Azure Logic Apps’te erişim ve veri güvenliğini sağlama

Azure Logic Apps, bekleyen verileri depolamak ve otomatik olarak şifrelemek için Azure Depolama kullanır. Bu şifreleme, verilerinizi korur, kurumunuzun güvenlik ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur. Varsayılan olarak Azure Depolama, verilerinizi şifrelemek için Microsoft tarafından yönetilen anahtarları kullanır. Daha fazla bilgi için bkz. Bekleyen veriler için Azure Depolama şifrelemesi.

Azure Logic Apps’te erişimi daha fazla denetlemek ve hassas verileri korumak için aşağıda belirtilen alanların güvenlik düzeyini artırabilirsiniz:

Azure'da güvenlik hakkında daha fazla bilgi için şu konuları gözden geçirin:

Mantıksal uygulama işlemlerine erişim

Yalnızca Tüketim mantıksal uygulamaları için, mantıksal uygulamaları ve bunların bağlantılarını oluşturabilmeniz veya yönetebilmeniz için önce, Azure rol tabanlı erişim denetimi (Azure RBAC) kullanılarak roller aracılığıyla sağlanan belirli izinlere ihtiyacınız vardır. Ayrıca, yalnızca belirli kullanıcıların veya grupların mantıksal uygulamaları yönetme, düzenleme ve görüntüleme gibi belirli görevleri çalıştırabilmesi için izinleri ayarlayabilirsiniz. İzinlerini denetlemek için, Azure aboneliğinize erişimi olan üyelere yerleşik veya özelleştirilmiş roller atayabilirsiniz. Azure Logic Apps, Tüketim veya Standart mantıksal uygulama iş akışına bağlı olarak aşağıdaki belirli rollere sahiptir:

Tüketim iş akışları
Rol Açıklama
Mantıksal Uygulama Katkıda Bulunanı Mantıksal uygulama iş akışlarını yönetebilirsiniz, ancak bunlara erişimi değiştiremezsiniz.
Mantıksal Uygulama İşleci Mantıksal uygulama iş akışlarını okuyabilir, etkinleştirebilir ve devre dışı bırakabilirsiniz, ancak bunları düzenleyemez veya güncelleştiremezsiniz.
Katkıda Bulunan Tüm kaynakları yönetmek için tam erişiminiz vardır, ancak Azure RBAC'de rol atayamaz, Azure Blueprints'te atamaları yönetemez veya görüntü galerilerini paylaşamazsınız.

Örneğin, oluşturmadığınız bir mantıksal uygulama iş akışıyla çalışmanız ve bu mantıksal uygulama iş akışı tarafından kullanılan bağlantıların kimliğini doğrulamanız gerekir. Azure aboneliğiniz, bu mantıksal uygulama kaynağını içeren kaynak grubu için Katkıda Bulunan izinleri gerektirir. Mantıksal uygulama kaynağı oluşturursanız, otomatik olarak Katkıda Bulunan erişiminiz olur.

Başkalarının mantıksal uygulama iş akışınızı değiştirmesini veya silmesini önlemek için Azure Kaynak Kilidi'ni kullanabilirsiniz. Bu özellik, başkalarının üretim kaynaklarını değiştirmesini veya silmesini engeller. Bağlantı güvenliği hakkında daha fazla bilgi için Bkz. Azure Logic Apps'te Bağlan yapılandırma ve Bağlan ion güvenliği ve şifrelemesi.

Standart iş akışları

Not

Bu özellik önizleme aşamasındadır ve Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları'na tabidir.

Rol Açıklama
Logic Apps Standart Okuyucu (Önizleme) İş akışı çalıştırmaları ve bunların geçmişi dahil olmak üzere Standart mantıksal uygulama ve iş akışlarındaki tüm kaynaklara salt okunur erişiminiz vardır.
Logic Apps Standart İşleci (Önizleme) Standart mantıksal uygulama için iş akışlarını etkinleştirme, yeniden gönderme ve devre dışı bırakma ve hizmetlere, sistemlere ve ağlara bağlantılar oluşturma erişiminiz vardır. operatör rolü, Azure Logic Apps platformunda yönetim ve destek görevlerini gerçekleştirebilir, ancak iş akışlarını veya ayarları düzenleme izinlerine sahip değildir.
Logic Apps Standart Geliştirici (Önizleme) Standart mantıksal uygulama için iş akışları, bağlantılar ve ayarlar oluşturma ve düzenleme erişiminiz vardır. Geliştirici rolünün iş akışları kapsamı dışında değişiklik yapma izinleri yoktur; örneğin, sanal ağ tümleştirmesini yapılandırma gibi uygulama genelindeki değişiklikler. App Service Planları desteklenmez.
Logic Apps Standart Katkıda Bulunanı (Önizleme) Standart mantıksal uygulamanın tüm yönlerini yönetme erişiminiz vardır, ancak erişimi veya sahipliği değiştiremezsiniz.

Çalıştırma geçmişi verilerine erişim

Mantıksal uygulama çalıştırması sırasında aktarım sırasında tüm veriler Aktarım Katmanı Güvenliği (TLS) ve bekleme sırasında şifrelenir. Mantıksal uygulamanızın çalışması tamamlandığında, her eylemin durumu, süresi, girişleri ve çıkışlarıyla birlikte çalışan adımlar da dahil olmak üzere bu çalıştırmanın geçmişini görüntüleyebilirsiniz. Bu zengin ayrıntı, mantıksal uygulamanızın nasıl çalıştığına ve ortaya çıkan sorunları gidermeye nereden başlayacağınıza ilişkin içgörü sağlar.

Mantıksal uygulamanızın çalıştırma geçmişini görüntülediğinizde, Azure Logic Apps erişiminizin kimliğini doğrular ve ardından her çalıştırma için istek ve yanıtlara yönelik giriş ve çıkışlara bağlantılar sağlar. Ancak, parolaları, gizli dizileri, anahtarları veya diğer hassas bilgileri işleyen eylemler için, başkalarının bu verileri görüntülemesini ve bunlara erişmesini engellemek istersiniz. Örneğin, mantıksal uygulamanız bir HTTP eyleminin kimliğini doğrularken kullanmak üzere Azure Key Vault'tan gizli dizi alırsa, bu gizli diziyi görünümden gizlemek istersiniz.

Mantıksal uygulamanızın çalıştırma geçmişindeki giriş ve çıkışlara erişimi denetlemek için şu seçeneklere sahipsiniz:

IP adresi aralığına göre erişimi kısıtlama

Yalnızca belirli IP adresi aralıklarından gelen isteklerin bu verileri görüntüleyebilmesi için mantıksal uygulama iş akışlarınızın çalıştırma geçmişindeki giriş ve çıkışlara erişimi sınırlayabilirsiniz.

Örneğin, girişlere ve çıkışlara herkesin erişmesini engellemek için gibi 0.0.0.0-0.0.0.0bir IP adresi aralığı belirtin. Mantıksal uygulama iş akışlarınızdaki verilere "tam zamanında" erişim olanağı sağlayan bu kısıtlamayı yalnızca yönetici izinlerine sahip bir kişi kaldırabilir. Geçerli bir IP aralığı şu biçimleri kullanır: x.x.x.x/x veya x.x.x.x.x.x

İzin verilen IP aralıklarını belirtmek için Azure portalı veya Azure Resource Manager şablonunuz için şu adımları izleyin:

Tüketim iş akışları
  1. Azure portalında mantıksal uygulama iş akışınızı tasarımcıda açın.

  2. Mantıksal uygulamanızın menüsündeki Ayarlar altında İş akışı ayarları'nı seçin.

  3. Erişim denetimi yapılandırması>İzin verilen gelen IP adresleri'nin altında Belirli IP aralıkları'ni seçin.

  4. İçindekiler için IP aralıkları'nın altında, giriş ve çıkışlardan içeriğe erişebilecek IP adresi aralıklarını belirtin.

Standart iş akışları
  1. Azure portalında mantıksal uygulama kaynağınızı açın.

  2. Mantıksal uygulama menüsündeki Ayarlar altında Ağ'ı seçin.

  3. Gelen Trafik bölümünde Erişim kısıtlaması'nı seçin.

  4. Belirli IP aralıklarından gelen isteklere izin vermek veya reddetmek için bir veya daha fazla kural oluşturun. HTTP üst bilgi filtresi ayarlarını ve iletme ayarlarını da kullanabilirsiniz.

    Daha fazla bilgi için bkz. Azure Logic Apps'te gelen IP adreslerini engelleme (Standart).

Gizleme kullanarak çalışma geçmişindeki verilerin güvenliğini sağlama

Birçok tetikleyici ve eylem, bir mantıksal uygulamanın çalıştırma geçmişinden girişleri, çıkışları veya her ikisini de güvenli bir şekilde güvenlik altına almak için ayarlara sahiptir. Tüm yönetilen bağlayıcılar ve özel bağlayıcılar bu seçenekleri destekler. Ancak, aşağıdaki yerleşik işlemlerbu seçenekleri desteklemez:

Güvenli Girişler - Desteklenmeyen Güvenli Çıkışlar - Desteklenmeyen
Dizi değişkenine ekle
Dize değişkenine ekle
Azaltma değişkeni
Her bir
Eğer
Artış değişkeni
Değişkeni başlatma
Yineleme
Kapsam
Değişken ayarlama
Anahtarı
Sonlandır
Until
Dizi değişkenine ekle
Dize değişkenine ekle
Oluşturmak
Azaltma değişkeni
Her bir
Eğer
Artış değişkeni
Değişkeni başlatma
JSON ayrıştırma
Yineleme
Yanıt
Kapsam
Değişken ayarlama
Anahtarı
Sonlandır
Kadar
Dur

Girişleri ve çıkışları güvenli hale getirmek için dikkat edilmesi gerekenler

Bu verilerin güvenliğini sağlamaya yardımcı olmak için bu ayarları kullanmadan önce şu noktaları gözden geçirin:

  • Bir tetikleyici veya eylemdeki girişleri veya çıkışları gizlediğinizde, Azure Logic Apps güvenli verileri Azure Log Analytics'e göndermez. Ayrıca, izleme için bu tetikleyiciye veya eyleme izlenen özellikler ekleyemezsiniz.

