varsayılan olarak, Azure Depolama verilerinizi şifrelemek için Microsoft tarafından yönetilen anahtarları kullanır. Daha fazla bilgi için bkz. Azure Depolama beklemede veriler için şifreleme.

Veri kümelerinde erişimi daha fazla kontrol etmek Azure Logic Apps hassas verileri korumak için şu alanlarda daha fazla güvenlik kurabilirsiniz:

Azure'da güvenlik hakkında daha fazla bilgi için şu konulara bakın:

İstek tabanlı tetikleyicilere gelen çağrılara erişim

İstek tetikleyicisi veya HTTP Web kancası tetikleyicisi gibi bir mantıksal uygulamanın aldığı gelen çağrılar, şifrelemeyi destekler ve daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen en azından Aktarım Katmanı Güvenliği (TLS) 1.2ile güvenliği sağlandı. Logic Apps, İstek tetikleyicisi veya HTTP Web Kancası tetikleyicisi ya da eylemine yönelik bir geri arama alırken bu sürümü zorlar. TLS el sıkışma hataları alıyorsanız TLS 1.2'yi kullanmaya emin olun. Daha fazla bilgi için bkz. TLS 1.0 sorununu çözme.

Gelen çağrılar için aşağıdaki şifre paketlerini kullanın:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Not

Geriye dönük uyumluluk için, Azure Logic Apps bazı eski şifreleme paketlerini destekleye devam ediyor. Ancak, yeni uygulama geliştirirken eski şifre paketlerini kullanmayın, çünkü bu tür paketlerin gelecekte desteklenene bir şey olmayacaktır.

Örneğin, Azure Logic Apps hizmetini veya mantıksal uygulama URL'nizin URL'sini bir güvenlik aracı kullanarak TLS el sıkışma iletilerini incelerken aşağıdaki şifreleme paketlerini bulabilirsiniz. Yine şu eski paketleri kullanmayın:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Aşağıdaki liste, mantıksal uygulamanıza gelen çağrıları alan tetikleyicilere erişimi yalnızca yetkili istemcilerin mantıksal uygulamanıza çağrı gönderesin diye sınırlandırmanıza yardımcı olacak daha fazla yol içerir:

Paylaşılan erişim imzaları (SAS) oluşturma

Mantıksal uygulamanın her istek uç noktasının URL'sinde şu biçimde bir Paylaşılan Erişim İmzası (SAS) vardır:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Her URL, sp bu tabloda açıklandığı gibi , ve sorgu sv sig parametresini içerir:

Sorgu parametresi Açıklama
sp İzin verilen HTTP yöntemlerinin kullanma izinlerini belirtir.
sv İmza oluşturmak için kullanmak üzere SAS sürümünü belirtir.
sig Tetikleyiciye erişimin kimlik doğrulamasını yapmak için kullanmak üzere imzayı belirtir. Bu imza, SHA256 algoritması kullanılarak tüm URL yol ve özellikleri üzerinde gizli erişim anahtarıyla oluşturulur. Hiçbir zaman açık veya yayımlanamaz, bu anahtar şifrelenir ve mantıksal uygulamayla depolanır. Mantıksal uygulamanız yalnızca gizli anahtarla oluşturulmuş geçerli bir imza içeren tetikleyicileri yetkilendir.

Bir istek uç noktasına gelen çağrılar, SAS veya açık kimlik doğrulaması Azure Active Directory tek bir yetkilendirme şeması kullanabilir. Bir şema kullanmak diğer düzeni devre dışı bırakmasa da, her iki şemayı aynı anda kullanmak hataya neden olur çünkü hizmet hangi düzeni seçeceklerini bilmiyor.

SAS ile erişimin güvenliğini sağlama hakkında daha fazla bilgi için bu konudaki şu bölümlere bakın:

Erişim anahtarlarını yeniden oluşturma

Herhangi bir zamanda yeni bir güvenlik erişim anahtarı oluşturmak için Azure REST API veya Azure portal. Eski anahtarı kullanan önceden oluşturulmuş tüm URL'ler geçersiz kılındı ve artık mantıksal uygulamayı tetikleme yetkisi yok. Yeniden oluşturma sonrasında alınan URL'ler yeni erişim anahtarıyla imzalanmıştır.

  1. uygulama Azure portalyeniden oluşturma anahtarına sahip mantıksal uygulamayı açın.

  2. Mantıksal uygulamanın menüsünde, uygulamanın altında Ayarlar Erişim Anahtarları'ı seçin.

  3. Yeniden üretip işlemi tamamlamak istediğiniz anahtarı seçin.

Süresi dolan geri çağırma URL'leri oluşturma

İstek tabanlı bir tetikleyicinin uç nokta URL'sini diğer taraflarla paylaşırsanız, belirli anahtarları kullanan ve sona erme tarihleri olan geri çağırma URL'leri oluşturabilirsiniz. Bu şekilde anahtarları sorunsuz bir şekilde toplayan veya erişimi belirli bir zaman süresine göre mantıksal uygulamanıza tetikleyen erişimi kısıtlarsınız. BIR URL için sona erme tarihi belirtmek üzere Logic Apps REST API kullanın,örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdede, NotAfter JSON tarih dizesi kullanarak özelliğini dahil etmek. Bu özellik yalnızca tarih ve saat kadar geçerli olan bir geri çağırma NotAfter URL'si döndürür.

Birincil veya ikincil gizli anahtarla URL oluşturma

İstek tabanlı bir tetikleyici için geri çağırma URL'leri ekleyebilirsiniz veya listeleyemezseniz, URL'yi imzalamak için kullanmak üzere anahtarı belirtebilirsiniz. Belirli bir anahtar tarafından imzalanmış bir URL oluşturmak için Logic Apps REST API kullanın,örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdede özelliğini veya KeyType olarak Primary dahil Secondary etmek. Bu özellik, belirtilen güvenlik anahtarı tarafından imzalanmış bir URL döndürür.

Açık Azure Active Directory Doğrulamasını etkinleştirme (Azure AD OAuth)

İstek tabanlı tetikleyici tarafından oluşturulan bir uç noktasına gelen çağrılar için, mantıksal uygulamanıza bir yetkilendirme ilkesi tanımlayarak veya ekleyerek Azure AD OAuth'ı etkinleştirebilirsiniz. Bu şekilde, gelen çağrılar yetkilendirme için OAuth erişim belirteçlerini kullanır.

Mantıksal uygulamanız OAuth erişim belirteci içeren bir gelen isteği aldığında, Azure Logic Apps belirteci talepleri her yetkilendirme ilkesi tarafından belirtilen taleplerle karşılaştırıldığında. Belirtecin talepleri ile en az bir ilkede yer alan tüm talepler arasında bir eşleşme varsa, gelen istek için yetkilendirme başarılı olur. Belirteci yetkilendirme ilkesi tarafından belirtilen sayıdan daha fazla talep olabilir.

Not

Tek kiracılı Azure Logic Apps Mantıksal Uygulama (Standart) kaynak türü için Azure AD OAuth şu anda İstek tetikleyicisi ve HTTP Web Kancası tetikleyicisi gibi istek tabanlı tetikleyicilere gelen çağrılar için kullanılamaz.

Azure AD OAuth'ı etkinleştirmeden önce dikkat edilmesi gerekenler

  • İstek uç noktasına gelen bir çağrı, Azure AD OAuth veya Paylaşılan Erişim İmzası (SAS)olmak üzere yalnızca bir yetkilendirme şeması kullanabilir. Bir şema kullanmak diğer düzeni devre dışı bırakmasa da, her iki şemayı aynı anda kullanmak hataya neden olur çünkü Logic Apps hizmet hangi düzenin seçeceklerini bilmiyor.