  • İş akışı geçmişini işlemeye yönelik Azure Logic Apps API'sinde güvenli çıkışlar döndürülmüyor.

  • Girişleri gizleyen veya çıkışları açıkça gizleyen bir eylemden gelen çıkışların güvenliğini sağlamak için, bu eylemde Güvenli Çıkışlar'ı el ile açın.

  • Çalıştırma geçmişinin bu verileri gizlemesini beklediğiniz aşağı akış eylemlerinde Güvenli Girişler veya Güvenli Çıkışlar'ı açtığınızdan emin olun.

    Güvenli Çıkışlar ayarı

    Bir tetikleyicide veya eylemde Güvenli Çıkışlar'ı el ile açtığınızda, Azure Logic Apps bu çıkışları çalıştırma geçmişinde gizler. Aşağı akış eylemi bu güvenli çıkışları açıkça giriş olarak kullanıyorsa, Azure Logic Apps bu eylemin girişlerini çalıştırma geçmişinde gizler, ancak eylemin Güvenli Girişler ayarını etkinleştirmez.

    Secured outputs as inputs and downstream impact on most actions

    Oluştur, JSON Ayrıştır ve Yanıtla eylemleri yalnızca Güvenli Girişler ayarına sahiptir. Bu ayar açıldığında bu eylemlerin çıkışlarını da gizler. Bu eylemler yukarı akış güvenli çıkışlarını açıkça giriş olarak kullanıyorsa, Azure Logic Apps bu eylemlerin girişlerini ve çıkışlarını gizler, ancak bu eylemlerin Güvenli Girişler ayarını etkinleştirmez. Aşağı akış eylemi oluşturma, JSON Ayrıştırma veya Yanıt eylemlerinden gelen gizli çıkışları açıkça giriş olarak kullanıyorsa, Azure Logic Apps bu aşağı akış eyleminin girişlerini veya çıkışlarını gizlemez.

    Secured outputs as inputs with downstream impact on specific actions

    Güvenli Girişler ayarı

    Bir tetikleyicide veya eylemde Güvenli Girişler'i el ile açtığınızda, Azure Logic Apps bu girişleri çalıştırma geçmişinde gizler. Aşağı akış eylemi bu tetikleyiciden veya eylemden gelen görünür çıkışları açıkça giriş olarak kullanıyorsa, Azure Logic Apps bu aşağı akış eyleminin girişlerini çalıştırma geçmişinde gizler, ancak bu eylemde Güvenli Girişleri etkinleştirmezve bu eylemin çıkışlarını gizlemez.

    Secured inputs and downstream impact on most actions

    Oluştur, JSON Ayrıştır ve Yanıtla eylemleri tetikleyiciden veya güvenli girişlere sahip eylemden gelen görünür çıkışları açıkça kullanıyorsa, Azure Logic Apps bu eylemlerin girişlerini ve çıkışlarını gizler, ancak bu eylemin Güvenli Girişler ayarını etkinleştirmez. Aşağı akış eylemi oluşturma, JSON Ayrıştırma veya Yanıt eylemlerinden gelen gizli çıkışları açıkça giriş olarak kullanıyorsa, Azure Logic Apps bu aşağı akış eyleminin girişlerini veya çıkışlarını gizlemez.

    Secured inputs and downstream impact on specific actions

Tasarımcıda girişlerin ve çıkışların güvenliğini sağlama

  1. Azure portalında mantıksal uygulama iş akışınızı tasarımcıda açın.

  2. Mantıksal uygulama kaynak türünüz temelinde, hassas verilerin güvenliğini sağlamak istediğiniz tetikleyicide veya eylemde şu adımları izleyin:

    Tüketim iş akışları

    Tetikleyicinin veya eylemin sağ üst köşesinde üç nokta (...) düğmesini ve Ayarlar seçin.

    Screenshot shows Azure portal, Consumption workflow designer, and trigger or action with opened settings.

    Standart iş akışları

    Tasarımcıda, bilgi bölmesini açmak için tetikleyiciyi veya eylemi seçin. Ayarlar sekmesinde Güvenlik'i genişletin.

    Screenshot shows Azure portal, Standard workflow designer, and trigger or action with opened settings.

  3. Güvenli Girişler, Güvenli Çıkışlar veya her ikisini de açın. Tüketim iş akışları için Bitti'yi seçtiğinizden emin olun.

    Tüketim iş akışları

    Screenshot shows Consumption workflow with an action's Secure Inputs or Secure Outputs settings enabled.

    Tetikleyici veya eylem artık başlık çubuğunda bir kilit simgesi gösterir.

    Screenshot shows Consumption workflow and an action's title bar with lock icon.

    Standart iş akışları

    Screenshot shows Standard workflow with an action's Secure Inputs or Secure Outputs settings enabled.

    Önceki eylemlerden alınan güvenli çıkışları temsil eden belirteçler de kilit simgelerini gösterir. Örneğin, sonraki bir eylemde, dinamik içerik listesinden güvenli bir çıkış için bir belirteç seçtikten sonra, bu belirteç bir kilit simgesi gösterir.

    Tüketim iş akışları

    Screenshot shows Consumption workflow with a subsequent action's dynamic content list open, and the previous action's token for secured output with lock icon.

    Standart iş akışları

    Screenshot shows Standard workflow with a subsequent action's dynamic content list open, and the previous action's token for secured output with lock icon.

  4. İş akışı çalıştırıldıktan sonra bu çalıştırmanın geçmişini görüntüleyebilirsiniz.

    Tüketim iş akışları

    1. Mantıksal uygulama menüsünde Genel Bakış'ı seçin. Çalıştırma geçmişi'nin altında, görüntülemek istediğiniz çalıştırmayı seçin.

    2. Mantıksal uygulama çalıştırma bölmesinde, genişletmek ve gözden geçirmek istediğiniz eylemleri seçin.

      Hem girişleri hem de çıkışları gizlemeyi seçtiyseniz, bu değerler artık gizli görünür.

      Screenshot shows Consumption workflow run history view with hidden inputs and outputs.

    Standart iş akışları

    1. İş akışı menüsünde Genel Bakış'ı seçin. Çalıştırma Geçmişi'nin altında, görüntülemek istediğiniz çalıştırmayı seçin.

    2. İş akışı çalıştırma geçmişi bölmesinde gözden geçirmek istediğiniz eylemleri seçin.

      Hem girişleri hem de çıkışları gizlemeyi seçtiyseniz, bu değerler artık gizli görünür.

      Screenshot shows Standard workflow run history view with hidden inputs and outputs.

Kod görünümünde girişlerin ve çıkışların güvenliğini sağlama

Temel tetikleyicide veya eylem tanımında, diziyi runtimeConfiguration.secureData.properties şu değerlerden biriyle veya her ikisiyle de ekleyin veya güncelleştirin:

  • "inputs": Çalıştırma geçmişindeki girişlerin güvenliğini sağlar.
  • "outputs": Çalıştırma geçmişindeki çıkışların güvenliğini sağlar.
"<trigger-or-action-name>": {
   "type": "<trigger-or-action-type>",
   "inputs": {
      <trigger-or-action-inputs>
   },
   "runtimeConfiguration": {
      "secureData": {
         "properties": [
            "inputs",
            "outputs"
         ]
      }
   },
   <other-attributes>
}

Parametre girişlerine erişim

Farklı ortamlar arasında dağıtım yaparsanız, iş akışı tanımınızda bu ortamlara göre değişen değerleri parametreleştirmeyi göz önünde bulundurun. Bu şekilde, mantıksal uygulamanızı dağıtmak, güvenli parametreler tanımlayarak hassas verileri korumak ve bir parametre dosyası kullanarak bu verileri şablonun parametreleri aracılığıyla ayrı girişler olarak geçirmek için bir Azure Resource Manager şablonu kullanarak sabit kodlanmış verilerden kaçınabilirsiniz.

Örneğin, Microsoft Entra Id ile OAuth ile HTTP eylemlerinin kimliğini doğrularsanız, kimlik doğrulaması için kullanılan istemci kimliğini ve istemci gizli dizisini kabul eden parametreleri tanımlayabilir ve gizleyebilirsiniz. Mantıksal uygulama iş akışınızda bu parametreleri tanımlamak için mantıksal uygulamanızın parameters iş akışı tanımındaki ve dağıtım için Resource Manager şablonundaki bölümü kullanın. Mantıksal uygulamanızı düzenlerken veya çalıştırma geçmişini görüntülerken gösterilmesini istemediğiniz parametre değerlerinin güvenliğini sağlamaya yardımcı olmak için veya secureobject türünü kullanarak securestring parametreleri tanımlayın ve gerektiğinde kodlamayı kullanın. Bu türdeki parametreler kaynak tanımıyla döndürülmüyor ve dağıtımdan sonra kaynağı görüntülerken erişilebilir değil. Çalışma zamanı sırasında bu parametre değerlerine erişmek için iş akışı tanımınızın içindeki ifadeyi @parameters('<parameter-name>') kullanın. Bu ifade yalnızca çalışma zamanında değerlendirilir ve İş Akışı Tanım Dili tarafından açıklanır.

Not

İstek üst bilgisinde veya gövdesinde bir parametre kullanırsanız, iş akışınızın çalıştırma geçmişini ve giden HTTP isteğini görüntülediğinizde bu parametre görünebilir. İçerik erişim ilkelerinizi de uygun şekilde ayarladığınızdan emin olun. Ayrıca, çalıştırma geçmişinizdeki girişleri ve çıkışları gizlemek için gizlemeyi de kullanabilirsiniz. Varsayılan olarak, Authorization üst bilgiler girişler veya çıkışlar aracılığıyla görünmez. Yani orada bir gizli dizi kullanılırsa, bu gizli dizi alınamaz.

Daha fazla bilgi için bu konudaki şu bölümleri gözden geçirin:

Resource Manager şablonlarını kullanarak mantıksal uygulamalar için dağıtımı otomatikleştirirseniz ve secureobject türlerini kullanarak securestring dağıtımda değerlendirilen güvenli şablon parametreleri tanımlayabilirsiniz. Şablon parametrelerini tanımlamak için, iş akışı tanımınızın parameters bölümünden ayrı ve farklı olan şablonunuzun en üst düzey parameters bölümünü kullanın. Şablon parametrelerinin değerlerini sağlamak için ayrı bir parametre dosyası kullanın.

Örneğin, gizli diziler kullanıyorsanız, dağıtım sırasında Bu gizli dizileri Azure Key Vault'tan alan güvenli şablon parametreleri tanımlayabilir ve kullanabilirsiniz. Ardından parametre dosyanızda anahtar kasasına ve gizli diziye başvurabilirsiniz. Daha fazla bilgi için şu konuları gözden geçirin:

İş akışı tanımlarında parametrelerin güvenliğini sağlama (Tüketim iş akışı)

Mantıksal uygulamanızın iş akışı tanımındaki hassas bilgileri korumak için güvenli parametreler kullanın, böylece mantıksal uygulama iş akışınızı kaydettikten sonra bu bilgiler görünmez. Örneğin, bir HTTP eyleminizin kullanıcı adı ve parola kullanan temel kimlik doğrulaması gerektirdiğini varsayalım. İş akışı tanımındaparameters, bölümü ve parametrelerini türünü kullanarak securestring tanımlar basicAuthPasswordParambasicAuthUsernameParam. Eylem tanımı daha sonra bölümünde bu parametrelere başvurur authentication .

"definition": {
   "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
   "actions": {
      "HTTP": {
         "type": "Http",
         "inputs": {
            "method": "GET",
            "uri": "https://www.microsoft.com",
            "authentication": {
               "type": "Basic",
               "username": "@parameters('basicAuthUsernameParam')",
               "password": "@parameters('basicAuthPasswordParam')"
            }
         },
         "runAfter": {}
      }
   },
   "parameters": {
      "basicAuthPasswordParam": {
         "type": "securestring"
      },
      "basicAuthUsernameParam": {
         "type": "securestring"
      }
   },
   "triggers": {
      "manual": {
         "type": "Request",
         "kind": "Http",
         "inputs": {
            "schema": {}
         }
      }
   },
   "contentVersion": "1.0.0.0",
   "outputs": {}
}

Azure Resource Manager şablonlarında parametrelerin güvenliğini sağlama (Tüketim iş akışı)

Mantıksal uygulama kaynağı ve iş akışı için Resource Manager şablonunda birden çok parameters bölüm vardır. Parolaları, anahtarları, gizli dizileri ve diğer hassas bilgileri korumak için veya secureobject türünü kullanarak securestring şablon düzeyinde ve iş akışı tanımı düzeyinde güvenli parametreler tanımlayın. Ardından bu değerleri Azure Key Vault'ta depolayabilir ve anahtar kasasına ve gizli diziye başvurmak için parametre dosyasını kullanabilirsiniz. Ardından şablonunuz bu bilgileri dağıtımda alır. Daha fazla bilgi için Bkz . Azure Key Vault kullanarak dağıtımda hassas değerleri geçirme.

Bu liste, bu parameters bölümler hakkında daha fazla bilgi içerir:

  • Şablonun en üst düzeyinde bir parameters bölüm, şablonun dağıtımda kullandığı değerlerin parametrelerini tanımlar. Örneğin, bu değerler belirli bir dağıtım ortamı için bağlantı dizesi içerebilir. Daha sonra bu değerleri ayrı bir parametre dosyasında depolayabilirsiniz ve bu da bu değerleri değiştirmeyi kolaylaştırır.

  • Mantıksal uygulamanızın kaynak tanımının içinde, ancak iş akışı tanımınızın dışında bir parameters bölüm, iş akışı tanımınızın parametrelerinin değerlerini belirtir. Bu bölümde, şablonunuzun parametrelerine başvuran şablon ifadelerini kullanarak bu değerleri atayabilirsiniz. Bu ifadeler dağıtımda değerlendirilir.

  • İş akışı tanımınızın içinde bir parameters bölüm, mantıksal uygulama iş akışınızın çalışma zamanında kullandığı parametreleri tanımlar. Ardından, çalışma zamanında değerlendirilen iş akışı tanımı ifadelerini kullanarak mantıksal uygulamanızın iş akışı içinde bu parametrelere başvurabilirsiniz.

Türünü kullanan securestring birden çok güvenli parametre tanımına sahip bu örnek şablon:

Parametre adı Açıklama
TemplatePasswordParam Daha sonra iş akışı tanımının basicAuthPasswordParam parametresine geçirilen bir parolayı kabul eden şablon parametresi
TemplateUsernameParam Daha sonra iş akışı tanımının basicAuthUserNameParam parametresine geçirilen bir kullanıcı adını kabul eden şablon parametresi
basicAuthPasswordParam HTTP eyleminde temel kimlik doğrulaması için parolayı kabul eden bir iş akışı tanımı parametresi
basicAuthUserNameParam HTTP eyleminde temel kimlik doğrulaması için kullanıcı adını kabul eden bir iş akışı tanımı parametresi
{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "LogicAppName": {
         "type": "string",
         "minLength": 1,
         "maxLength": 80,
         "metadata": {
            "description": "Name of the Logic App."
         }
      },
      "TemplatePasswordParam": {
         "type": "securestring"
      },
      "TemplateUsernameParam": {
         "type": "securestring"
      },
      "LogicAppLocation": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "allowedValues": [
            "[resourceGroup().location]",
            "eastasia",
            "southeastasia",
            "centralus",
            "eastus",
            "eastus2",
            "westus",
            "northcentralus",
            "southcentralus",
            "northeurope",
            "westeurope",
            "japanwest",
            "japaneast",
            "brazilsouth",
            "australiaeast",
            "australiasoutheast",
            "southindia",
            "centralindia",
            "westindia",
            "canadacentral",
            "canadaeast",
            "uksouth",
            "ukwest",
            "westcentralus",
            "westus2"
         ],
         "metadata": {
            "description": "Location of the Logic App."
         }
      }
   },
   "variables": {},
   "resources": [
      {
         "name": "[parameters('LogicAppName')]",
         "type": "Microsoft.Logic/workflows",
         "location": "[parameters('LogicAppLocation')]",
         "tags": {
            "displayName": "LogicApp"
         },
         "apiVersion": "2016-06-01",
         "properties": {
            "definition": {
               "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
               "actions": {
                  "HTTP": {
                     "type": "Http",
                     "inputs": {
                        "method": "GET",
                        "uri": "https://www.microsoft.com",
                        "authentication": {
                           "type": "Basic",
                           "username": "@parameters('basicAuthUsernameParam')",
                           "password": "@parameters('basicAuthPasswordParam')"
                        }
                     },
                  "runAfter": {}
                  }
               },
               "parameters": {
                  "basicAuthPasswordParam": {
                     "type": "securestring"
                  },
                  "basicAuthUsernameParam": {
                     "type": "securestring"
                  }
               },
               "triggers": {
                  "manual": {
                     "type": "Request",
                     "kind": "Http",
                     "inputs": {
                        "schema": {}
                     }
                  }
               },
               "contentVersion": "1.0.0.0",
               "outputs": {}
            },
            "parameters": {
               "basicAuthPasswordParam": {
                  "value": "[parameters('TemplatePasswordParam')]"
               },
               "basicAuthUsernameParam": {
                  "value": "[parameters('TemplateUsernameParam')]"
               }
            }
         }
      }
   ],
   "outputs": {}
}

Kimlik doğrulamasını destekleyen bağlayıcılar için kimlik doğrulama türleri

Aşağıdaki tablo, bir kimlik doğrulama türü seçebileceğiniz bağlayıcı işlemlerinde kullanılabilen kimlik doğrulama türlerini tanımlar:

Authentication type Mantıksal uygulama ve desteklenen bağlayıcılar
Temel Azure API Management, Azure Uygulaması Hizmetleri, HTTP, HTTP + Swagger, HTTP Web Kancası
İstemci Sertifikası Azure API Management, Azure Uygulaması Hizmetleri, HTTP, HTTP + Swagger, HTTP Web Kancası
Active Directory OAuth - Tüketim: Azure API Management, Azure Uygulaması Hizmetleri, Azure İşlevleri, HTTP, HTTP + Swagger, HTTP Web Kancası

- Standart: Azure Otomasyonu, Azure Blob Depolama, Azure Event Hubs, Azure Kuyrukları, Azure Service Bus, Azure Tabloları, HTTP, HTTP Web Kancası, SQL Server
Ham Azure API Management, Azure Uygulaması Hizmetleri, Azure İşlevleri, HTTP, HTTP + Swagger, HTTP Web Kancası
Yönetilen kimlik Yerleşik bağlayıcılar:

- Tüketim: Azure API Management, Azure Uygulaması Hizmetleri, Azure İşlevleri, HTTP, HTTP Web Kancası

- Standart: Azure Otomasyonu, Azure Blob Depolama, Azure Event Hubs, Azure Kuyrukları, Azure Service Bus, Azure Tabloları, HTTP, HTTP Web Kancası, SQL Server

Not: Şu anda en yerleşik, hizmet sağlayıcısı tabanlı bağlayıcılar kimlik doğrulaması için kullanıcı tarafından atanan yönetilen kimliklerin seçilmesini desteklememektedir.