  • Azure AD OAuth erişim belirteçleri için yalnızca Taşıyıcı türü yetkilendirme düzenleri de kullanılabilir. Bu, erişim belirteci üst bilgisinde türün belirticinin Authorization belirteci belirtmesi gerektiğini Bearer gösterir.

  • Mantıksal uygulamanız en fazla sayıda Yetkilendirme ilkesiyle sınırlıdır. Her yetkilendirme ilkesinin Ayrıca en fazla sayıda talepvardır. Daha fazla bilgi için bkz. Azure Logic Apps Için sınırlar ve yapılandırma.

  • Yetkilendirme ilkesi, https://sts.windows.net/ https://login.microsoftonline.com/ Azure AD veren kimliği olarak ya da (OAuth v2) ile başlayan bir değere sahip en az veren talebi içermelidir.

    Örneğin, mantıksal uygulamanızın iki talep türü, hedef kitle ve veren gerektiren bir yetkilendirme ilkesi olduğunu varsayalım. Kodu çözülen erişim belirtecinin Bu örnek Yük bölümü , hem aud hedef kitle değeri hem de iss veren değeri olan talep türlerini içerir:

    {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
        "iat": 1582056988,
        "nbf": 1582056988,
        "exp": 1582060888,
        "_claim_names": {
           "groups": "src1"
        },
        "_claim_sources": {
           "src1": {
              "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
           }
        },
        "acr": "1",
        "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
        "amr": [
           "rsa",
           "mfa"
        ],
        "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
        "appidacr": "2",
        "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
        "family_name": "Sophia Owen",
        "given_name": "Sophia Owen (Fabrikam)",
        "ipaddr": "167.220.2.46",
        "name": "sophiaowen",
        "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
        "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
        "puid": "1003000000098FE48CE",
        "scp": "user_impersonation",
        "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
        "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "unique_name": "SophiaOwen@fabrikam.com",
        "upn": "SophiaOwen@fabrikam.com",
        "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
        "ver": "1.0"
    }
    

Mantıksal uygulamanız için Azure AD OAuth 'ı etkinleştirin

Azure portal veya Azure Resource Manager şablonunuz için şu adımları izleyin:

Azure Portal, mantıksal uygulamanıza bir veya daha fazla yetkilendirme ilkesi ekleyin:

  1. Azure Portalmantıksal uygulama tasarımcısında mantıksal uygulamanızı bulun ve açın.

  2. mantıksal uygulama menüsünde, Ayarlar altında, yetkilendirme' yi seçin. Yetkilendirme bölmesi açıldıktan sonra Ilke Ekle' yi seçin.

    "İlke Ekle" > "yetkilendirme" yi seçin

  3. Mantıksal uygulamanızın Istek tetikleyicisine her gelen çağrı tarafından sunulan erişim belirtecinde beklediği talep türlerini ve değerlerini belirterek yetkilendirme ilkesi hakkında bilgi sağlayın:

    Yetkilendirme ilkesi için bilgi sağlama

    Özellik Gerekli Açıklama
    İlke adı Yes Yetkilendirme ilkesi için kullanmak istediğiniz ad
    Talepler Yes Mantıksal uygulamanızın gelen çağrılardan kabul ettiği talep türleri ve değerleri. Talep değeri, en fazla karakter sayısıylasınırlıdır. Kullanılabilir talep türleri şunlardır:

    - Enden
    - Grubu
    - Konu
    - JWT kimliği (JSON Web Token tanımlayıcı)

    Talep listesi, en azından, https://sts.windows.net/ https://login.microsoftonline.com/ Azure AD veren kimliği ile başlayan bir değere sahip veren talebini içermelidir. Bu talep türleri hakkında daha fazla bilgi için bkz. Azure AD güvenlik belirteçlerinde talepler. Kendi talep türünü ve değerini de belirtebilirsiniz.

  4. Başka bir talep eklemek için şu seçeneklerden birini seçin:

    • Başka bir talep türü eklemek için Standart talep Ekle' yi seçin, talep türünü seçin ve talep değerini belirtin.

    • Kendi taleplerinizi eklemek için özel talep Ekle' yi seçin. Daha fazla bilgi için bkz. uygulamanıza isteğe bağlı talepler sağlama. Özel talep daha sonra JWT KIMLIĞINIZIN bir parçası olarak depolanır; Örneğin, "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47" .

  5. Başka bir yetkilendirme ilkesi eklemek için Ilke Ekle' yi seçin. İlkeyi ayarlamak için önceki adımları tekrarlayın.

  6. İşiniz bittiğinde Kaydet'i seçin.

  7. Authorizationİstek tabanlı tetikleyici çıktılarında erişim belirtecinden üstbilgiyi eklemek için, bkz. istek tetikleme çıktılarına ' Authorization ' üst bilgisini ekleme.

İlkeler gibi iş akışı özellikleri, Azure portal mantıksal uygulamanızın kod görünümünde görünmez. İlkelerinize program aracılığıyla erişmek için aşağıdaki API 'yi Azure Resource Manager aracılığıyla çağırın: https://management.azure.com/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Logic/workflows/{your-workflow-name}?api-version=2016-10-01&_=1612212851820 . Azure abonelik KIMLIĞINIZ, kaynak grubu adı ve iş akışı adı için yer tutucu değerlerini değiştirdiğinizden emin olun.

İstek tetikleyicisi çıktılarına ' Authorization ' üst bilgisini dahil et

istek tabanlı tetikleyicilere erişim için gelen çağrıları yetkilendirmek üzere Azure Active Directory açma kimlik doğrulamasını (Azure AD OAuth) etkinleştiren logic apps için, Authorization OAuth erişim belirtecinden üstbilgiyi dahil etmek üzere istek tetikleyicisi veya HTTP web kancası tetikleyicisi çıkışlarını etkinleştirebilirsiniz. Tetikleyicinin temel alınan JSON tanımında özelliği ekleyin ve öğesini operationOptions olarak ayarlayın IncludeAuthorizationHeadersInOutputs . Istek tetikleyicisi için bir örnek aşağıda verilmiştir:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

Daha fazla bilgi için şu konulara bakın:

Mantıksal uygulamanızı Azure API Management kullanıma sunma

Daha fazla kimlik doğrulama protokolü ve seçeneği için, Azure API Management kullanarak mantıksal uygulamanızı bir API olarak ortaya çıkarmak isteyebilirsiniz. Bu hizmet, herhangi bir uç nokta için zengin izleme, güvenlik, ilke ve belge olanakları sağlar. API Management mantıksal uygulamanız için ortak veya özel bir uç nokta sunabilir. bu uç noktaya erişim yetkisi vermek için Azure Active Directory açma kimlik doğrulaması (Azure AD OAuth), istemci sertifikası veya diğer güvenlik standartlarını kullanabilirsiniz. API Management bir istek aldığında, hizmet isteği mantıksal uygulamanıza gönderir ve tüm gerekli dönüştürmeleri veya kısıtlamaları bu şekilde yapar. Mantıksal uygulamanızı yalnızca API Management çağrısına izin vermek için, mantıksal uygulamanızın gelen IP adreslerini kısıtlayabilirsiniz.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

Gelen IP adreslerini kısıtla

Paylaşılan erişim Imzası (SAS) ile birlikte, mantıksal uygulamanızı çağırabilen istemcileri özellikle sınırlandırmak isteyebilirsiniz. Örneğin, Azure API Managementkullanarak istek uç noktanızı yönetiyorsanız, mantıksal uygulamanızı yalnızca sizin oluşturduğunuz API Management hizmet örneğininIP adresinden gelen istekleri kabul edecek şekilde kısıtlayabilirsiniz.

Belirttiğiniz herhangi bir IP adresi ne olursa olsun, Logic Apps REST API: Iş akışı Tetikleyicileri-Çalıştır isteği veya API Management kullanarak istek tabanlı tetikleyicisine sahip bir mantıksal uygulamayı çalıştırmaya devam edebilirsiniz. Ancak, bu senaryo Azure REST API için de kimlik doğrulaması gerektirir. Tüm olaylar Azure denetim günlüğünde görüntülenir. Erişim denetim ilkelerini uygun şekilde ayarladığınızdan emin olun.