Yönetilen bağlayıcılar: Azure Uygulaması Hizmeti, Azure Otomasyonu, Azure Blob Depolama, Azure Container Instance, Azure Cosmos DB, Azure Veri Gezgini, Azure Data Factory, Azure Data Lake, Azure Event Grid, Azure Event Hubs, Azure IoT Central V2, Azure IoT Central V3, Azure Key Vault, Azure Log Analiz, Azure Kuyrukları, Azure Resource Manager, Azure Service Bus, Azure Sentinel, Azure Tablo Depolama, Azure VM, Microsoft Entra ID ile HTTP, SQL Server

İstek tabanlı tetikleyicilere gelen çağrılara erişim

Bir mantıksal uygulamanın İstek tetikleyicisi veya HTTP Web kancası tetikleyicisi gibi istek tabanlı bir tetikleyici aracılığıyla aldığı gelen çağrılar şifrelemeyi destekler ve daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) 1.2 ile en az güvenli hale getirilir. Azure Logic Apps, İstek tetikleyicisine gelen bir çağrı veya HTTP Web kancası tetikleyicisine veya eylemine geri çağırma alırken bu sürümü zorlar. TLS el sıkışma hataları alırsanız TLS 1.2 kullandığınızdan emin olun. Daha fazla bilgi için TLS 1.0 sorununu çözme bölümüne bakın.

Gelen çağrılar için aşağıdaki şifreleme paketlerini kullanın:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Not

Geriye dönük uyumluluk için Azure Logic Apps şu anda bazı eski şifreleme paketlerini desteklemektedir. Ancak, yeni uygulamalar geliştirirken eski şifreleme paketlerini kullanmayın çünkü bu tür paketler gelecekte desteklenmeyebilir .

Örneğin, Azure Logic Apps hizmetini kullanırken veya mantıksal uygulamanızın URL'sinde bir güvenlik aracı kullanarak TLS el sıkışma iletilerini incelerseniz aşağıdaki şifreleme paketlerini bulabilirsiniz. Yine şu eski paketleri kullanmayın :

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Aşağıdaki liste, mantıksal uygulamanıza gelen çağrıları alan tetikleyicilere erişimi sınırlayabileceğiniz ve yalnızca yetkili istemcilerin mantıksal uygulamanızı çağırabilmesi için daha fazla yol içerir:

Paylaşılan erişim imzaları oluşturma (SAS)

Mantıksal uygulamadaki her istek uç noktasının URL'sinde şu biçimde bir Paylaşılan Erişim İmzası (SAS) bulunur:

https://<request-endpoint-URI>sp=<permissions>sv=<SAS-version>sig=<signature>

Her URL, bu tabloda açıklandığı gibi , svve sig sorgu parametresini içerirsp:

Sorgu parametresi Açıklama
sp İzin verilen HTTP yöntemlerinin kullanma izinlerini belirtir.
sv İmzayı oluşturmak için kullanılacak SAS sürümünü belirtir.
sig Tetikleyiciye erişimin kimliğini doğrulamak için kullanılacak imzayı belirtir. Bu imza, TÜM URL yollarında ve özelliklerinde gizli dizi erişim anahtarıyla SHA256 algoritması kullanılarak oluşturulur. Bu anahtar şifrelenmiş olarak tutulur, mantıksal uygulamayla birlikte depolanır ve hiçbir zaman kullanıma sunulmaz veya yayımlanmaz. Mantıksal uygulamanız yalnızca gizli anahtarla oluşturulan geçerli bir imza içeren tetikleyicileri yetkilendirir.

İstek uç noktasına gelen çağrılar, SAS veya Microsoft Entra Id ile OAuth olmak üzere yalnızca bir yetkilendirme şeması kullanabilir. Bir düzenin kullanılması diğer düzeni devre dışı bırakmasa da, hizmet hangi düzenin seçileceğini bilmediğinden her iki düzeni de aynı anda kullanmak bir hataya neden olur.

SAS ile erişimin güvenliğini sağlama hakkında daha fazla bilgi için bu konudaki şu bölümleri gözden geçirin:

Erişim anahtarlarını yeniden oluşturma

İstediğiniz zaman yeni bir güvenlik erişim anahtarı oluşturmak için Azure REST API'sini veya Azure portalını kullanın. Eski anahtarı kullanan daha önce oluşturulan tüm URL'ler geçersiz kılınır ve artık mantıksal uygulamayı tetikleme yetkisi yoktur. Yeniden oluşturma işleminden sonra aldığınız URL'ler yeni erişim anahtarıyla imzalı.

  1. Azure portalında, yeniden oluşturmak istediğiniz anahtarı içeren mantıksal uygulamayı açın.

  2. Mantıksal uygulamanın menüsündeki Ayarlar altında Erişim Anahtarları'nı seçin.

  3. Yeniden oluşturmak istediğiniz anahtarı seçin ve işlemi tamamlayın.

Süresi dolan geri çağırma URL'leri oluşturma

İstek tabanlı tetikleyicinin uç nokta URL'sini diğer taraflarla paylaşırsanız, belirli anahtarları kullanan ve son kullanma tarihleri olan geri çağırma URL'leri oluşturabilirsiniz. Bu şekilde anahtarları sorunsuz bir şekilde alabilir veya belirli bir zaman aralığına göre mantıksal uygulamanızı tetikleme erişimini kısıtlayabilirsiniz. URL'nin son kullanma tarihini belirtmek için Azure Logic Apps REST API'sini kullanın, örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdeye JSON tarih dizesi kullanarak özelliğini ekleyin NotAfter. Bu özellik yalnızca tarih ve saate kadar geçerli olan bir geri çağırma URL'si NotAfter döndürür.

Birincil veya ikincil gizli anahtarla URL'ler oluşturma

İstek tabanlı tetikleyici için geri çağırma URL'leri oluşturur veya listelerken, URL'yi imzalamak için kullanılacak anahtarı belirtebilirsiniz. Belirli bir anahtar tarafından imzalanan bir URL oluşturmak için Logic Apps REST API'sini kullanın, örneğin:

POST /subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.Logic/workflows/<workflow-name>/triggers/<trigger-name>/listCallbackUrl?api-version=2016-06-01

Gövdeye özelliğini veya Secondaryolarak Primary ekleyinKeyType. Bu özellik, belirtilen güvenlik anahtarı tarafından imzalanan bir URL döndürür.

Microsoft Entra ID Open Authentication'ı etkinleştirme (Microsoft Entra ID OAuth)

İstek tabanlı tetikleyiciyle başlayan tüketim mantıksal uygulaması iş akışında, Microsoft Entra ID OAuth'u etkinleştirerek bu tetikleyici tarafından oluşturulan uç noktaya gönderilen gelen çağrıların kimliğini doğrulayabilirsiniz. Bu kimlik doğrulamasını ayarlamak için mantıksal uygulama düzeyinde bir yetkilendirme ilkesi tanımlayın veya ekleyin. Bu şekilde, gelen çağrılar yetkilendirme için OAuth erişim belirteçlerini kullanır.

Mantıksal uygulama iş akışınız OAuth erişim belirteci içeren bir gelen istek aldığında, Azure Logic Apps belirtecin taleplerini her yetkilendirme ilkesi tarafından belirtilen taleplerle karşılaştırır. Belirtecin talepleri ile en az bir ilkedeki tüm talepler arasında bir eşleşme varsa, gelen istek için yetkilendirme başarılı olur. Belirteç, yetkilendirme ilkesi tarafından belirtilen sayıdan daha fazla talep içerebilir.

İstek tetikleyicisiyle başlayan standart mantıksal uygulama iş akışında (web kancası tetikleyicisi değil), yönetilen kimlik kullanarak bu tetikleyici tarafından oluşturulan uç noktaya gönderilen gelen çağrıların kimliğini doğrulamak için Azure İşlevleri sağlamasını kullanabilirsiniz. Bu sağlama "Kolay Kimlik Doğrulaması" olarak da bilinir. Daha fazla bilgi için Easy Auth ile Standart mantıksal uygulamalarda iş akışlarını tetikleme'yi gözden geçirin.

Microsoft Entra ID OAuth'u etkinleştirmeden önce dikkat edilmesi gerekenler

  • İstek uç noktasına gelen bir çağrı, Microsoft Entra Kimliği ile OAuth veya Paylaşılan Erişim İmzası (SAS) olmak üzere yalnızca bir yetkilendirme şeması kullanabilir. Bir düzenin kullanılması diğer düzeni devre dışı bırakmasa da, Azure Logic Apps hangi düzenin seçileceğini bilmediğinden her iki düzeni de aynı anda kullanmak hataya neden olur.

  • Azure Logic Apps, Microsoft Entra Id OAuth erişim belirteçleri için taşıyıcı türünü veya sahiplik kanıtı türünü (yalnızca tüketim mantıksal uygulaması) yetkilendirme düzenlerini destekler. Ancak, Authorization erişim belirtecinin üst bilgisi türü veya PoP türünü belirtmelidirBearer. PoP belirtecini alma ve kullanma hakkında daha fazla bilgi için bkz . Sahiplik Kanıtı (PoP) belirteci alma.

  • Mantıksal uygulama kaynağınız en fazla yetkilendirme ilkesi sayısıyla sınırlıdır. Her yetkilendirme ilkesinin en fazla talep sayısı da vardır. Daha fazla bilgi için Bkz . Azure Logic Apps için sınırlar ve yapılandırma.

  • Yetkilendirme ilkesi, Microsoft Entra veren kimliği olarak veya https://login.microsoftonline.com/ (OAuth V2) ile https://sts.windows.net/ başlayan bir değere sahip olan En azından Veren talebi içermelidir.

    Örneğin, mantıksal uygulama kaynağınızın hedef kitle ve Veren olmak üzere iki talep türü gerektiren bir yetkilendirme ilkesi olduğunu varsayalım. Kodu çözülen erişim belirtecinin bu örnek yük bölümü, hedef kitle değeri ve iss Veren değeri olan audher iki talep türünü de içerir:

    {
        "aud": "https://management.core.windows.net/",
        "iss": "https://sts.windows.net/<Azure-AD-issuer-ID>/",
        "iat": 1582056988,
        "nbf": 1582056988,
        "exp": 1582060888,
        "_claim_names": {
           "groups": "src1"
        },
        "_claim_sources": {
           "src1": {
              "endpoint": "https://graph.windows.net/7200000-86f1-41af-91ab-2d7cd011db47/users/00000-f433-403e-b3aa-7d8406464625d7/getMemberObjects"
           }
        },
        "acr": "1",
        "aio": "AVQAq/8OAAAA7k1O1C2fRfeG604U9e6EzYcy52wb65Cx2OkaHIqDOkuyyr0IBa/YuaImaydaf/twVaeW/etbzzlKFNI4Q=",
        "amr": [
           "rsa",
           "mfa"
        ],
        "appid": "c44b4083-3bb0-00001-b47d-97400853cbdf3c",
        "appidacr": "2",
        "deviceid": "bfk817a1-3d981-4dddf82-8ade-2bddd2f5f8172ab",
        "family_name": "Sophia Owen",
        "given_name": "Sophia Owen (Fabrikam)",
        "ipaddr": "167.220.2.46",
        "name": "sophiaowen",
        "oid": "3d5053d9-f433-00000e-b3aa-7d84041625d7",
        "onprem_sid": "S-1-5-21-2497521184-1604012920-1887927527-21913475",
        "puid": "1003000000098FE48CE",
        "scp": "user_impersonation",
        "sub": "KGlhIodTx3XCVIWjJarRfJbsLX9JcdYYWDPkufGVij7_7k",
        "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "unique_name": "SophiaOwen@fabrikam.com",
        "upn": "SophiaOwen@fabrikam.com",
        "uti": "TPJ7nNNMMZkOSx6_uVczUAA",
        "ver": "1.0"
    }
    

İstek uç noktasını çağırmak için tek seçenek olarak Microsoft Entra ID OAuth'u etkinleştirin

  1. İstek veya HTTP web kancası tetikleyicisi çıkışlarına 'Yetkilendirme' üst bilgisini ekleme adımlarını izleyerek OAuth erişim belirtecini denetleme özelliğiyle İstek veya HTTP web kancası tetikleyicinizi ayarlayın.

    Not

    Bu adım, üst bilginin iş akışının çalıştırma geçmişinde ve tetikleyicinin çıkışlarında görünür olmasını sağlar Authorization .

  2. Azure portalında Tüketim mantıksal uygulaması iş akışınızı tasarımcıda açın.

  3. Tetikleyicinin sağ üst köşesindeki üç nokta (...) düğmesini ve ardından Ayarlar'ı seçin.

  4. Tetikleyici Koşulları altında Ekle'yi seçin. Tetikleyici koşulu kutusuna, kullanmak istediğiniz belirteç türüne göre aşağıdaki ifadelerden birini girin ve Bitti'yi seçin.

    @startsWith(triggerOutputs()?['headers']?['Authorization'], 'Bearer')

    -veya-

    @startsWith(triggerOutputs()?['headers']?['Authorization'], 'PoP')

Doğru yetkilendirme olmadan tetikleyici uç noktasını çağırırsanız, çalıştırma geçmişi tetikleyiciyi tetikleyici koşulunun başarısız olduğunu belirten bir ileti olmadan gösterir Skipped .

SahipLik Kanıtı (PoP) belirteci alma

Microsoft Kimlik Doğrulama Kitaplığı (MSAL) kitaplıkları, kullanmanız için PoP belirteçleri sağlar. Çağırmak istediğiniz mantıksal uygulama iş akışı pop belirteci gerektiriyorsa, MSAL kitaplıklarını kullanarak bu belirteci alabilirsiniz. Aşağıdaki örneklerde PoP belirteçlerinin nasıl alınıyor olduğu gösterilmektedir:

PoP belirtecini Tüketim mantıksal uygulamanızla kullanmak için sonraki bölümü izleyerek Microsoft Entra Id ile OAuth'u ayarlayın.

Tüketim mantıksal uygulama kaynağınız için Microsoft Entra ID OAuth'u etkinleştirme

Azure portalı veya Azure Resource Manager şablonunuz için şu adımları izleyin:

Azure portalında mantıksal uygulamanıza bir veya daha fazla yetkilendirme ilkesi ekleyin:

  1. Azure portalında mantıksal uygulamanızı iş akışı tasarımcısında açın.

  2. Mantıksal uygulama menüsündeki Ayarlar altında Yetkilendirme'yi seçin. Yetkilendirme bölmesi açıldıktan sonra İlke ekle'yi seçin.

    Screenshot that shows Azure portal, Consumption logic app menu, Authorization page, and selected button to add policy.

  3. mantıksal uygulamanızın İstek tetikleyicisine yapılan her gelen çağrı tarafından sunulan erişim belirtecinde beklediği talep türlerini ve değerlerini belirterek yetkilendirme ilkesi hakkında bilgi sağlayın:

    Screenshot that shows Azure portal, Consumption logic app Authorization page, and information for authorization policy.

    Özellik Zorunlu Türü Açıklama
    İlke adı Yes String Yetkilendirme ilkesi için kullanmak istediğiniz ad
    İlke türü Yes String Taşıyıcı türü belirteçler için AAD veya Sahiplik Kanıtı türü belirteçleri için AADPOP.
    Talepler Yes String İş akışının İstek tetikleyicisinin tetikleyiciye yapılan her gelen çağrı tarafından sunulan erişim belirtecinde beklediği talep türünü ve değerini belirten anahtar-değer çifti. Standart talep ekle'yi seçerek istediğiniz standart talebi ekleyebilirsiniz. PoP belirtecine özgü bir talep eklemek için Özel talep ekle'yi seçin.

    Kullanılabilir standart talep türleri:

    - Veren
    - Seyirci
    - Konu
    - JWT Kimliği (JSON Web Belirteci tanımlayıcısı)

    Gereksinim -leri:

    - Talepler listesinde en azından, Microsoft Entra veren kimliğiyle https://sts.windows.net/ başlayan veya https://login.microsoftonline.com/ olarak başlayan bir değere sahip olan Veren talebi bulunmalıdır.

    - Her talep bir değer dizisi değil, tek bir dize değeri olmalıdır. Örneğin, tür olarak Rol ve değer olarak Geliştirici olan bir talebiniz olabilir. Tür olarak Rol ve Değerler Geliştirici ve Program Yöneticisi olarak ayarlanmış bir talebiniz olamaz.

    - Talep değeri en fazla karakter sayısıyla sınırlıdır.

    Bu talep türleri hakkında daha fazla bilgi için Bkz . Microsoft Entra güvenlik belirteçlerindeki talepler. Kendi talep türünüzü ve değerinizi de belirtebilirsiniz.

    Aşağıdaki örnekte PoP belirtecinin bilgileri gösterilmektedir:

    Screenshot that shows Azure portal, Consumption logic app Authorization page, and information for a proof-of-possession policy.

  4. Başka bir talep eklemek için şu seçeneklerden birini belirleyin:

    • Başka bir talep türü eklemek için Standart talep ekle'yi seçin, talep türünü seçin ve talep değerini belirtin.

    • Kendi talebinizi eklemek için Özel talep ekle'yi seçin. Daha fazla bilgi için, uygulamanıza isteğe bağlı talepler sağlamayı gözden geçirin. Özel talebiniz daha sonra JWT kimliğinizin bir parçası olarak depolanır; örneğin, "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47".

  5. Başka bir yetkilendirme ilkesi eklemek için İlke ekle'yi seçin. İlkeyi ayarlamak için önceki adımları yineleyin.

  6. Bitirdiğinizde, Kaydet'i seçin.

  7. Erişim belirtecindeki Authorization üst bilgiyi istek tabanlı tetikleyici çıkışlarına eklemek için İstekte 'Yetkilendirme' üst bilgisini ve HTTP web kancası tetikleyici çıkışlarını dahil et'i gözden geçirin.

İlkeler gibi iş akışı özellikleri Azure portalında iş akışınızın kod görünümünde görünmez. İlkelerinize program aracılığıyla erişmek için Azure Resource Manager aracılığıyla aşağıdaki API'yi çağırın: https://management.azure.com/subscriptions/{Azure-subscription-ID}/resourceGroups/{Azure-resource-group-name}/providers/Microsoft.Logic/workflows/{your-workflow-name}?api-version=2016-10-01&_=1612212851820. Azure abonelik kimliği, kaynak grubu adı ve iş akışı adı için yer tutucu değerlerini değiştirdiğinizden emin olun.

İstek veya HTTP web kancası tetikleyici çıkışlarına 'Authorization' üst bilgisi ekleme

İstek tabanlı tetikleyicilere erişim için gelen çağrıları yetkilendirmek için Microsoft Entra Id ile OAuth'u etkinleştiren mantıksal uygulamalar için İstek tetikleyicisini veya HTTP Web kancası tetikleyici çıkışlarını OAuth erişim belirtecinden üst bilgiyi içerecek Authorization şekilde etkinleştirebilirsiniz. Tetikleyicinin temel JSON tanımında operationOptions özelliğini ekleyin ve olarak IncludeAuthorizationHeadersInOutputsayarlayın. İstek tetikleyicisi için bir örnek aşağıda verilmişti:

"triggers": {
   "manual": {
      "inputs": {
         "schema": {}
      },
      "kind": "Http",
      "type": "Request",
      "operationOptions": "IncludeAuthorizationHeadersInOutputs"
   }
}

Daha fazla bilgi için şu konuları gözden geçirin:

Azure API Management ile mantıksal uygulamanızı kullanıma sunma

Daha fazla kimlik doğrulama protokolü ve seçeneği için Azure API Management kullanarak mantıksal uygulama iş akışınızı API olarak kullanıma vermeyi göz önünde bulundurun. Bu hizmet herhangi bir uç nokta için zengin izleme, güvenlik, ilke ve belge özellikleri sağlar. API Management, mantıksal uygulamanız için genel veya özel uç noktayı kullanıma açabilir. Bu uç noktaya erişimi yetkilendirmek için Microsoft Entra Id, istemci sertifikası veya diğer güvenlik standartlarıyla OAuth kullanabilirsiniz. API Management bir istek aldığında, hizmet isteği mantıksal uygulamanıza gönderir ve yol boyunca gerekli dönüştürmeleri veya kısıtlamaları yapar. Yalnızca API Management'ın mantıksal uygulama iş akışınızı çağırmasına izin vermek için mantıksal uygulamanızın gelen IP adreslerini kısıtlayabilirsiniz.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

Gelen IP adreslerini kısıtlama

Paylaşılan Erişim İmzası (SAS) ile birlikte mantıksal uygulama iş akışınızı çağırabilecek istemcileri özellikle sınırlamak isteyebilirsiniz. Örneğin, azure API Management kullanarak istek uç noktanızı yönetiyorsanız mantıksal uygulama iş akışınızı yalnızca oluşturduğunuz API Management hizmet örneğinin IP adresinden gelen istekleri kabul etmek üzere kısıtlayabilirsiniz.