Mantıksal uygulamanızın gelen IP adreslerini kısıtlamak için Azure portal veya Azure Resource Manager şablonunuz için şu adımları izleyin:

Azure Portal, bu filtre hem Tetikleyicileri hem de eylemleri etkiler ve Bu, PORTALDA izin verilen gelen IP adresleri altındaki açıklamanın aksine. Bu filtreyi Tetikleyiciler ve eylemler için ayrı olarak ayarlamak için, accessControl mantıksal uygulamanız için Azure Resource Manager şablonda nesnesini kullanın veya REST API: Workflow-Create veya Update işlemi Logic Apps.

  1. Azure Portalmantıksal uygulama tasarımcısında mantıksal uygulamanızı açın.

  2. mantıksal uygulamanızın menüsünde, Ayarlar altında, iş akışı ayarları' nı seçin.

  3. Erişim denetimi yapılandırması bölümünde, ızın verilen gelen IP adresleri altında senaryonuz için yolu seçin:

    • mantıksal uygulamanızı yalnızca yerleşik Azure Logic Apps eyleminikullanarak iç içe bir mantıksal uygulama olarak çağrılabilir hale getirmek için yalnızca, iç içe geçmiş mantıksal uygulamayı çağırmak için Azure Logic Apps eylemini kullandığınızda yalnızca diğer Logic Apps seçin.

      bu seçenek, mantıksal uygulama kaynağınızın boş bir dizisini yazar ve yalnızca yerleşik Azure Logic Apps eylemini kullanan üst mantıksal uygulamalardan gelen çağrıların iç içe mantıksal uygulamayı tetikleyebilmesine gerek duyar.

    • Mantıksal uygulamanızı yalnızca HTTP eylemini kullanarak iç içe geçmiş bir uygulama olarak çağrılabilir hale getirmek için, yalnızca diğer Logic Apps DEĞIL , belirli IP aralıklarını seçin. Tetikleyiciler Için IP aralıkları kutusu göründüğünde, ana mantıksal UYGULAMANıN giden IP adreslerinigirin. Geçerli bir IP aralığı şu biçimleri kullanır: x. x. x. x/x veya x. x. x. x-x. x. x. x.

      Not

      İç içe mantıksal uygulamanızı çağırmak için yalnızca diğer Logic Apps SEÇENEĞINI ve http eylemini kullanırsanız, çağrı engellenir ve "401 Yetkisiz" hatası alırsınız.

    • Diğer IP 'lerden gelen çağrıları kısıtlamak istediğiniz senaryolarda, Tetikleyiciler Için IP aralıkları kutusu göründüğünde, tetikleyicinin kabul ettiği IP adresi aralıklarını belirtin. Geçerli bir IP aralığı şu biçimleri kullanır: x. x. x. x/x veya x. x. x. x-x. x. x. x.

  4. İsteğe bağlı olarak, çalıştırma geçmişinden GIRILEN IP adreslerine giriş ve çıkış iletileri almak için çağrıları kısıtla' nın altında, çalıştırma geçmişinde giriş ve çıkış iletilerine erişebilen gelen ÇAĞRıLAR için IP adresi aralıklarını belirtebilirsiniz.

Mantıksal uygulama işlemlerine erişim

Mantıksal uygulamaları yönetme, düzenleme ve görüntüleme gibi belirli görevleri yalnızca belirli kullanıcıların veya grupların çalıştırmasına izin verebilirsiniz. İzinlerini denetlemek için, Azure aboneliğinizdeki üyelere özelleştirilmiş veya yerleşik roller atayabilmeniz için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanın:

  • Mantıksal uygulama katılımcısı: mantıksal uygulamaları yönetmenizi sağlar, ancak bunlara erişimi değiştiremezsiniz.

  • Logic App operatörü: Logic Apps 'i okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar, ancak bunları düzenleyemez veya güncelleştiremezsiniz.

Başkalarının mantıksal uygulamanızı değiştirmesini veya silmesini engellemek için Azure Kaynak kilidi' ni kullanabilirsiniz. Bu özellik başkalarının üretim kaynaklarını değiştirmesini veya silmesini engeller.

Çalışma geçmişi verilerine erişim

Mantıksal uygulama çalıştırma sırasında, Aktarım Katmanı Güvenliği (TLS) ve bekleyen' i kullanarak tüm veriler geçiş sırasında şifrelenir . Mantıksal uygulamanız çalışmayı bitirdiğinde, her eylem için durum, süre, girişler ve çıkışlarla birlikte çalışan adımlar dahil olmak üzere o çalıştırmaya ilişkin geçmişi görüntüleyebilirsiniz. Bu zengin ayrıntı, mantıksal uygulamanızın nasıl çalıştığı ve ortaya çıkan tüm sorunları gidermeye başlayabileceğiniz hakkında öngörüler sağlar.

Mantıksal uygulamanızın çalıştırma geçmişini görüntülediğinizde Logic Apps erişiminizin kimliğini doğrular ve ardından her bir çalıştırmaya yönelik istekler ve yanıtlara yönelik giriş ve çıkışlara bağlantılar sağlar. Ancak, herhangi bir parolayı, parolayı, anahtarı veya diğer hassas bilgileri işleyen eylemler için başkalarının bu verilere bakmasını ve erişimini engellemek isteyebilirsiniz. Örneğin, mantıksal uygulamanız bir HTTP eyleminin kimlik doğrulaması sırasında kullanmak üzere Azure Key Vault bir gizli dizi alırsa, bu gizli anahtarı görünümden gizlemek istersiniz.

Mantıksal uygulamanızın çalıştırma geçmişinde giriş ve çıkışlara erişimi denetlemek için şu seçeneklere sahipsiniz:

IP adresi aralığına göre erişimi kısıtla

Yalnızca belirli IP adresi aralıklarından gelen isteklerin bu verileri görüntülemesi için mantıksal uygulamanızın çalıştırma geçmişinde giriş ve çıkışlara erişimi sınırlayabilirsiniz.

Örneğin, herhangi bir kişinin girişlere ve çıkışlara erişmesini engellemek için gibi bir IP adresi aralığı belirtin 0.0.0.0-0.0.0.0 . Yalnızca yönetici izinlerine sahip bir kişi, mantıksal uygulamanızın verilerine "tam zamanında" erişim olanağı sunan bu kısıtlamayı kaldırabilir.

İzin verilen IP aralıklarını belirtmek için, Azure portal veya Azure Resource Manager şablonunuz için şu adımları izleyin:

  1. Azure Portalmantıksal uygulama tasarımcısında mantıksal uygulamanızı açın.

  2. mantıksal uygulamanızın menüsünde, Ayarlar altında, iş akışı ayarları' nı seçin.

  3. Erişim denetimi yapılandırması > izin verilen gelen IP adresleri altında belirli IP aralıkları' nı seçin.

  4. İçerik Için IP aralıkları altında girişler ve çıkışlardan IÇERIĞE erişebilen IP adresi aralıklarını belirtin.

    Geçerli bir IP aralığı şu biçimleri kullanır: x. x. x. x/x veya x. x. x. x-x. x. x. x

Gizleme kullanarak çalıştırma geçmişindeki verileri güvenli hale getirme

Birçok tetikleyici ve eylemin, girdileri, çıkışları veya her ikisini de mantıksal uygulamanın çalıştırma geçmişinden güvenli hale getirmek için ayarları vardır. Tüm yönetilen bağlayıcılar ve özel bağlayıcılar bu seçenekleri destekler. Ancak, aşağıdaki yerleşik işlemler Bu seçenekleri desteklemez:

Güvenli girişler-desteklenmez Güvenli çıktılar-desteklenmez
Dizi değişkenine Ekle
Dize değişkenine Ekle
Değişken azaltma
Her biri için
Eğer
Artış değişkeni
Değişkeni Başlat
Yineleme
Kapsam
Değişken ayarla
Anahtar
Terminate
Until
Dizi değişkenine Ekle
Dize değişkenine Ekle
Oluştur
Değişken azaltma
Her biri için
Eğer
Artış değişkeni
Değişkeni Başlat
JSON Ayrıştır
Yineleme
Yanıt
Kapsam
Değişken ayarla
Anahtar
Terminate
Until
Wait

Giriş ve çıkışları güvenli hale getirme konuları

Bu ayarları kullanarak bu verileri güvenli hale getirmenize yardımcı olması için şu hususları gözden geçirin:

  • Bir tetikleyici veya eylemde girişleri veya çıkışları gizlemeniz durumunda Logic Apps, güvenli verileri Azure Log Analytics 'a göndermez. Ayrıca, izleme için bu tetikleyiciye veya eyleme izlenen Özellikler ekleyemezsiniz.

  • İş akışı geçmişini işlemek için Logic Apps API 'si güvenli çıktılar döndürmez.

  • Girişleri çıkardığı veya çıkışları açıkça çıkardığı bir eylemden çıkışları güvenli hale getirmek için bu eylemde el ile güvenli çıktılar açın.

  • Açık girişleri veya güvenli çıkışları , çalışma geçmişinin verileri gizleyebileceği şekilde bekleyen aşağı akış eylemlerinde etkinleştirdiğinizden emin olun.

    Güvenli çıkışlar ayarı

    Bir tetikleyici veya eylemde güvenli çıktıları el ile açtığınızda, Logic Apps çalıştırma geçmişinde bu çıktıları gizler. Bir aşağı akış eylemi açık olarak bu güvenli çıkışları giriş olarak kullanıyorsa Logic Apps, bu eylemin çalışma geçmişinde girişlerini gizler, ancak eylemin güvenli girişler ayarını etkinleştirmez .

    Birçok eylemin giriş ve aşağı akış etkisi olarak güvenli çıktılar

    Oluşturma, ayrıştırma JSON ve yanıt eylemlerinin yalnızca güvenli girişler ayarı vardır. Açık olduğunda, ayar bu eylemlerin çıkışlarını da gizler. Bu eylemler, yukarı akış güvenli çıkışlarını giriş olarak açıkça kullanıyorsa, Logic Apps bu eylemlerin girişlerini ve çıkışlarını gizler, ancak bu eylemlerin güvenli girişler ayarını etkinleştirmez . Bir aşağı akış eylemi, giriş olarak oluşturma, ayrıştırma JSON veya Yanıt eylemlerdeki gizli çıkışları açıkça kullanıyorsa, Logic Apps Bu aşağı akış eyleminin giriş veya çıkışlarını gizlemez.

    Belirli eylemlerdeki aşağı akış etkisi olan giriş olarak güvenli çıktılar

    Güvenli girişler ayarı

    Bir tetikleyici veya eylemde güvenli girişleri el ile açtığınızda Logic Apps, bu girdileri çalıştırma geçmişinde gizler. Bir aşağı akış eylemi, giriş olarak bu tetikleyici veya eylemden görünür çıkışları açıkça kullanıyorsa, Logic Apps bu aşağı akış eyleminin çalıştırma geçmişindeki girişlerini gizler, ancak bu eylemde güvenli girişleri etkinleştirmez ve bu eylemin çıktılarını gizlemez.

    Birçok eylemin güvenli girişler ve aşağı akış etkileri

    Oluşturma, ayrıştırma JSON ve yanıt eylemleri, tetikleyici veya eylemden güvenli girişler içeren görünür çıktıları açıkça kullanıyorsa, Logic Apps bu eylemlerin girişlerini ve çıkışlarını gizler, ancak bu eylemin güvenli girişler ayarını etkinleştirmez . Bir aşağı akış eylemi, giriş olarak oluşturma, ayrıştırma JSON veya Yanıt eylemlerdeki gizli çıkışları açıkça kullanıyorsa, Logic Apps Bu aşağı akış eyleminin giriş veya çıkışlarını gizlemez.

    Belirli eylemlerdeki güvenli girişler ve aşağı akış etkisi

Tasarımcıda güvenli girişler ve çıktılar

  1. Azure Portalmantıksal uygulama tasarımcısında mantıksal uygulamanızı açın.

    Mantıksal uygulamayı Mantıksal Uygulama Tasarımcısı'nda açma

  2. Hassas verilerin güvenliğini sağlamak istediğiniz tetikleyicide veya eylemde üç nokta (...) düğmesini seçin ve sonra da Ayarlar.

    Tetikleyici veya eylem ayarlarını açma

  3. Güvenli Girişler, Güvenli Çıkışlar veya her ikisini birden açma. İşiniz bittiğinde Bitti'yi seçin.

    "Güvenli Girişler" veya "Güvenli Çıkışlar" 'i açma

    Eylem veya tetikleyici artık başlık çubuğunda bir kilit simgesi gösterir.

    Eylem veya tetikleyici başlık çubuğunda kilit simgesi gösterilir

    Önceki eylemlerin güvenli çıkışlarını temsil eden belirteçler de kilit simgelerini gösterir. Örneğin, bir eylemde kullanmak üzere dinamik içerik listesinden böyle bir çıktıyı seçerek bir kilit simgesi gösterir.

    Güvenli çıkış için belirteç seçme

  4. Mantıksal uygulama çalıştırktan sonra bu çalıştırmanın geçmişini görüntüebilirsiniz.

    1. Mantıksal uygulamanın Genel Bakış bölmesinde, görüntülemek istediğiniz çalıştırmayı seçin.

    2. Mantıksal uygulama çalıştırma bölmesinde, gözden geçirmek istediğiniz eylemleri genişletin.

      Hem girişleri hem de çıkışları gizleyebilirsiniz, bu değerler artık gizli görünür.

      Çalıştırma geçmişinde gizli girişler ve çıkışlar

Kod görünümünde giriş ve çıkışların güvenliğini sağlama

Temel alınan tetikleyici veya eylem tanımında, diziyi şu değerlerden birini runtimeConfiguration.secureData.properties veya ikisini birden ekleyin veya güncelleştirin:

  • "inputs": Çalıştırma geçmişinde girişlerin güvenliğini sağlar.
  • "outputs": Çalıştırma geçmişinde çıkışların güvenliğini sağlar.
"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Parametre girişlerine erişim

Farklı ortamlara dağıtırsanız iş akışı tanımınıza göre değişen değerleri parametreleştirmeyi göz önünde bulundurabilirsiniz. Bu şekilde mantıksal uygulamanızı dağıtmak için bir Azure Resource Manager şablonu kullanarak sabit kodlu verileri önabilir, güvenli parametreler tanımlayarak hassas verileri koruyabilir ve bir parametre dosyası kullanarak bu verileri şablonun parametreleri aracılığıyla ayrı girişler olarak geçebilirsiniz.

Örneğin, Azure Active Directory Open Authentication (Azure AD OAuth) ile HTTP eylemlerinin kimliğini doğrularsanız, kimlik doğrulaması için kullanılan istemci kimliğini ve istemci gizli kimliğini kabul eden parametreleri tanımlayabilir ve karartabilirsiniz. Mantıksal uygulamanıza bu parametreleri tanımlamak için mantıksal uygulamanın iş akışı tanımı bölümündeki bölümü kullanın ve parameters dağıtım Resource Manager şablonu oluşturun. Mantıksal uygulamanızı düzenlerken veya çalıştırma geçmişini görüntülerken gösterilmesini istemeyebilirsiniz parametre değerlerinin güvenliğini sağlamak için, veya türünü kullanarak parametreleri tanımlayın ve securestring secureobject gerektiğinde kodlamayı kullanın. Bu tür parametreler kaynak tanımıyla birlikte döndürülz ve dağıtımdan sonra kaynak görüntülenmez. Çalışma zamanı sırasında bu parametre değerlerine erişmek için, iş @parameters('<parameter-name>') akışı tanımınız içinde ifadesini kullanın. Bu ifade yalnızca çalışma zamanında değerlendirilir ve İş Akışı Tanım Dili tarafından açıklanmıştır.