Belirttiğiniz IP adreslerinden bağımsız olarak, Logic Apps REST API'sini kullanarak istek tabanlı tetikleyicisi olan bir mantıksal uygulama iş akışını çalıştırmaya devam edebilirsiniz: İş Akışı Tetikleyicileri - İsteği çalıştırma veya API Management'ı kullanma. Ancak bu senaryo hala Azure REST API'sinde kimlik doğrulaması gerektirir. Tüm olaylar Azure Denetim Günlüğü'nde görünür. Erişim denetimi ilkelerini uygun şekilde ayarladığınızdan emin olun.

Mantıksal uygulama iş akışınızın gelen IP adreslerini kısıtlamak için Azure portalı veya Azure Resource Manager şablonunuz için ilgili adımları izleyin. Geçerli bir IP aralığı şu biçimleri kullanır: x.x.x.x/x veya x.x.x.x.x.x

Azure portalında IP adresi kısıtlaması, portaldaki İzin verilen gelen IP adresleri altındaki açıklamanın aksine hem tetikleyicileri hem de eylemleri etkiler. Bu filtreyi tetikleyiciler ve eylemler için ayrı olarak ayarlamak için, mantıksal uygulama kaynağınız veya Azure Logic Apps REST API'sinin Azure Resource Manager şablonundaki nesnesini kullanınaccessControl: İş Akışı - Oluşturma veya Güncelleştirme işlemi.

Tüketim iş akışları
  1. Azure portalında mantıksal uygulamanızı iş akışı tasarımcısında açın.

  2. Mantıksal uygulamanızın menüsündeki Ayarlar altında İş akışı ayarları'nı seçin.

  3. Erişim denetimi yapılandırması bölümünde, İzin verilen gelen IP adresleri'nin altında senaryonuzun yolunu seçin:

    • İş akışınızı Azure Logic Apps yerleşik eylemini kullanarak ancak yalnızca iç içe geçmiş bir iş akışı olarak çağırılabilir hale getirmek için Yalnızca diğer Logic Apps'i seçin. Bu seçenek yalnızca iç içe geçmiş iş akışını çağırmak için Azure Logic Apps eylemini kullandığınızda çalışır.

      Bu seçenek mantıksal uygulama kaynağınıza boş bir dizi yazar ve yalnızca yerleşik Azure Logic Apps eylemini kullanan üst iş akışlarından gelen çağrıların iç içe geçmiş iş akışını tetikleyebileceğini gerektirir.

    • İş akışınızı HTTP eylemini kullanarak çağırılabilir hale getirmek, ancak yalnızca iç içe geçmiş bir iş akışı olarak yapmak için Belirli IP aralıkları'nı seçin. Tetikleyiciler için IP aralıkları kutusu görüntülendiğinde, üst iş akışının giden IP adreslerini girin. Geçerli bir IP aralığı şu biçimleri kullanır: x.x.x.x/x veya x.x.x.x.x.x

      Not

      İç içe iş akışınızı çağırmak için Yalnızca diğer Logic Apps seçeneğini ve HTTP eylemini kullanırsanız, çağrı engellenir ve "401 Yetkisiz" hatası alırsınız.

    • Diğer IP'lerden gelen çağrıları kısıtlamak istediğiniz senaryolarda, tetikleyiciler için IP aralıkları kutusu görüntülendiğinde tetikleyicinin kabul ettiği IP adresi aralıklarını belirtin. Geçerli bir IP aralığı şu biçimleri kullanır: x.x.x.x/x veya x.x.x.x.x.x

  4. İsteğe bağlı olarak, Çalıştırma geçmişinden sağlanan IP adreslerine giriş ve çıkış iletileri almak için çağrıları kısıtla altında, çalıştırma geçmişindeki giriş ve çıkış iletilerine erişebilecek gelen çağrılar için IP adresi aralıklarını belirtebilirsiniz.

Standart iş akışları
  1. Azure portalında mantıksal uygulama kaynağınızı açın.

  2. Mantıksal uygulama menüsündeki Ayarlar altında Ağ'ı seçin.

  3. Gelen Trafik bölümünde Erişim kısıtlaması'nı seçin.

  4. Belirli IP aralıklarından gelen isteklere izin vermek veya reddetmek için bir veya daha fazla kural oluşturun. HTTP üst bilgi filtresi ayarlarını ve iletme ayarlarını da kullanabilirsiniz. Geçerli bir IP aralığı şu biçimleri kullanır: x.x.x.x/x veya x.x.x.x.x.x

    Daha fazla bilgi için bkz. Azure Logic Apps'te gelen IP adreslerini engelleme (Standart).

Diğer hizmetlere ve sistemlere giden çağrılar için erişim

Hedef uç noktanın özelliğine bağlı olarak, HTTP tetikleyicisi veya HTTP eylemi tarafından gönderilen giden çağrılar şifrelemeyi destekler ve daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) 1.0, 1.1 veya 1.2 ile güvenlik altına alınır. Azure Logic Apps, desteklenen en yüksek olası sürümü kullanarak hedef uç noktayla anlaşma sağlar. Örneğin, hedef uç nokta 1.2'yi destekliyorsa, HTTP tetikleyicisi veya eylemi önce 1.2 kullanır. Aksi takdirde bağlayıcı, desteklenen sonraki en yüksek sürümü kullanır.

Bu liste TLS/SSL otomatik olarak imzalanan sertifikalar hakkında bilgi içerir:

  • Çok kiracılı Azure Logic Apps ortamındaki Tüketim mantıksal uygulaması iş akışları için HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarına izin vermez. Mantıksal uygulamanız bir sunucuya HTTP çağrısı yapar ve TLS/SSL otomatik olarak imzalanan bir sertifika sunarsa, HTTP çağrısı bir TrustFailure hatayla başarısız olur.

  • Tek kiracılı Azure Logic Apps ortamındaki Standart mantıksal uygulama iş akışları için HTTP işlemleri otomatik olarak imzalanan TLS/SSL sertifikalarını destekler. Ancak, bu kimlik doğrulama türü için birkaç ek adımı tamamlamanız gerekir. Aksi takdirde çağrı başarısız olur. Daha fazla bilgi için, tek kiracılı Azure Logic Apps için TLS/SSL sertifika kimlik doğrulaması'nı gözden geçirin.

    Bunun yerine "Sertifika" kimlik bilgisi türüne sahip Microsoft Entra ID ile istemci sertifikası veya OAuth kullanmak istiyorsanız, yine de bu kimlik doğrulama türü için birkaç ek adımı tamamlamanız gerekir. Aksi takdirde çağrı başarısız olur. Daha fazla bilgi için, tek kiracılı Azure Logic Apps için "Sertifika" kimlik bilgisi türüne sahip Microsoft Entra Id ile İstemci sertifikası veya OAuth makalesini gözden geçirin.

Mantıksal uygulama iş akışlarınızdan gönderilen çağrıları işleyen uç noktaların güvenliğini sağlamaya yardımcı olmanın diğer yolları şunlardır:

  • Giden isteklere kimlik doğrulaması ekleyin.

    Giden çağrıları göndermek için HTTP tetikleyicisini veya eylemini kullandığınızda, mantıksal uygulamanız tarafından gönderilen isteğe kimlik doğrulaması ekleyebilirsiniz. Örneğin, şu kimlik doğrulama türlerini seçebilirsiniz:

  • Mantıksal uygulama iş akışı IP adreslerinden erişimi kısıtlayın.

    Mantıksal uygulama iş akışlarından uç noktalara yapılan tüm çağrılar, mantıksal uygulamalarınızın bölgelerini temel alan belirli belirlenmiş IP adreslerinden kaynaklanır. Yalnızca bu IP adreslerinden gelen istekleri kabul eden filtreleme ekleyebilirsiniz. Bu IP adreslerini almak için Azure Logic Apps için sınırlar ve yapılandırma bölümünü gözden geçirin.

  • Şirket içi sistemlere bağlantılar için güvenliği geliştirin.

    Azure Logic Apps, daha güvenli ve güvenilir şirket içi iletişim sağlamaya yardımcı olmak için bu hizmetlerle tümleştirme sağlar.

    • Şirket içi veri ağ geçidi

      Azure Logic Apps'teki birçok yönetilen bağlayıcı, Dosya Sistemi, SQL, SharePoint ve DB2 gibi şirket içi sistemlere güvenli bağlantıları kolaylaştırır. Ağ geçidi, Azure Service Bus aracılığıyla şifrelenmiş kanallardaki şirket içi kaynaklardan veri gönderir. Tüm trafik, ağ geçidi aracısından güvenli giden trafik olarak kaynaklanır. Şirket içi veri ağ geçidinin nasıl çalıştığını öğrenin.

    • Azure API Management aracılığıyla Bağlan

      Azure API Management , güvenli ara sunucu ve şirket içi sistemlere iletişim için siteden siteye sanal özel ağ ve ExpressRoute tümleştirmesi gibi şirket içi bağlantı seçenekleri sağlar. Şirket içi sisteminize erişim sağlayan bir API'niz varsa ve bir API Management hizmet örneği oluşturarak bu API'yi kullanıma sundıysanız, yerleşik API Management tetikleyicisini veya iş akışı tasarımcısındaki eylemi seçerek mantıksal uygulamanızın iş akışında bu API'yi çağırabilirsiniz.