Not

bir istek üst bilgisinde veya gövdesinde bir parametre kullanırsanız, mantıksal uygulamanın çalıştırma geçmişini ve giden HTTP isteğini görüntüleyeli bu parametre görünür olabilir. İçerik erişim ilkelerinizi de uygun şekilde ayarlayalın. Ayrıca, çalıştırma geçmişinizin giriş ve çıkışlarını gizlemek için karartma kullanabilirsiniz. Yetkilendirme üst bilgileri hiçbir zaman girişler veya çıkışlar aracılığıyla görünmez. Bu nedenle burada bir gizli bilgi kullanılırsa bu gizli bilgi alınabilir değildir.

Daha fazla bilgi için bu konudaki şu bölümlere bakın:

mantıksal şablonları kullanarak mantıksal uygulamalar için dağıtımı Resource Manager,ve türlerini kullanarak dağıtım sırasında değerlendirilen güvenli şablon parametrelerini securestring secureobject tanımlayabilirsiniz. Şablon parametrelerini tanımlamak için, iş akışı tanımınıza göre ayrı ve farklı olan şablon parameters üst düzey bölümünü parameters kullanın. Şablon parametrelerinin değerlerini sağlamak için ayrı bir parametre dosyası kullanın.

Örneğin, gizli dizileri kullanıyorsanız, dağıtım sırasında bu gizli dizilerden bu gizli dizileri alan güvenli Azure Key Vault kullanabilirsiniz. Ardından parametre dosyanız içinde anahtar kasasına ve gizli anahtara başvurabilirsiniz. Daha fazla bilgi için şu konulara bakın:

İş akışı tanımlarında parametrelerin güvenliğini sağlama

Mantıksal uygulamanın iş akışı tanımında yer alan hassas bilgileri korumak için, mantıksal uygulamanızı kaydeddikten sonra bu bilgilerin görünmeyebilecek şekilde güvenli parametreleri kullanın. Örneğin, kullanıcı adı ve parola kullanan temel kimlik doğrulaması gerektiren bir HTTP eyleminiz olduğunu varsayalım. İş akışı tanımında parameters bölümü, basicAuthPasswordParam türünü kullanarak ve basicAuthUsernameParam parametrelerini securestring tanımlar. Eylem tanımı daha sonra bölümünde bu parametrelere authentication başvurur.

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Azure Resource Manager şablonlarında parametrelerin güvenliğini sağlama

Mantıksal Resource Manager için bir şablon birden çok bölüm parameters içerir. Parolaları, anahtarları, gizli dizileri ve diğer hassas bilgileri korumak için veya türünü kullanarak şablon düzeyinde ve iş akışı tanımı düzeyinde güvenli securestring parametreler secureobject tanımlayın. Daha sonra bu değerleri dosyada Azure Key Vault anahtar kasasına ve gizli anahtara başvuru yapmak için parametre dosyasını kullanabilirsiniz. Daha sonra şablonunuz bu bilgileri dağıtım sırasında alır. Daha fazla bilgi için bkz. dağıtım sırasındahassas değerleri Azure Key Vault.

Bu bölümler hakkında daha fazla bilgi aşağıda parameters velanmıştır:

  • Şablonun en üst düzeyinde, bir parameters bölüm, şablonun dağıtımda kullandığı değerler için parametreleri tanımlar. Örneğin, bu değerler belirli bir dağıtım ortamı için bağlantı dizelerini içerebilir. Daha sonra bu değerleri ayrı bir parametre dosyasında depolar ve buda bu değerlerin değiştirilmesini kolaylaştırır.

  • Mantıksal uygulamanın kaynak tanımının içinde ancak iş akışı tanımınız dışında bir bölüm, iş akışı parameters tanımınıza göre parametrelerin değerlerini belirtir. Bu bölümde, şablon parametrelerinize başvurulan şablon ifadelerini kullanarak bu değerleri atabilirsiniz. Bu ifadeler dağıtım sırasında değerlendirilir.

  • İş akışı tanımınız içinde parameters bir bölüm, mantıksal uygulamanın çalışma zamanında kullandığı parametreleri tanımlar. Ardından çalışma zamanında değerlendirilen iş akışı tanımı ifadelerini kullanarak mantıksal uygulama iş akışı içinde bu parametrelere başvurabilirsiniz.

Türünü kullanan birden çok güvenli parametre tanımına sahip bu örnek securestring şablon:

Parametre adı Açıklama
TemplatePasswordParam Daha sonra iş akışı tanımının parametresine geçirilen bir parolayı kabul eden bir şablon basicAuthPasswordParam parametresi
TemplateUsernameParam Daha sonra iş akışı tanımının parametresine geçirilen kullanıcı adını kabul eden bir şablon basicAuthUserNameParam parametresi
basicAuthPasswordParam HTTP eylemde temel kimlik doğrulaması parolasını kabul eden bir iş akışı tanım parametresi
basicAuthUserNameParam HTTP eylemde temel kimlik doğrulaması için kullanıcı adını kabul eden bir iş akışı tanım parametresi
{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

Diğer hizmetlere ve sistemlere giden çağrılar için erişim

Hedef uç noktanın özelliğine bağlı olarak, HTTP tetikleyicisi veya HTTPeylemi tarafından gönderilen giden çağrılar şifrelemeyi destekler ve daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) 1.0, 1.1 veya 1.2ile güvenlik altına alınır. Logic Apps desteklenen en yüksek olası sürümü kullanarak hedef uç noktayla anlaşmaz. Örneğin, hedef uç nokta 1.2'i destekliyorsa, HTTP tetikleyicisi veya eylemi önce 1.2 kullanır. Aksi takdirde, bağlayıcı desteklenen bir sonraki en yüksek sürümü kullanır.

TlS/SSL otomatik olarak imzalanan sertifikalar hakkında bilgi aşağıda velanmıştır:

  • Genel, çok kiracılı bir Azure Logic Apps ortamındaki mantıksal uygulamalar için HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarına izin vermez. Mantıksal uygulamanız bir sunucuya HTTP çağrısı yapar ve TLS/SSL otomatik olarak imzalanan bir sertifika gösterirse, HTTP çağrısı bir hatayla başarısız TrustFailure olur.

  • Tek kiracılı ortam ortamındaki mantıksal Azure Logic Apps HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarını destekler. Ancak, bu kimlik doğrulaması türü için birkaç ek adımı tamamlamanız gerekir. Aksi takdirde, çağrı başarısız olur. Daha fazla bilgi için, tek kiracılı kimlik doğrulaması için TSL/SSL sertifika kimlik doğrulaması Azure Logic Apps.

    İstemci sertifikasını kullanmak veya bunun Azure Active Directory "Sertifika" kimlik bilgisi türüyle Açık Kimlik Doğrulaması (Azure AD OAuth) kullanmak için yine de bu kimlik doğrulama türü için birkaç ek adımı tamamlamanız gerekir. Aksi takdirde, çağrı başarısız olur. Daha fazla bilgi için İstemci sertifikası veya Azure Active Directory kimlik doğrulaması için "Sertifika" kimlik bilgisi türü ile Açık Kimlik Doğrulaması (Azure AD OAuth)Azure Logic Apps.

  • Tümleştirme hizmeti ortamındaki (ISE)mantıksal uygulamalar için HTTP bağlayıcısı, TLS/SSL el sıkışmaları için otomatik olarak imzalanan sertifikalara izin sağlar. Ancak, önce var olan bir ISE veya yeni ISE için otomatik olarak imzalanan sertifika desteğini Logic Apps REST API ve genel sertifikayı konuma yüklemeniz TrustedRoot gerekir.

Mantıksal uygulamanıza gönderilen çağrıları işleyebilirsiniz uç noktaların güvenliğini sağlamanın daha fazla yolu:

  • Giden isteklere kimlik doğrulaması ekleyin.

    Giden çağrıları göndermek için HTTP tetikleyicisi veya eylemini kullanırsanız, mantıksal uygulama tarafından gönderilen i isteğine kimlik doğrulaması ekleyebilirsiniz. Örneğin, şu kimlik doğrulama türlerini kullanabilirsiniz:

  • Mantıksal uygulama IP adreslerinden erişimi kısıtlama.

    Mantıksal uygulamalardan uç noktalara yapılan tüm çağrılar, mantıksal uygulama bölgelerinizi temel alan belirli belirlenmiş IP adreslerinden kaynaklandığı için. Yalnızca bu IP adreslerinden gelen istekleri kabul eden filtreleme ekleme. Bu IP adreslerini almak için bkz. Azure Logic Apps için sınırlar ve yapılandırma.

  • Şirket içi sistemlere bağlantılar için güvenliği geliştirme.

    Azure Logic Apps daha güvenli ve güvenilir şirket içi iletişim sağlamak için bu hizmetlerle tümleştirme sağlar.

    • Şirket içi veri ağ geçidi

      Şirket içinde birçok Azure Logic Apps, Dosya Sistemi, SQL, SharePoint ve DB2 gibi şirket içi sistemlere güvenli bağlantıları kolaylaştırır. Ağ geçidi, Şirket içi kaynaklardan azure sanal ağ geçidi aracılığıyla şifrelenmiş kanallardan Service Bus. Tüm trafik, ağ geçidi aracından güvenli giden trafik olarak kaynaklandı. Şirket içi veri ağ geçidinin nasıl çalıştığını öğrenin.

    • Bağlan Azure API Management

      Azure API Management, güvenli ara sunucu ve şirket içi sistemlerle iletişim için siteden siteye sanal özel ağ ve ExpressRoute tümleştirmesi gibi şirket içi bağlantı seçenekleri sağlar. Şirket içi sisteminize erişim sağlayan bir API'niz varsa ve bu API'yi bir API Managementhizmet örneği oluşturarak ortaya çıktınızsa, Mantıksal Uygulama Tasarımcısı'nda yerleşik API Management tetikleyicisini veya eylemini seçerek bu API'yi mantıksal uygulamanın iş akışında çağırabilirsiniz.

      Not

      Bağlayıcı, yalnızca API Management ve bağlanma izinlerine sahip olduğunuz ancak tüketim tabanlı hizmetlerde API Management gösterir.

      1. Mantıksal Uygulama Tasarımcısı'nda api management arama kutusuna yazın. Tetikleyici veya eylem eklemeye bağlı olarak adımı seçin:

        • İş akışınız için her zaman ilk adım olan bir tetikleyici ekliyorsanız Azure tetikleyicisi seçin seçeneğini API Management seçin.

        • Eylem ekliyorsanız Bir Azure eylem seçin eylem API Management seçin.

        Bu örnek bir tetikleyici ekler:

        Azure API Management ekleme

      2. Daha önce oluşturduğunuz API Management örneğini seçin.

        Hizmet API Management örneği seçme

      3. Kullanmak üzere API çağrısını seçin.

        Mevcut API'yi seçme

Giden çağrılara kimlik doğrulaması ekleme

HTTP ve HTTPS uç noktaları çeşitli kimlik doğrulamalarını destekler. Bu uç noktalara giden çağrılar veya istekler göndermek için kullanılan bazı tetikleyicilerde ve eylemlerde bir kimlik doğrulama türü belirtebilirsiniz. Mantıksal Uygulama Tasarımcısı'nda, kimlik doğrulama türü seçmeyi destekleyen tetikleyiciler ve eylemler bir Kimlik Doğrulama özelliğine sahip olur. Ancak, bu özellik her zaman varsayılan olarak görüne görünebilir. Böyle durumlarda, tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve Kimlik Doğrulaması'ı seçin.

Önemli

Mantıksal uygulamanıza ilişkin hassas bilgileri korumak için güvenli parametreler kullanın ve gerektiğinde verileri kodlarsınız. Parametreleri kullanma ve güvenliğini sağlama hakkında daha fazla bilgi için bkz. Parametre girişlerine erişim.

Kimlik doğrulamasını destekleyen tetikleyiciler ve eylemler için kimlik doğrulama türleri

Bu tablo, bir kimlik doğrulama türü seçerek tetikleyicilerde ve eylemlerde kullanılabilen kimlik doğrulama türlerini tanımlar:

Kimlik doğrulaması türü Desteklenen tetikleyiciler ve eylemler
Temel Azure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Web Kancası
İstemci Sertifikası Azure API Management, Azure App Services, HTTP, HTTP + Swagger, HTTP Web Kancası
Active Directory OAuth Azure API Management, Azure App Services, Azure İşlevleri, HTTP, HTTP + Swagger, HTTP Web Kancası
Ham Azure API Management, Azure App Services, Azure İşlevleri, HTTP, HTTP + Swagger, HTTP Web Kancası
Yönetilen kimlik Yerleşik tetikleyiciler ve eylemler

Azure API Management, Azure App Services, Azure İşlevleri, HTTP, HTTP Web Kancası

Yönetilen bağlayıcılar

Azure AD Kimlik Koruması, Azure Otomasyonu, Azure Container Instance, Azure Veri Gezgini, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure IoT Central V3, Azure Key Vault, Azure Resource Manager, Azure Sentinel, Azure AD ile HTTP

Not: Yönetilen bağlayıcı desteği şu anda önizlemededir.

Temel kimlik doğrulama

Temel seçeneği varsa şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Gerekli Değer Açıklama
Kimlik Doğrulaması type Yes Temel Kullanmak için kimlik doğrulaması türü
Kullanıcı adı username Yes <kullanıcı-adı> Hedef hizmet uç noktasına erişimin kimlik doğrulama kullanıcı adı
Parola password Yes <Parola> Hedef hizmet uç noktasına erişimin kimlik doğrulama parolası

Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı olarak kimlik doğrulamasını belirtir ve parametre değerlerini type Basic almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

İstemci Sertifikası kimlik doğrulaması

İstemci Sertifikası seçeneği varsa şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Gerekli Değer Açıklama
Kimlik Doğrulaması type Yes İstemci Sertifikası
veya
ClientCertificate
Kullanmak için kimlik doğrulaması türü. Sertifikaları Azure API Management.

Not: Özel bağlayıcılar hem gelen hem de giden çağrılar için sertifika tabanlı kimlik doğrulamasını desteklemez.
Pfx pfx Yes <encoded-pfx-file-content> Kişisel Bilgiler (PFX) dosyasından base64 Exchange içeriği

PFX dosyasını base64 kodlamalı biçime dönüştürmek için aşağıdaki adımları kullanarak PowerShell'i kullanabilirsiniz:

1. Sertifika içeriğini bir değişkene kaydedin:

$pfx_cert = get-content 'c:\certificate.pfx' -Encoding Byte

2. işlevini kullanarak sertifika içeriğini ToBase64String() dönüştürme ve bu içeriği bir metin dosyasına kaydetme:

[System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt'

Sorun giderme: komutunu cert mmc/PowerShell kullanırsanız şu hatayı alabilirsiniz:

Could not load the certificate private key. Please check the authentication certificate password is correct and try again.