      Not

      Bağlayıcı yalnızca görüntüleme ve bağlanma izinlerine sahip olduğunuz ancak tüketim tabanlı API Management hizmetlerini göstermediğiniz API Management hizmetlerini gösterir.

      Mantıksal uygulama kaynak türünüz temelinde ilgili adımları izleyin:

      Tüketim iş akışları

      1. İş akışı tasarımcısında, arama kutusunun altında Yerleşik'i seçin. Arama kutusunda API Management adlı yerleşik bağlayıcıyı bulun.

      2. Tetikleyici veya eylem ekleyip eklemediğinize bağlı olarak aşağıdaki işlemi seçin:

        • Tetikleyici: Azure API Management tetikleyicisi seçin'i seçin.

        • Eylem: Azure API Management eylemi seçin'i seçin.

        Aşağıdaki örnek bir tetikleyici ekler:

        Screenshot shows Azure portal, Consumption workflow designer, and Azure API Management trigger.

      3. Daha önce oluşturduğunuz API Management hizmet örneğini seçin.

      4. Çağrılacak API işlemini seçin.

        Screenshot shows Azure portal, Consumption workflow designer, and selected API to call.

      Standart iş akışları

      Standart iş akışlarında API Management yerleşik bağlayıcısı tetikleyici değil yalnızca bir eylem sağlar.

      1. İş akışı tasarımcısında, iş akışınızın sonunda veya adımlar arasında Eylem ekle'yi seçin.

      2. Eylem ekle bölmesi açıldıktan sonra, arama kutusunun altındaki Çalışma Zamanı listesinden Uygulama İçi'ni seçerek yalnızca yerleşik bağlayıcıları görüntüleyin. Azure API Management API'sini çağırma adlı yerleşik eylemi seçin.

        Screenshot shows Azure portal, Standard workflow designer, and Azure API Management action.

      3. Daha önce oluşturduğunuz API Management hizmet örneğini seçin.

      4. Çağrılacak API'yi seçin. Bağlantınız yeniyse Yeni Oluştur'u seçin.

        Screenshot shows Azure portal, Standard workflow designer, and selected API to call.

Giden aramalara kimlik doğrulaması ekleme

HTTP ve HTTPS uç noktaları çeşitli kimlik doğrulama türlerini destekler. Bu uç noktalara giden çağrılar veya istekler göndermek için kullandığınız bazı tetikleyicilerde ve eylemlerde bir kimlik doğrulama türü belirtebilirsiniz. İş akışı tasarımcısında, kimlik doğrulama türü seçmeyi destekleyen tetikleyiciler ve eylemler bir Authentication özelliğine sahiptir. Ancak, bu özellik her zaman varsayılan olarak görünmeyebilir. Böyle durumlarda, tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve Kimlik doğrulaması'nı seçin.

Önemli

Mantıksal uygulamanızın işlediği hassas bilgileri korumak için güvenli parametreleri kullanın ve verileri gerektiği şekilde kodlar. Parametreleri kullanma ve güvenli hale getirme hakkında daha fazla bilgi için Parametre girişlerine erişim'i gözden geçirin.

Temel kimlik doğrulama

Temel seçeneği kullanılabiliyorsa şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Zorunlu Değer Açıklama
Kimlik Doğrulaması type Yes Temel Kullanılacak kimlik doğrulama türü
Kullanıcı adı username Yes <kullanıcı adı> Hedef hizmet uç noktasına erişimin kimliğini doğrulamak için kullanıcı adı
Parola password Yes <Parola> Hedef hizmet uç noktasına erişimin kimliğini doğrulama parolası

Hassas bilgileri işlemek ve güvenli hale getirmek için güvenli parametreler kullandığınızda( örneğin, dağıtımı otomatikleştirmeye yönelik bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı kimlik doğrulamasını type olarak Basic belirtir ve parametre değerlerini almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Basic",
         "username": "@parameters('userNameParam')",
         "password": "@parameters('passwordParam')"
      }
  },
  "runAfter": {}
}

İstemci Sertifikası kimlik doğrulaması

İstemci Sertifikası seçeneği varsa şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Zorunlu Değer Açıklama
Kimlik Doğrulaması type Yes İstemci Sertifikası
veya
ClientCertificate
Kullanılacak kimlik doğrulama türü. Sertifikaları Azure API Management ile yönetebilirsiniz.

Not: Özel bağlayıcılar hem gelen hem de giden çağrılar için sertifika tabanlı kimlik doğrulamasını desteklemez.
Pfx pfx Yes <encoded-pfx-file-content> Kişisel Bilgi Değişimi (PFX) dosyasından base64 ile kodlanmış içerik

PFX dosyasını base64 kodlu biçime dönüştürmek için aşağıdaki adımları izleyerek PowerShell 7'yi kullanabilirsiniz:

1. Sertifika içeriğini bir değişkene kaydedin:

$pfx_cert = [System.IO.File]::ReadAllBytes('c:\certificate.pfx')

2. işlevini kullanarak sertifika içeriğini dönüştürün ToBase64String() ve bu içeriği bir metin dosyasına kaydedin:

[System.Convert]::ToBase64String($pfx_cert) | Out-File 'pfx-encoded-bytes.txt'

Sorun giderme: komutunu kullanırsanız cert mmc/PowerShell şu hatayı alabilirsiniz:

Could not load the certificate private key. Please check the authentication certificate password is correct and try again.

Bu hatayı düzeltmek için, komutunu kullanarak PFX dosyasını bir PEM dosyasına dönüştürmeyi openssl ve yeniden geri almayı deneyin:

openssl pkcs12 -in certificate.pfx -out certificate.pem
openssl pkcs12 -in certificate.pem -export -out certificate2.pfx

Daha sonra, sertifikanın yeni dönüştürülen PFX dosyası için base64 ile kodlanmış dizeyi aldığınızda, dize artık Azure Logic Apps'te çalışır.
Parola password Hayır <password-for-pfx-file> PFX dosyasına erişmek için parola

Not

OpenSSL kullanarak bir istemci sertifikasıyla kimlik doğrulaması yapmaya çalışırsanız aşağıdaki hatayı alabilirsiniz:

BadRequest: Could not load private key

Bu hatayı gidermek için şu adımları izleyin:

  1. Tüm OpenSSL örneklerini kaldırın.
  2. OpenSSL sürüm 1.1.1t'i yükleyin.
  3. Yeni güncelleştirmeyi kullanarak sertifikanızdan istifa edin.
  4. İstemci sertifikası kimlik doğrulaması kullanılırken HTTP işlemine yeni sertifikayı ekleyin.

Hassas bilgileri işlemek ve güvenli hale getirmek için güvenli parametreler kullandığınızda( örneğin, dağıtımı otomatikleştirmeye yönelik bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı kimlik doğrulamasını type olarak ClientCertificate belirtir ve parametre değerlerini almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ClientCertificate",
         "pfx": "@parameters('pfxParam')",
         "password": "@parameters('passwordParam')"
      }
   },
   "runAfter": {}
}

Önemli

Tek kiracılı Azure Logic Apps'te Standart mantıksal uygulama kaynağınız varsa ve kimlik bilgisi türüyle TSL/SSL sertifikası, istemci sertifikası veya Microsoft Entra ID Open Authentication (Microsoft Entra ID OAuth) ile Certificate http işlemi kullanmak istiyorsanız, bu kimlik doğrulama türü için ek kurulum adımlarını tamamladığınızdan emin olun. Aksi takdirde çağrı başarısız olur. Daha fazla bilgi için tek kiracılı ortamda kimlik doğrulaması'yı gözden geçirin.

İstemci sertifikası kimlik doğrulamasını kullanarak hizmetlerin güvenliğini sağlama hakkında daha fazla bilgi için şu konuları gözden geçirin:

Microsoft kimlik platformu

İstek tetikleyicilerinde, mantıksal uygulamanız için Microsoft Entra yetkilendirme ilkelerini ayarladıktan sonra gelen çağrıların kimliğini doğrulamak için Microsoft kimlik platformu kullanabilirsiniz. Seçmeniz için Active Directory OAuth kimlik doğrulama türünü sağlayan diğer tüm tetikleyiciler ve eylemler için şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Zorunlu Değer Açıklama
Kimlik Doğrulaması type Yes Active Directory OAuth
veya
ActiveDirectoryOAuth
Kullanılacak kimlik doğrulama türü. Azure Logic Apps şu anda OAuth 2.0 protokolunu izler.
Yetkilisi authority Hayır <Yetki için URL belirteci veren> Azure genel hizmet bölgeleri gibi https://login.microsoftonline.com/ erişim belirtecini sağlayan yetkilinin URL'si. Diğer ulusal bulutlar için Microsoft Entra kimlik doğrulama uç noktaları - Kimlik yetkilinizi seçme makalesini gözden geçirin.
Kiracı tenant Yes <kiracı kimliği> Microsoft Entra kiracısının kiracı kimliği
Seyirci audience Yes <kaynak-yetki> Yetkilendirme için kullanmak istediğiniz kaynak, örneğin, https://management.core.windows.net/
İstemci kimliği clientId Yes <istemci kimliği> Yetkilendirme isteyen uygulamanın istemci kimliği
Kimlik Bilgisi Türü credentialType Yes Sertifika
veya
Gizli dizi
İstemcinin yetkilendirme istemek için kullandığı kimlik bilgisi türü. Bu özellik ve değer mantıksal uygulamanızın temel tanımında görünmez, ancak seçili kimlik bilgisi türü için görüntülenen özellikleri belirler.
Gizli dizi secret Evet, ancak yalnızca "Gizli" kimlik bilgisi türü için <gizli dizi> Yetkilendirme istemek için istemci gizli dizisi
Pfx pfx Evet, ancak yalnızca "Sertifika" kimlik bilgisi türü için <encoded-pfx-file-content> Kişisel Bilgi Değişimi (PFX) dosyasından base64 ile kodlanmış içerik
Parola password Evet, ancak yalnızca "Sertifika" kimlik bilgisi türü için <password-for-pfx-file> PFX dosyasına erişmek için parola

Hassas bilgileri işlemek ve güvenli hale getirmek için güvenli parametreler kullandığınızda( örneğin, dağıtımı otomatikleştirmeye yönelik bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı kimlik doğrulamasını type olarak ActiveDirectoryOAuthbelirtir, kimlik bilgisi türü olarak Secretve parametre değerlerini almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "ActiveDirectoryOAuth",
         "tenant": "@parameters('tenantIdParam')",
         "audience": "https://management.core.windows.net/",
         "clientId": "@parameters('clientIdParam')",
         "credentialType": "Secret",
         "secret": "@parameters('secretParam')"
     }
   },
   "runAfter": {}
}

Önemli

Tek kiracılı Azure Logic Apps'te Standart mantıksal uygulama kaynağınız varsa ve kimlik bilgisi türüyle TSL/SSL sertifikası, istemci sertifikası veya Microsoft Entra ID Open Authentication (Microsoft Entra ID OAuth) ile Certificate http işlemi kullanmak istiyorsanız, bu kimlik doğrulama türü için ek kurulum adımlarını tamamladığınızdan emin olun. Aksi takdirde çağrı başarısız olur. Daha fazla bilgi için tek kiracılı ortamda kimlik doğrulaması'yı gözden geçirin.