Bu hatayı çözmek için, komutunu kullanarak PFX dosyasını bir PEM dosyasına dönüştürmeyi ve yeniden geri openssl kullanmayı deneyin:

openssl pkcs12 -in certificate.pfx -out certificate.pem
openssl pkcs12 -in certificate.pem -export -out certificate2.pfx

Daha sonra, sertifikanın yeni dönüştürülen PFX dosyası için base64 ile kodlanmış dizeyi alırsanız, dize artık Azure Logic Apps.

Parola password No <password-for-pfx-file> PFX dosyasına erişmek için parola

Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı olarak kimlik doğrulamasını belirtir ve parametre değerlerini type ClientCertificate almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Önemli

Tek kiracılı Azure Logic Apps'de mantıksal uygulama (Standart) kaynağınız varsa ve kimlik bilgileri türüyle TSL/SSL sertifikası, istemci sertifikası veya Azure Active Directory Açık Kimlik Doğrulaması (Azure AD OAuth) ile bir HTTP işlemi kullanmak istiyorsanız, bu kimlik doğrulama türü için ek kurulum adımlarını Certificate tamamlamalısınız. Aksi takdirde, çağrı başarısız olur. Daha fazla bilgi için tek kiracılı ortamda kimlik doğrulaması'nın gözden geçirmesini gözden geçirme.

İstemci sertifikası kimlik doğrulamasını kullanarak hizmetlerin güvenliğini sağlama hakkında daha fazla bilgi için şu konulara bakın:

Azure Active Directory Açık Kimlik Doğrulaması

İstek tetikleyicileri'Azure Active Directory, mantıksal uygulamanız için Azure AD yetkilendirme ilkelerini ayardikten sonra gelen çağrıların kimlik doğrulamasını yapmak için Azure Active Directory Açık Kimlik Doğrulaması (Azure AD OAuth)kullanabilirsiniz. Seçmeniz için Active Directory OAuth kimlik doğrulama türünü sağlayan diğer tüm tetikleyiciler ve eylemler için şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Gerekli Değer Açıklama
Kimlik Doğrulaması type Yes Active Directory OAuth
veya
ActiveDirectoryOAuth
Kullanmak için kimlik doğrulaması türü. Logic Apps OAuth 2.0 protokolünü izler.
Yetkili authority No <Yetkili-belirteci-için URL-issuer> Erişim belirteci sağlayan yetkilinin URL'si, örneğin https://login.microsoftonline.com/ Azure genel hizmet bölgeleri için. Diğer ulusal bulutlar için Azure AD kimlik doğrulama uç noktalarını gözden geçirerek kimlik yetkilinizi seçin.
Kiracı tenant Yes <kiracı kimliği> Azure AD kiracısı için kiracı kimliği
Hedef kitle audience Yes <yetkilendirilen kaynak> Yetkilendirme için kullanmak istediğiniz kaynak, örneğin, https://management.core.windows.net/
İstemci Kimliği clientId Yes <client-ID> Yetkilendirme isteği olan uygulamanın istemci kimliği
Kimlik Bilgisi Türü credentialType Yes Sertifika
veya
Gizli dizi
İstemcinin yetkilendirme isteğinde kullanmak için kullandığı kimlik bilgisi türü. Bu özellik ve değer mantıksal uygulamanın temel tanımında görünmez, ancak seçilen kimlik bilgisi türü için görünen özellikleri belirler.
Gizli secret Evet, ancak yalnızca "Gizli" kimlik bilgisi türü için <client-secret> Yetkilendirme isteği için gizli istemci gizli
Pfx pfx Evet, ancak yalnızca "Sertifika" kimlik bilgisi türü için <encoded-pfx-file-content> Kişisel Bilgiler (PFX) dosyasından base64 Exchange içeriği
Parola password Evet, ancak yalnızca "Sertifika" kimlik bilgisi türü için <password-for-pfx-file> PFX dosyasına erişmek için parola

Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı kimlik doğrulamasını olarak belirtir, kimlik bilgisi türü olarak ve parametre değerlerini almak type ActiveDirectoryOAuth için Secret parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Önemli

Tek kiracılı Azure Logic Apps'da bir Mantıksal Uygulama (Standart) kaynağınız varsa ve kimlik bilgisi türüyle TSL/SSL sertifikası, istemci sertifikası veya Azure Active Directory Açık Kimlik Doğrulaması (Azure AD OAuth) ile http işlemi kullanmak için bu kimlik doğrulama türü için ek kurulum adımlarını Certificate tamamlamalısınız. Aksi takdirde, çağrı başarısız olur. Daha fazla bilgi için tek kiracılı ortamda kimlik doğrulaması'nın gözden geçirmesini gözden geçirme.

Ham kimlik doğrulaması

Ham seçeneği varsa, OAuth 2.0protokolünü kullanmayan kimlik doğrulama düzenlerini kullanmak zorundayken bu kimlik doğrulama türünü kullanabilirsiniz. Bu türle, giden istekle birlikte gönderirsiniz yetkilendirme üst bilgisi değerini el ile oluşturun ve tetikleyici veya eylemde bu üst bilgi değerini belirtin.

Örneğin, OAuth 1.0protokolünü izleyen bir HTTPS isteği için örnek üst bilgi burada verilmiştir:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

Ham kimlik doğrulamasını destekleyen tetikleyicide veya eylemde şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Gerekli Değer Açıklama
Kimlik Doğrulaması type Yes Ham Kullanmak için kimlik doğrulaması türü
Değer value Yes <authorization-header-value> Kimlik doğrulaması için kullanılan yetkilendirme üst bilgisi değeri

Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı, kimlik doğrulamasını olarak belirtir ve parametre değerlerini type Raw almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Yönetilen kimlik doğrulaması

Yönetilen kimlik kimlik doğrulamasını destekleyen tetikleyicide veya eylemde yönetilen kimlik seçeneği kullanılabilir olduğunda,mantıksal uygulamanız kimlik bilgileri, gizli diziler veya Azure AD belirteçleri yerine Azure Active Directory (Azure AD) tarafından korunan Azure kaynaklarına erişimin kimliğini doğrularken bu kimliği kullanabilir. Azure bu kimliği sizin için yönetir ve gizli dizileri yönetmek veya doğrudan Azure AD belirteçlerini kullanmak zorunda olmadığınız için kimlik bilgilerinizin güvenliğini sağlamanıza yardımcı olur. Azure AD kimlik doğrulaması için yönetilen kimlikleri destekleyen Azure hizmetleri hakkında daha fazla bilgi edinin.

  • Mantıksal Uygulama (Tüketim) kaynak türü, sistem tarafından atanan kimliği veya el ile oluşturulan tek bir kullanıcı tarafından atanan kimliği kullanabilir.

  • Mantıksal Uygulama (Standart) kaynak türü yalnızca otomatik olarak etkinleştirilmiş sistem tarafından atanan kimliği kullanabilir. Kullanıcı tarafından atanan kimlik şu anda kullanılamıyor.

  1. Mantıksal uygulamanın yönetilen kimlik kullanamadan önce, Azure Logic Apps'de yönetilen kimlikleri kullanarak Azure kaynaklarına erişimin kimliğini Azure Logic Apps. Bu adımlar mantıksal uygulamanıza yönetilen kimliği etkinleştirir ve bu kimliğin hedef Azure kaynağına erişimini ayarlamanızı sağlar.

  2. Bir Azure işlevinin yönetilen kimlik kullanamadan önce Azure işlevleri için kimlik doğrulamasını etkinleştirin.

  3. Yönetilen kimlik kullanmayı destekleyen tetikleyicide veya eylemde şu bilgileri sağlar:

    Yerleşik tetikleyiciler ve eylemler

    Özellik (tasarımcı) Özellik (JSON) Gerekli Değer Açıklama
    Kimlik Doğrulaması type Yes Yönetilen Kimlik
    veya
    ManagedServiceIdentity
    Kullanmak için kimlik doğrulaması türü
    Yönetilen Kimlik identity Yes * Sistem Tarafından Atanan Yönetilen Kimlik
    veya
    SystemAssigned

    * <-atanan-kimlik-kimliği>

    Kullanmak için yönetilen kimlik
    Hedef kitle audience Yes <target-resource-ID> Erişmek istediğiniz hedef kaynağın kaynak kimliği.

    Örneğin, https://storage.azure.com/ kimlik doğrulaması için erişim belirteçlerini tüm depolama hesapları için geçerli yapar. Ancak, belirli bir depolama hesabı için gibi bir kök hizmet https://fabrikamstorageaccount.blob.core.windows.net URL'si de belirtebilirsiniz.

    Not: Hedef kitle özelliği bazı tetikleyicilerde veya eylemlerde gizlenmiş olabilir. Bu özelliği görünür yapmak için tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve Hedef Kitle'yi seçin.

    Önemli: Bu hedef kaynak kimliğinin, gerekli sonda eğik çizgi de dahil olmak üzere Azure AD'nin beklediğiniz değerle tam olarak eş olduğundan emin olun. Bu nedenle tüm https://storage.azure.com/ Azure Blob depolama hesaplarının Depolama eğik çizgi gerekir. Ancak, belirli bir depolama hesabının kaynak kimliği, sonda eğik çizgi gerektirmez. Bu kaynak kimliklerini bulmak için bkz. Azure AD'yi destekleyen Azure hizmetleri.

    Hassas bilgileri işlemek ve güvenliğini sağlamak için güvenli parametreler kullanıyorsanız (örneğin, dağıtımı otomatikhale Azure Resource Manager için bir Azure Resource Manager şablonunda) bu parametre değerlerine çalışma zamanında erişmek için ifadeleri kullanabilirsiniz. Örneğin, bu HTTP eylem tanımı kimlik doğrulamasını olarak belirtir ve parametre değerlerini almak type ManagedServiceIdentity için parameters() işlevini kullanır:

    "HTTP": {
       "type": "Http",
       "inputs": {
          "method": "GET",
          "uri": "@parameters('endpointUrlParam')",
          "authentication": {
             "type": "ManagedServiceIdentity",
             "identity": "SystemAssigned",
             "audience": "https://management.azure.com/"
          },
       },
       "runAfter": {}
    }
    

    Yönetilen bağlayıcı tetikleyicileri ve eylemleri

    Özellik (tasarımcı) Gerekli Değer Açıklama
    Bağlantı adı Yes <connection-name>
    Yönetilen kimlik Yes Sistem tarafından atanan yönetilen kimlik
    veya
    <kullanıcı tarafından atanan-yönetilen-kimlik-adı>
    Kullanmak için kimlik doğrulaması türü

Bağlantı oluşturmayı engelleme

Kuruluş, Azure Logic Apps'de bağlayıcılarını kullanarak belirli kaynaklara bağlanmaya izin vermiyorsa, Azure İlkesi kullanarak mantıksal uygulama iş akışlarında belirli bağlayıcılar için bu bağlantıları oluşturma özelliğini engelleyebilirsiniz. Daha fazla bilgi için bkz. 'de belirli bağlayıcılar tarafından oluşturulan Azure Logic Apps.

Mantıksal uygulamalar için yalıtım kılavuzu

Etki Düzeyi Azure Logic Apps 5 Azure Kamu kılavuzunda açıklanan bölgelerdeki tüm etki düzeylerini destekleyen Azure Kamu'leri kullanabilirsiniz. Logic Apps, bu gereksinimleri karşılamak için ayrılmış kaynaklara sahip bir ortamda iş akışı oluşturmanızı ve çalıştırmanızı destekler. Böylece, mantıksal uygulamalarınız üzerindeki diğer Azure kiracıları tarafından performans etkisini azaltabilirsiniz ve işlem kaynaklarını diğer kiracılarla paylaşmaktan kaçınabilirsiniz.

  • Kendi kodunuzu çalıştırmak veya XML dönüşümü gerçekleştirmek için, satır içi kod özelliğini kullanmak veya sırasıyla eşleme olarak kullanmak üzere derlemeler sağlamak yerine bir Azureişlevi oluşturun ve çağırın. Ayrıca, yalıtım gereksinimlerinize uymak için işlev uygulamanıza barındırma ortamını ayarlayın.

    Örneğin, Etki Düzeyi 5 gereksinimlerini karşılamak için yalıtılmış fiyatlandırma katmanını ve yalıtılmış fiyatlandırma katmanını da kullanan App Service Ortamı (ASE) kullanarak işlev uygulamalarınızı App Service planıyla oluşturun. Bu ortamda işlev uygulamaları, ayrılmış Azure sanal makinelerde ve ayrılmış Azure sanal ağlarında çalıştırarak uygulamalarınız için işlem yalıtımına ek olarak ağ yalıtımı ve maksimum ölçek geliştirme özellikleri sunar.

    Daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

  • Çok kiracılı veya tek kiracılı birAzure Logic Apps bağlı olarak şu seçenekleriniz vardır:

    • Tek kiracılı tabanlı mantıksal uygulamalar ile gelen trafik için özel uç noktalar ayarp giden trafik için sanal ağ tümleştirmesi kullanarak mantıksal uygulama iş akışları ile Azure sanal ağı arasında özel ve güvenli bir şekilde iletişim kurabilirsiniz. Daha fazla bilgi için, özel uç noktaları kullanarak sanal ağlar ve tek kiracılı ağlar Azure Logic Apps güvenli trafik.

    • Çok kiracılı tabanlı mantıksal uygulamalar ile mantıksal uygulamalarınızı bir tümleştirme hizmeti ortamında (ISE) oluşturabilir ve çalıştırabilirsiniz. Bu şekilde mantıksal uygulamalarınız ayrılmış kaynaklarda çalıştırarak Bir Azure sanal ağı tarafından korunan kaynaklara erişebilirsiniz. Azure Depolama tarafından kullanılan şifreleme anahtarları üzerinde daha fazla denetim için, Azure Key Vault kullanarak kendi anahtarınızı Azure Key Vault. Bu özellik "Kendi Anahtarını Getir" (BYOK) olarak da bilinir ve anahtarınız "müşteri tarafından yönetilen anahtar" olarak da bilinir. Daha fazla bilgi için, Azure Logic Apps'de tümleştirme hizmeti ortamlarının (ISE) kalan verilerini şifrelemek için müşteri tarafından yönetilen anahtarları ayarlama'Azure Logic Apps.

    Önemli

    Bazı Azure sanal ağları Azure Depolama, AzureCosmosDB veya Azure SQL Veritabanı, iş ortağı hizmetleri veya Azure'da barındırılan müşteri hizmetleri gibi Azure PaaS hizmetlerine erişim sağlamak için özel uç noktaları (Azure Özel Bağlantı) kullanır.

    İş akışlarının özel uç noktaları kullanan sanal ağlara erişmesi gerekirse ve bu iş akışlarını Mantıksal Uygulama (Tüketim) kaynak türünü kullanarak geliştirmek için mantıksal uygulamalarınızı bir ISE içinde oluşturmanız ve çalıştırmanız gerekir. Ancak, Mantıksal Uygulama (Standart) kaynak türünü kullanarak bu iş akışlarını geliştirmek için ISE'ye ihtiyacınız yok. Bunun yerine, iş akışlarınız gelen trafik için özel uç noktaları ve giden trafik için sanal ağ tümleştirmesi kullanarak sanal ağlarla özel ve güvenli bir şekilde iletişim kurabilir. Daha fazla bilgi için, özel uç noktaları kullanarak sanal ağlar ve tek kiracılı ağlar Azure Logic Apps güvenli trafik.

Yalıtım hakkında daha fazla bilgi için aşağıdaki belgeleri gözden geçirebilirsiniz:

Sonraki adımlar