Ham kimlik doğrulaması

Ham seçeneği varsa, OAuth 2.0 protokolüne uymayen kimlik doğrulama düzenlerini kullanmanız gerektiğinde bu kimlik doğrulama türünü kullanabilirsiniz. Bu türle, giden istekle gönderdiğiniz yetkilendirme üst bilgisi değerini el ile oluşturur ve tetikleyicinizde veya eyleminizde bu üst bilgi değerini belirtirsiniz.

Aşağıdaki örnekte, OAuth 1.0 protokolunu izleyen bir HTTPS isteği için örnek üst bilgi gösterilmektedir:

Authorization: OAuth realm="Photos",
   oauth_consumer_key="dpf43f3p2l4k3l03",
   oauth_signature_method="HMAC-SHA1",
   oauth_timestamp="137131200",
   oauth_nonce="wIjqoS",
   oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
   oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

Ham kimlik doğrulamasını destekleyen tetikleyicide veya eylemde şu özellik değerlerini belirtin:

Özellik (tasarımcı) Özellik (JSON) Zorunlu Değer Açıklama
Kimlik Doğrulaması type Yes Ham Kullanılacak kimlik doğrulama türü
Value value Yes <authorization-header-value> Kimlik doğrulaması için kullanılacak yetkilendirme üst bilgisi değeri

Hassas bilgileri işlemek ve güvenli hale getirmek için güvenli parametreler kullandığınızda( örneğin, dağıtımı otomatikleştirmeye yönelik bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Bu örnek HTTP eylem tanımı kimlik doğrulamasını type olarak Rawbelirtir ve parametre değerlerini almak için parameters() işlevini kullanır:

"HTTP": {
   "type": "Http",
   "inputs": {
      "method": "GET",
      "uri": "@parameters('endpointUrlParam')",
      "authentication": {
         "type": "Raw",
         "value": "@parameters('authHeaderParam')"
      }
   },
   "runAfter": {}
}

Yönetilen kimlik doğrulaması

Yönetilen kimlik doğrulamasını destekleyen tetikleyicide veya eylemde yönetilen kimlik seçeneği kullanılabilir olduğunda, mantıksal uygulamanız kimlik bilgileri, gizli diziler veya Microsoft Entra belirteçleri yerine Microsoft Entra Kimliği ile korunan Azure kaynaklarına erişimin kimliğini doğrulamak için bu kimliği kullanabilir. Azure bu kimliği sizin için yönetir ve gizli dizileri yönetmeniz veya doğrudan Microsoft Entra belirteçlerini kullanmanız gerekmeyen kimlik bilgilerinizin güvenliğini sağlamanıza yardımcı olur. Microsoft Entra kimlik doğrulaması için yönetilen kimlikleri destekleyen Azure hizmetleri hakkında daha fazla bilgi edinin.

  • Tüketim mantıksal uygulaması kaynağı, sistem tarafından atanan kimliği veya el ile oluşturulan tek bir kullanıcı tarafından atanan kimliği kullanabilir.

  • Standart mantıksal uygulama kaynağı, sistem tarafından atanan yönetilen kimliğin ve kullanıcı tarafından atanan birden çok yönetilen kimliğin aynı anda etkinleştirilmesini destekler, ancak yine de istediğiniz zaman yalnızca bir kimlik seçebilirsiniz.

    Not

    Varsayılan olarak, sistem tarafından atanan kimlik çalışma zamanında bağlantıların kimliğini doğrulamak için zaten etkindir. Bu kimlik, bağlantı oluştururken kullandığınız kimlik doğrulama kimlik bilgilerinden veya bağlantı dizesi farklıdır. Bu kimliği devre dışı bırakırsanız, bağlantılar çalışma zamanında çalışmaz. Bu ayarı görüntülemek için mantıksal uygulamanızın menüsündeki Ayarlar altında Kimlik'i seçin.

  1. Mantıksal uygulamanızın yönetilen kimlik kullanabilmesi için önce Azure Logic Apps'te yönetilen kimlikleri kullanarak Azure kaynaklarına erişimin kimliğini doğrulama bölümünde yer alan adımları izleyin. Bu adımlar mantıksal uygulamanızda yönetilen kimliği etkinleştirir ve bu kimliğin hedef Azure kaynağına erişimini ayarlar.

  2. Bir Azure işlevinin yönetilen kimlik kullanabilmesi için önce Azure işlevleri için kimlik doğrulamasını etkinleştirin.

  3. Yönetilen kimlik kullanmayı destekleyen tetikleyicide veya eylemde şu bilgileri sağlayın:

    Yerleşik tetikleyiciler ve eylemler

    Özellik (tasarımcı) Özellik (JSON) Zorunlu Değer Açıklama
    Kimlik Doğrulaması type Yes Yönetilen Kimlik
    veya
    ManagedServiceIdentity
    Kullanılacak kimlik doğrulama türü
    Yönetilen Kimlik identity Hayır <user-assigned-identity-ID> Kullanılacak kullanıcı tarafından atanan yönetilen kimlik. Not: Sistem tarafından atanan yönetilen kimliği kullanırken bu özelliği eklemeyin.
    Seyirci audience Yes <target-resource-ID> Erişmek istediğiniz hedef kaynağın kaynak kimliği.

    Örneğin, https://storage.azure.com/ kimlik doğrulaması için erişim belirteçlerini tüm depolama hesapları için geçerli hale getirir. Ancak, belirli bir depolama hesabı için olduğu gibi https://fabrikamstorageaccount.blob.core.windows.net bir kök hizmet URL'si de belirtebilirsiniz.

    Not: Audience özelliği bazı tetikleyicilerde veya eylemlerde gizlenmiş olabilir. Bu özelliği görünür hale getirmek için tetikleyicide veya eylemde Yeni parametre ekle listesini açın ve hedef kitle'yi seçin.

    Önemli: Bu hedef kaynak kimliğinin , gerekli sondaki eğik çizgiler de dahil olmak üzere Microsoft Entra Id'nin beklediği değerle tam olarak eşleştiğinden emin olun. Bu nedenle, tüm Azure Blob Depolama hesaplarının https://storage.azure.com/ kaynak kimliği için sondaki eğik çizgi gerekir. Ancak, belirli bir depolama hesabının kaynak kimliği için sondaki eğik çizgi gerekmez. Bu kaynak kimliklerini bulmak için Microsoft Entra Id'yi destekleyen Azure hizmetlerini gözden geçirin.

    Hassas bilgileri işlemek ve güvenli hale getirmek için güvenli parametreler kullandığınızda( örneğin, dağıtımı otomatikleştirmeye yönelik bir Azure Resource Manager şablonunda), çalışma zamanında bu parametre değerlerine erişmek için ifadeleri kullanabilirsiniz. Örneğin, bu HTTP eylem tanımı kimlik doğrulamasını type olarak ManagedServiceIdentity belirtir ve parametre değerlerini almak için parameters() işlevini kullanır:

    "HTTP": {
       "type": "Http",
       "inputs": {
          "method": "GET",
          "uri": "@parameters('endpointUrlParam')",
          "authentication": {
             "type": "ManagedServiceIdentity",
             "audience": "https://management.azure.com/"
          },
       },
       "runAfter": {}
    }
    

    Yönetilen bağlayıcı tetikleyicileri ve eylemleri

    Özellik (tasarımcı) Zorunlu Değer Açıklama
    Bağlantı adı Yes <bağlantı adı>
    Yönetilen kimlik Yes Sistem tarafından atanan yönetilen kimlik
    veya
    <user-assigned-managed-identity-name>
    Kullanılacak kimlik doğrulama türü

Blok oluşturma bağlantıları

Kuruluşunuz Azure Logic Apps'te bağlayıcılarını kullanarak belirli kaynaklara bağlanmaya izin vermiyorsa, Azure İlkesi kullanarak mantıksal uygulama iş akışlarında belirli bağlayıcılar için bu bağlantıları oluşturma özelliğini engelleyebilirsiniz. Daha fazla bilgi için Bkz . Azure Logic Apps'te belirli bağlayıcılar tarafından oluşturulan bağlantıları engelleme.

Mantıksal uygulamalar için yalıtım kılavuzu

Azure Kamu Etki Düzeyi 5 Yalıtım Kılavuzu tarafından açıklanan bölgelerdeki tüm etki düzeylerini destekleyen Azure Kamu Azure Logic Apps'i kullanabilirsiniz. Bu gereksinimleri karşılamak için Azure Logic Apps, mantıksal uygulamalarınızdaki diğer Azure kiracılarının performans etkisini azaltabilmeniz ve bilgi işlem kaynaklarını diğer kiracılarla paylaşmaktan kaçınmanız için ayrılmış kaynakları olan bir ortamda iş akışları oluşturmanızı ve çalıştırmanızı destekler.

Yalıtım hakkında daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

Sonraki adımlar